Zum Inhalt

Encvoy ID Übersicht — Single Sign-On (SSO) System#

Encvoy ID ist ein Single Sign-On (SSO) System für die zentrale Benutzerauthentifizierung und das Zugriffsmanagement für Unternehmensanwendungen.

Das System bietet eine sichere zentrale Authentifizierung mit Unterstützung für SSO, OAuth 2.0, OpenID Connect und Zwei-Faktor-Authentifizierung.

Anwendungsfälle für Encvoy ID#

Encvoy ID ist ein System zur Organisation der zentralen Benutzeranmeldung bei IT-Ressourcen des Unternehmens unter Verwendung eines einzigen Kontos.

Encvoy ID richtet sich an Unternehmen, die Folgendes benötigen:

  • Zentrales Anmeldefenster für interne und externe Dienste
  • Zentrales Zugriffsmanagement für verschiedene Benutzerkategorien (Mitarbeiter, Auftragnehmer, Kunden)
  • Erhöhte Sicherheit durch Unterstützung der Multi-Faktor-Authentifizierung
  • Strikte Kontrolle und Audit von Benutzeraktionen
  • Sichere Integration mehrerer Anwendungen mit unterschiedlichen Authentifizierungssystemen

Hauptmerkmale von Encvoy ID#

1. Authentifizierung und Anmeldung#

Das System bietet eine zentrale Authentifizierung und unterstützt mehrere Protokolle und Authentifizierungsmethoden.

Unterstützte Protokolle#

  • OpenID Connect (OIDC) — Benutzerauthentifizierung und Übertragung von Identitätsdaten
  • OAuth 2.0 — Autorisierung und Verwaltung des Ressourcenzugriffs

Authentifizierungsmethoden#

  • Basismethoden: Login und Passwort, E-Mail
  • Externe Identity Provider: Soziale Netzwerke, vertrauenswürdige Unternehmenssysteme und andere Dienste
  • Erweiterte und passwortlose Methoden: Kryptografische Authentifizierung über mTLS (Client-Zertifikate) und WebAuthn (Biometrie, Hardware-Keys) sowie TOTP/HOTP Einmalpasswörter

Zwei-Faktor-Authentifizierung (2FA / MFA)#

Encvoy ID unterstützt Multi-Faktor-Authentifizierung (MFA), bei der der Zugriff erst nach erfolgreicher Identitätsprüfung durch mehrere unabhängige Faktoren (Wissen, Besitz, Biometrie) gewährt wird.

2. Anwendungs- und Benutzerverwaltung#

  • Erstellung und Konfiguration von Anwendungen: Webanwendungen, native mobile Anwendungen
  • Widget-Anpassung: Abstimmung des externen Authentifizierungs-Widgets auf das Branding des Unternehmens
  • Benutzerverwaltung: Registrierung, Bearbeitung, Sperrung, Passwortänderungen

3. Sicherheit und Audit#

  • Differenzierung von Zugriffsrechten
  • Detaillierte Protokollierung aller Ereignisse und Aktionen

4. Mini-Widget#

Eine leichtgewichtige JavaScript-Komponente, die schnellen Zugriff auf Authentifizierungsfunktionen und Benutzerinformationen bietet. Es lässt sich einfach in beliebige Websites und Schnittstellen einbetten und ermöglicht Übergänge zum Profil, zum Organisations-Dashboard und zu den Anwendungen.

Zugriffsebenen#

Das System bietet ein flexibles rollenbasiertes Zugriffsmodell:

Rolle Berechtigungen Bestimmt für
Manager Verwaltung von Anwendungen und Anmeldemethoden für die Organisation/Einheit Abteilungsleiter, Projektmanager
Administrator der Anwendung Verwaltung spezifischer Anwendungen und deren Benutzer Entwickler, Anwendungsadministratoren
Mitglied Verwaltung des persönlichen Profils und Berechtigungen für den Datenzugriff Reguläre Benutzer, Mitarbeiter

Encvoy ID Systemmodule#

1. Profil#

Das Modul „Profil“ ermöglicht die Verwaltung persönlicher Benutzerdaten und Zugriffseinstellungen. Es umfasst Funktionen zur Bearbeitung persönlicher Informationen, Datenschutzeinstellungen, Verwaltung von Anwendungsberechtigungen und Einsicht in Aktivitätsprotokolle. Das Modul bietet zudem Zugriff auf den öffentlichen Anwendungskatalog.

