Skip to main content
Skip table of contents

4.8. OAuth 2.0 Authentifizierung aktivieren

Diese Anleitung ist gültig ab der Applikationsversion 5.10.

Voraussetzungen

OCT Applikationsserver

SQL Server Instanz

  • administrativer Zugriff auf SQL Server Instanz über SQL Server Management Studio (mindestens db_creator)

OAuth 2.0 Provider

  • Authority, Client ID und Client Secret liegen vor

  • Zugriff auf SQL Server

Schritte zur Einrichtung einer OAuth 2.0 Anmeldung in OCT

In dieser Beispielanleitung ist die OCT Applikation unter https://oct.meinedomain.de:5000 erreichbar. Die URL muss an allen Stellen mit der tatsächlichen URL, unter der OCT erreichbar ist, ersetzt werden.

1. Administratorrechte an neues Konto übertragen

Die E-Mail-Adresse bzw. der Benutzername des eigenen OAuth 2.0 Logins sollte als OCT Applikations- und OCT Datenbank-Administrator hinzugefügt werden.

2. OCTIdentity Datenbank anlegen

  • Skript zum Anlegen der OCTIdentity Datenbank herunterladen: OCTIdentity.sql

  • Skript in SQL Server Instanz über Management Studio einspielen

  • db_owner Rolle für OCT Dienstbenutzer in OCTIdentity Datenbank setzen

    • alternativ SQL Server Login anlegen und Connection String in der Konfiguration entsprechend anpassen

3. OCTIdentity Datenbank einrichten

  • Datensätze in Tabelle dbo.ClientRedirectUris hinzufügen:

    • RedirectUri: https://oct.meinedomain.de:5000/login & ClientId: 1

    • RedirectUri: https://oct.meinedomain.de:5000/silent-refresh.html & ClientId: 1

  • Datensatz in Tabelle dbo.ClientLogoutRedirectUris hinzufügen:

    • PostlogoutRedirectUri: https://oct.meinedomain.de:5000/signed-out & ClientId: 1

4. Zertifikat erstellen

  • Mit OpenSSL ein Zertifikat über Kommandozeile (CMD) erstellen:

    CODE 
    "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" req -x509 -newkey rsa:4096 -sha256 -nodes -keyout idscert.key -out idscert.crt -subj "/CN=<OCT URL>" -days 3650

    Platzhalter “<OCT URL>” ersetzen durch OCT URL ohne Port (z.B. “oct.meinedomain.de”)

  • .pfx Datei über Kommandozeile (CMD) erstellen:

    CODE 
    "C:\Program Files\OpenSSL-Win64\bin\openssl.exe" pkcs12 -export -out idscert.pfx -inkey idscert.key -in idscert.crt

  • beliebiges Passwort angeben und Passwort notieren

  • idscert.pfx Datei in Installationspfad im Unterordner “web” kopieren (z.B. “C:\Program Files\Saxess Software\OCT\web”)

5. OCT Konfiguration anpassen

  • OCT Dienst über den OCT Konfigurator beenden

  • Datenpfad im Windows Explorer öffnen (z.B. “C:\ProgramData\Saxess Software\OCT”)

  • appsettings.user.json im Texteditor öffnen

  • Eigenschaft AppConfiguration.CoreSettings.WindowsAuthentication auf “true” setzen

  • Eigenschaft AppConfiguration.IdentityServerConfig ersetzen mit

    CODE 
    "IdentityServerConfig": {
      "ConnectionString": "Server=<SQL Server>;Database=OCTIdentity;TrustServerCertificate=true;Encrypt=true;Trusted_Connection=True;",
      "SigningCertificatePassword": "<Zertifikat Passwort>",
      "Authority": "<OCT URL>",
      "ValidIssuers": [],
      "AllowLocalLogin": false,
      "GuestUserConfig": null,
      "ExternalIdentityProviders": null,
      "SaxessIdentityProvider": {
          "Authority": "<Authority>",
          "ClientId": "<Client ID>",
          "ClientSecret": "<Client Secret>",
          "DisplayName": "OAuth 2.0 Login",
          "Scheme": "oct"
	  },
      "HeaderLabel": "",
      "HeaderDescription": ""
},

  • Platzhalter ersetzen

    • SQL Server: Servername und ggf. Instanz, falls Instanz angegeben wird, dann mit doppeltem Backslash (“SQLServer\\Instanz”)

    • Zertifikat Passwort: Passwort, das beim Erstellen des Zertifikats gesetzt wurde

    • OCT URL: URL, über die OCT erreichbar ist, inklusive Port (“https://oct.meinedomain.de:5000”)

    • Authority, Client ID, Client Secret: Angaben vom OAuth 2.0 Provider

  • OCT Dienst über OCT Konfigurator starten

Beispiele für OAuth 2.0 Provider

Provider

Authority

Microsoft Entra ID

https://login.microsoftonline.com/<Tenant ID>/

Google

https://accounts.google.com

6. Redirect URL in OAuth 2.0 Provider setzen

  • ggf. muss die Redirect URL von OCT in den OAuth 2.0 Provider Einstellungen gesetzt werden

  • die Redirect URL setzt sich zusammen aus den Angaben bei “Authority” und “Scheme”

    CODE 
    <Authority>/signin-<Scheme>

    z.B. “https://oct.meinedomain.de:5000/signin-oct”

Problembehebung

Falls die OCT Webseite nach der Umstellung nicht erreichbar ist, können folgende Logs geprüft werden:

  • Log Datei im Ordner “Logs” im Datenpfad

  • Fehlermeldungen in der Browser Konsole bzw. Netzwerk-Tab (F12-Taste zum Öffnen)

Anmerkungen

  • Das für die OCT HTTPS Verbindung eingesetzte SSL Zertifikat darf nicht self-signed sein.

  • Zusätzliche OAuth 2.0 Provider können im Bereich “ExternalIdentityProviders” hinzugefügt werden.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close