Single Sign-On in Procurat!5 einrichten
Derzeit wird nur Keycloak als OAuth2-Provider unterstützt
Vorbereitungen
Um Procurat!5 mit Single Sign-On (im nachfolgenden SSO genannt) einrichten zu können, benötigen Sie folgende Informationen
- URL der Procurat-Installation (z.B https://procurat.musterschule.de/procurat)
- Einen eingerichteten Client in Keycloak. Procurat benötigt hier lediglich den Scope
openid, da die Zuordnung der Benutzer über dassubFeld des ID-Tokens erfolgt
Konfigurationen erstellen
Am einfachsten kann die nötige Konfiguration mit diesem Script erstellt werden
Die Konfiguration der verschiedenen Provider erfolgt in Procurat mithilfe eines JSON-Strings. Am einfachsten kann eine korrekte Konfiguration mit dem oben aufgeführten Skript erstellt werden:
Schritt 1: Keycloak Provider hinzufügen
Wählen Sie 1 um einen neuen Keycloak-Provider hinzuzufügen
Schritt 2: Ausfüllen der Informationen
Sie werden nun in verschiedenen Schritten nach ihrer Keycloak-Konfiguration gefragt - folgende Informationen sind relevant:
| Name | Ein einzigartiger (interner) name für ihren Provider, z.B keycloak-procurat |
| Display Name | Der Anzeigename für ihren Provider - dieser erscheint auf der Anmeldeseite als "Anmelden mit {DisplayName}" |
| Base URL | Die URL ihrer Keycloak-Installation |
| Realm | Der Realm, welchen Sie für die Anmeldung in Procurat nutzen möchten |
| Client ID | Die Client-ID ihres Procurat-OAuth-Clients in Keycloak |
| Client Secret | Das Client-Secret ihres Procurat-OAuth-Clients in Keycloak |
Schritt 3: Abschließen der Konfiguration
Nachdem Sie die erforderlichen Informationen ausgefüllt haben, haben Sie die Möglichkeit, entweder eine weitere Konfiguration hinzuzufügen, oder die Konfiguration abzuschließen um den Wert für die Procurat-Einstellungen zu erhalten. Wählen Sie 0 um die Konfiguration abzuschließen:
Kopieren Sie den angezeigten JSON-String, dieser wird im nächsten Schritt benötigt
Einstellungen in Procurat!5
Schritt 1: Öffnen der Einstellungen
Öffnen Sie die Einstellungen als administrativer Benutzer. Navigieren Sie hierfür nach der Anmeldung zu Administration -> Reiter Einstellungen -> Einstellungen
Schritt 2: Hinzufügen / Überprüfen der "ProcuratUrl" Einstellung
Fügen Sie einen neuen Wert (bzw. überprüfen Sie den eventuell bereits vorhandenen) für "ProcuratUrl" hinzu. Diese URL muss mit der URL ihrer Procurat-Installation übereinstimmen
| Gruppe |
Zentrale |
| Name | ProcuratUrl |
| Type | String |
| StringValue |
Ihre Procurat-URL (z.B https://procurat.musterschule.de/procurat) |
Schritt 3: Hinzufügen / Überprüfen der "OAuth" Einstellung
Fügen Sie einen neuen Wert (bzw. überprüfen Sie den eventuell bereits vorhandenen) für "OAuth" hinzu. Dies ist der Wert, der zuvor mithilfe des Scripts generiert wurde
| Gruppe |
Zentrale |
| Name | OAuth |
| Type | String |
| StringValue |
Der zuvor generierte JSON-Wert
|
Schritt 4: Konfigurieren der Benutzer
Damit die Zuordnung der Procurat-Benutzer zu den Benutzern in ihrem OAuth-Provider korrekt funktioniert, muss jedem Benutzer, welcher sich mit dem Provider anmelden soll, ein Provider (der von Ihnen gewählte Name) sowie die externe ID (z.B die Benutzer-ID in Keycloak) zugewiesen werden. Diese Einstellung wird in Administration -> Rechte -> Benutzer konfiguriert
Hier müssen folgende Einstellungen konfiguriert werden
| OAuthProvider |
Der Name ihres Providers (z.B my-sso in dem Konfigurationsbeispiel) |
| OAuthID |
Die ID des Benutzers im OAuth Provider |
Überprüfen der Einstellungen
Die Konfiguration der OAuth-Anmeldung ist nun abgeschlossen. Nach der Abmeldung sollten Sie die entsprechenden Buttons zur Anmeldung mit den konfigurierten Providern im Anmeldebildschirm sehen:
