Infos zum Start & Grundlagen
EinleitungOrganisation, Kanäle und MixesPosts, Karten & Content TypenRollen für NutzendeCommunity FunktionenMobile Apps & Web AppFunktions-& LeistungsbeschreibungTech StackSupportDatenschutz
Grundlage Datenschutzkonzept(e)NutzungsauswertungVerwaltung Zugangsdaten der NutzendenPersonenbezogene Daten und DatenkategorienInhalte in App und WebAuftragsdatenverarbeiterTOMsInformationssicherheit
Informationssicherheit bei tchopSicherheitsrichtlinie ISO27001 ZertifikatSicherer ZugangSchwachstellenanalyseRisikoanalyseKommunikationsmatrixApp Customization & Deployment
Bereitstellung AppsMobile App Deployment & Vertrieb
App CustomizationApp UpdatesSSO via SAMLSSO via Open ID ConnectAnalytics & Reporting
Grundlagen KPIsAnalytics DashboardProjektsteuerung
Arbeitspakete & TimelineEnablementLaunch & OnboardingBetriebsratBeispiele & VorlagenSonstiges
Feature RoadmapLanguages
EnglishZugang App und Platform
Die auf der tchop Plattform gespeicherten Daten der einzelnen Nutzerinnen und Nutzer sind die Grundlage für die App-Nutzung. So erhält jeder einzelne Nutzende einen persönlichen Account in dem personenbezogene Daten gespeichert werden.
Dabei gibt es technisch verschiedene Möglichkeiten den Austausch von relevanten Daten bzw. der Authentifizierung von Nutzenden robust und sicher aufzusetzen.
Welche Möglichkeit im einzelnen Fall Sinn macht, hängt von verschiedenen Faktoren ab, wie
- den eigenen technischen Anforderungen in Sachen IT Sicherheit
- der Verfügbarkeit von Systemen zur Verwaltung von Mitarbeitenden-Daten im Unternehmen (bspw. SSO via OIDC)
- den fachlichen Anforderungen, bspw. welche Daten werden benötigt bzw. gewünscht
In den meisten Fällen ist es sinnvoll mit einer gemeinsamen Abstimmung zwischen der Fachabteilung und der Unternehmens-IT zu beginnen, um die jeweiligen Rahmenbedingungen besser zu verstehen.
Anforderungen
Die Integration mit Ihrer Nutzendenverwaltung sollte folgende Funktionen in Verbindung mit der tchop Plattform gewährleisten:
- Onboarding von Nutzenden auf die Plattform, wenn sie bei Ihrem Unternehmen anfangen - für mobile Apps und Web App
- Metadaten, um Nutzende zu relevanten Gruppen hinzuzufügen (bspw. anhand von Standorten oder Fachabteilungen)
- Metadaten, um die Darstellung der Nutzendenprofile informativer zu machen (bspw. mit der Darstellung von Informationen zu Standort, Position, Telefonnummer)
- Offboarding von Mitarbeiter*innen von der Plattform, wenn sie das Unternehmen verlassen
- Entfernen von Gruppen, die nicht länger benötigt werden (bspw. weil ein Standort geschlossen wird)
- Eine sichere Lösung, die berufliche Endgeräte als auch private
Eine zentrale Rolle dabei spielt die Frage, ob alle Ihre Nutzenden bereits über eine E-Mail bzw. einen SSO Zugang verfügen. Für Mitarbeitende ohne E-Mail-Adresse bietet tchop Möglichkeiten der Registrierung über andere Formen wie IDs (z.B. Personalnummer).
Technische Optionen
tchop bietet alle heute im Markt gängigen Möglichkeiten, um Daten von Nutzenden sicher und zuverlässig auszutauschen bzw. den Zugang Ihrer Zielgruppe zur App zu ermöglichen und sicher zu verwalten. Dazu gehört das Nutzermanagement mit Hilfe von
- SCIM (System for Cross-domain Identity Management) - damit lassen sich beliebige Identitätsprovider (bspw. Microsoft Azure Active Directory, Okta oder One Identity Manager) zur Verwaltung der Nutzer*innen verwenden und Daten mit der tchop Plattform sicher synchronisieren (sog. Directory-Sync).
- Single-Sign-On (SSO) via SAML oder OpenID - damit können Anmeldedaten sicher übertragen werden, um Nutzenden den Zugang mittels des bestehenden SSO Accounts zu ermöglichen; wir bieten SSO Integrationen für die meisten gängigen ID Provider an
- Import von Nutzendendaten via CSV oder XML - dabei werden Daten verschlüsselt über einen SFTP Server oder einen Service wie Cryptshare bereit gestellt und bspw. einmal täglich, wöchentlich oder monatlich in die tchop Plattform importiert. Die Nutzenden bekommen hier technisch einen eigenen Zugang zur App über die tchop Plattform; es ist keine SSO Integration notwendig.
Die Integration weiterer Anbieter und Systeme ist prinzipiell möglich und muss mit den technischen Ansprechpartnern abgestimmt werden.
Vorteile SSO
Single Sign-On (SSO) ist eine effektive Methode, um den Anmeldeprozess für Benutzer in verschiedenen Anwendungen und Diensten zu vereinfachen. Die SSO-Technologie ermöglicht es Benutzern, sich nur einmal anzumelden und automatisch auf mehrere verbundene Systeme zuzugreifen.