2. Organisations-Dashboard#

Das Modul „Organisations-Dashboard“ ermöglicht die Verwaltung von Anwendungen, Authentifizierungsmethoden und Zugriffsrichtlinien innerhalb der Organisation. Es umfasst Einstellungen für Organisationsparameter, Konfiguration von Anmeldemethoden, Verwaltung von Organisationsanwendungen und Überwachung der Benutzeraktivitäten.

3. Anwendungs-Dashboard (ADM)#

Das Modul „Anwendungs-Dashboard“ ist für die Administration einzelner Anwendungen konzipiert. Es enthält Funktionen zur Verwaltung zugewiesener Anwendungen und zur Überwachung der Aktivitäten von Benutzern, die Zugriff auf diese Anwendungen haben.

Konzept und Funktionsprinzipien von Encvoy ID#

Allgemeines Interaktionsschema#

Allgemeines Interaktionsschema von Encvoy ID mit Unternehmenssystemen

Interaktionssequenz:

  1. Zugriffsanfrage — der Benutzer greift auf das Informationssystem (IS) zu.
  2. Prüfung in IS-DB — das System prüft, ob der Benutzer existiert.
  3. Weiterleitung zum Widget — der Benutzer wird zu Encvoy ID geleitet.
  4. Authentifizierung — der Benutzer durchläuft den Anmeldevorgang.
  5. Prüfung in Encvoy ID-DB — Validierung der Anmeldedaten.
  6. Profilbereitstellung — Rückgabe der Benutzerdaten.
  7. Mapping im IS — Suche nach dem Benutzer basierend auf den Daten von Encvoy ID.
  8. Rechteprüfung — Autorisierung im Zielsystem.
  9. Zugriff gewährt — erfolgreiche Anmeldung am System.

📌 Integrationsanforderungen: Um ein Informationssystem an Encvoy ID anzubinden, sind eine Benutzerdatenbank und ein Autorisierungsmodul erforderlich, das OpenID Connect oder OAuth 2.0 unterstützt.

OpenID Connect Autorisierungsschema#

OpenID Connect Autorisierungsschema

Wichtige OIDC-Phasen:

  1. Benutzer greift auf das IS zu.
  2. IS (Client) generiert code_verifier und code_challenge.
  3. IS leitet den Benutzer zu /authorize in Encvoy ID weiter.
  4. Benutzer wird zum Encvoy ID Autorisierungs-Widget weitergeleitet.
  5. Benutzer gibt Login/Passwort ein und stimmt der Datenübertragung zu.
  6. Benutzerprüfung erfolgt in der Encvoy ID DB.
  7. Benutzer wird mit einem Authorization code zurück zum IS (Client) geleitet.
  8. IS sendet eine Anfrage an /token in Encvoy ID.
  9. code_challenge und code_verifier Validierung in Encvoy ID.
  10. Bereitstellung des id token mit dem Encvoy ID Benutzerprofil und access token (optional refresh token) an das IS.
  11. IS-Benutzerauthentifizierung.
  12. Benutzer erhält Zugriff auf das IS.

OAuth 2.0 Autorisierungsschema#

OAuth 2.0 Autorisierungsschema

Besonderheiten des OAuth 2.0 Flows:

  1. Benutzer greift auf das IS zu.
  2. IS leitet den Benutzer zu /authorize in Encvoy ID weiter.
  3. Benutzer wird zum Encvoy ID Autorisierungs-Widget weitergeleitet.
  4. Benutzer gibt Login/Passwort ein und stimmt der Datenübertragung zu.
  5. Benutzerprüfung erfolgt in der Encvoy ID DB.
  6. Encvoy ID leitet den Benutzer mit einem Authorization code an die Redirect_URI des IS zurück.
  7. IS sendet eine Anfrage für einen token unter Verwendung des Authorization code.
  8. Encvoy ID validiert die Anfrage.
  9. Encvoy ID gibt id token und access token zurück (optional refresh token).
  10. IS fordert das Benutzerprofil an.
  11. Encvoy ID stellt das Benutzerprofil bereit.
  12. IS validiert die Antworten und erstellt eine lokale Benutzersitzung.
  13. Benutzer erhält Zugriff auf das IS.

Single Sign-On (SSO) Schema#

Wie Single Sign-On zwischen mehreren Systemen funktioniert

Typisches Szenario:

  1. Zugriffsanfrage an IS1.
  2. Benutzerauthentifizierung in Encvoy ID.
  3. Bereitstellung des Encvoy ID Benutzerprofils an IS1.
  4. Zugriffsanfrage an IS2.
  5. Bereitstellung des Encvoy ID Benutzerprofils an IS2, ohne das Authentifizierungsverfahren zu wiederholen.

Siehe auch#