ownCloud
05.11.2017, 11:38 Uhr
Sichere Authentisierung und Autorisierung durch OAuth2
Der offene Industriestandard OAuth2 steht ab sofort für alle ownCloud User zur Verfügung.
(Quelle: https://owncloud.com/de/)
OAuth2 sorgt für einen sicheren und erleichterten Anmeldeprozess für ownCloud Clients sowie eine deutliche Erhöhung der Sicherheit bei der Einbindung von ownCloud in Third-Party-Applikationen und Web Services. Durch die Integration müssen künftig keine Passwörter mehr in ownCloud Desktop Clients oder ownCloud Mobile Apps für iOS und Android gespeichert, sondern nur im automatisch gestarteten Web Browser eingegeben werden (authentisiert). Der zugehörige Client erhält anschliessend einen einzigartigen Access Token, der in Verbindung mit dem OAuth2-Protokoll den Login ermöglicht (autorisiert). Das Protokoll wird für alle zukünftigen Verbindungen mit dem ownCloud Server eingesetzt. Sowohl die ownCloud Clients, als auch eingesetzte Third-Party-Webapplikationen gelangen dabei aber nie an die tatsächlichen Login-Daten.
Die Nutzung verschiedener Access Tokens pro Client schafft ausserdem die Möglichkeit, einzelne Sitzungen selektiv zu beenden. Da der Token für jedes Gerät und jede Anwendung einzeln erstellt wird, können User ihre autorisierten Clients in den persönlichen Einstellungen überprüfen sowie einzelne Tokens löschen, was vor allem beim Verlust eines Geräts hilfreich ist. Damit erhält der User mehr Kontrolle bei gleichzeitiger Erhöhung der Zugriffssicherheit.
Die serverseitige Authentisierung erleichtert die Integration von Identitätsmanagement-Diensten (zum Beispiel SAML/SSO), da Clients nur noch durch den Server autorisiert werden müssen. Die Einbindung weiterer Authentisierungsprotokolle (wie CAS) in ownCloud wird ebenfalls vollständig serverseitig erfolgen. Die Clients werden davon unabhängig über OAuth2 autorisiert.
Die Entwicklung ist das Resultat eines Community-Projektes von Studenten der Universität Münster für die Bildungsplattform Sciebo@Learnweb mit dem Ziel einer ownCloud-Integration in die Lernplattform Moodle (https://pssl16.github.io/). Die Entwicklung wurde im Anschluss in Zusammenarbeit mit ownCloud-Entwicklern für den professionellen Einsatz adaptiert und weiterentwickelt.
Die Nutzung verschiedener Access Tokens pro Client schafft ausserdem die Möglichkeit, einzelne Sitzungen selektiv zu beenden. Da der Token für jedes Gerät und jede Anwendung einzeln erstellt wird, können User ihre autorisierten Clients in den persönlichen Einstellungen überprüfen sowie einzelne Tokens löschen, was vor allem beim Verlust eines Geräts hilfreich ist. Damit erhält der User mehr Kontrolle bei gleichzeitiger Erhöhung der Zugriffssicherheit.
Die serverseitige Authentisierung erleichtert die Integration von Identitätsmanagement-Diensten (zum Beispiel SAML/SSO), da Clients nur noch durch den Server autorisiert werden müssen. Die Einbindung weiterer Authentisierungsprotokolle (wie CAS) in ownCloud wird ebenfalls vollständig serverseitig erfolgen. Die Clients werden davon unabhängig über OAuth2 autorisiert.
Die Entwicklung ist das Resultat eines Community-Projektes von Studenten der Universität Münster für die Bildungsplattform Sciebo@Learnweb mit dem Ziel einer ownCloud-Integration in die Lernplattform Moodle (https://pssl16.github.io/). Die Entwicklung wurde im Anschluss in Zusammenarbeit mit ownCloud-Entwicklern für den professionellen Einsatz adaptiert und weiterentwickelt.