Die Nutzung von SSO via SAML bietet zahlreiche Vorteile, darunter:
- Verbesserte Benutzerfreundlichkeit: SSO reduziert die Anzahl der Anmeldungen, die Benutzer durchführen müssen, und erleichtert den Zugang zu verschiedenen Anwendungen und Diensten.
- Erhöhte Sicherheit: Durch die zentrale Verwaltung von Anmeldeinformationen können Unternehmen ihre Sicherheitsrichtlinien besser durchsetzen und das Risiko von schwachen oder mehrfach verwendeten Passwörtern minimieren.
- Vereinfachte Verwaltung: SSO vereinfacht die Verwaltung von Benutzerkonten und Zugriffsrechten, indem es IT-Administratoren ermöglicht, Anmeldeinformationen und Berechtigungen zentral zu verwalten.
- Reduzierter Helpdesk-Aufwand: Durch die Verringerung der Anzahl der vergessenen Passwörter und damit verbundenen Support-Anfragen können Unternehmen Helpdesk-Kosten senken.
- Verbesserte Compliance: SSO mittels marktüblicher Verfahren wie OIDC oder SAML helfen Unternehmen dabei, gesetzliche Vorgaben und Datenschutzrichtlinien einzuhalten, indem sie einen standardisierten und sicheren Austausch von Authentifizierungs- und Autorisierungsinformationen gewährleisten.
Praktisch alle modernen Identitäts- und Zugriffsverwaltungsdienst (wie bspw. Azure Active Directory) unterstützen OpenID Connect und/oder SAML. Speziell für klassische Mitarbeitenden-Apps empfehlen wir zum Start eine SSO Integration.
SSO Protokolle
tchop unterstützt die folgenden Protokolle für die synchronisierte Anmeldeprozesse.
oAuth2
OAuth2 kommt überwiegend in Verbraucheranwendungen für die Autorisierung und die Authentifizierung zum Einsatz. Es wird in der Regel für die Autorisierung des Zugriffs auf RESTful APIs genutzt, wo es dank der Verwendung von Zugriffstokens einfach und attraktiv ist.
Open ID Connect
OpenID Connect (OIDC) ist ein offenes Authentifizierungs-protokoll, das OAuth 2.0 profiliert und um eine zusätzliche Identitätsebene erweitert. Über OIDC können Clients die Identität eines Endnutzers mit Hilfe der Authentifizierung durch einen Autorisierungsserver bestätigen. Das Einbinden von OIDC in Ergänzung von OAuth 2.0 schafft ein einzelnes Framework, das die Sicherung von APIs, mobilen nativen Anwendungen wie auch Browser-Anwendungen in einer einzigen kohärenten Architektur verspricht.
Wir empfehlen bei SSO Integrationen im Unternehmensbereich prinzipiell die Nutzung dieses Protokolls, weil es moderner und sicherer ist als die üblichen Alternativen.
SAML
Eine andere weit verbreiteten SSO-Lösungen ist die Security Assertion Markup Language (SAML), ein XML-basiertes Standardprotokoll für den Austausch von Authentifizierungs- und Autorisierungsinformationen.
SAML unterstützt neben Single Sign-on auch die Autorisierung über die Abfrage von Attributen.
Das Protokoll wird häufig für das SSO bei Anwendungen im öffentlichen Sektor und in Unternehmen genutzt (Identitätsmanagement), in denen die Backend-Systemverarbeitung von XML üblich ist.
Optionen Provisionierung
Die oben genannten Protokolle konzentrieren sich hauptsächlich auf die Authentifizierung von Benutzern und die Übermittlung von Attributen, die für die Autorisierung verwendet werden können. Es ist nicht speziell für das Benutzerprovisioning entwickelt worden.
Für das Benutzerprovisioning gibt es andere Protokolle und Standards wie SCIM (System for Cross-domain Identity Management) oder die älteren Standards wie SPML (Service Provisioning Markup Language). SCIM ist ein offener Standard, der die Verwaltung von Identitätsinformationen über verschiedene Plattformen hinweg ermöglicht, einschließlich der Erstellung, Aktualisierung, Suche und Löschung von Benutzerkonten. tchop unterstützt SCIM.
Obwohl SAML nicht direkt für das Benutzerprovisioning vorgesehen ist, können SAML-Assertionen verwendet werden, um Benutzerattribute und Rolleninformationen an den Dienstanbieter zu übermitteln. Der Dienstanbieter kann diese Informationen dann nutzen, um den Benutzerzugriff auf Ressourcen basierend auf den empfangenen Attributen und Rollen einzuschränken oder anzupassen.
Dieses Vorgehen ist eine Art der "Just-in-Time"-Provisionierung, bei der Benutzer bei Bedarf erstellt oder aktualisiert werden, wenn sie sich über OIDC- oder SAML-SSO anmelden.
Wenn eine umfassendere Benutzerprovisioning zusammen mit SSSO implementiert werden soll, bietet an, um eine umfassendere Lösung für die Verwaltung von Benutzeridentitäten und Zugriffsrechten im Zusammenspiel mit OIDC oder SAML zu erhalten.
tchop ermöglicht sowohl die “Just-in-Time” Provisionierung via SSO als auch die Nutzung von SCIM für die Synchronisierung der Mitarbeitenden.