Login über Single-Sign-on

Owned by Dieter Hummes
Last updated: 02.05.2022
5 min read

Allgemeines

Auf der ARGE II/2021 wurde die Umstellung auf ein neues Login-Konzept für nuSport in Aussicht gestellt. Im Mittelpunkt steht hierbei ein neuer zentraler Login-Dienst "nuLiga-ID", der die Authentifizierung der Benutzer:innen übernimmt. Die zentrale Abwicklung des Logins ermöglicht es, ein sogenanntes Single-Sign-on-Verfahren zu erreichen. Der Wechsel zwischen Applikationen kann dabei, in einem bestimmten Zeitraum, ohne erneuten Login erfolgen.

Single Sign-On ist ein Verfahren der einmaligen Authentifizierung, nach der ohne erneute Eingabe der Login-Daten auf weitere Anwendungen oder Dienste zugegriffen werden kann. SSO authentifiziert den Benutzer automatisch für die Anmeldung bei nachgelagerten Anwendungen.

Mit dem Release vom 26.04.2022 ist es so weit, das neue Login-Verfahren ist nun im Produktivsystem verfügbar.

Hinweise für IT-Fachleute (von nu-GmbH):

Für das Verständnis zum neuen Verfahren muss beachtet werden, dass der ID-Service eine eigenständige Applikation ist, die nichts anderes macht wie den Login und das Benutzermanagement (Passwort ändern ,…) durchzuführen. Diese Applikation hat ebenfalls eine Session (4 Stunden) und sorgt dafür, dass der Single-Sign-on in diesem Zeitraum funktioniert. Ob ein Login auf dieser Applikation besteht, kann auch direkt geprüft werden - siehe https://hbde-id.liga.nu/oauth2 .

Bei einem Login durch eine Applikation (nuLiga, nuLigaAdmin, …) wird ebenfalls neuerdings der ID-Service angesprochen und dort nachgefragt, ob die Identität des Benutzers bereits bekannt ist. Ist dort bereits ein aktiver Login vorhanden, wird der Benutzer in der jeweiligen Applikation zurückgeleitet - der ganze Mechanismus basiert auf HTTP-Umleitungen (redirects). Der Benutzer wird dabei immer auf die anfragende Applikation zurückverwiesen.

Administrative Applikationen

Beim Aufruf von administrativen Applikationen werden die Benutzer:innen automatisch auf den zentralen Login-Dienst weitergeleitet, sollte zuvor noch kein Login erfolgt sein.

Ist bereits eine aktive Authentifizierung vorhanden, wird der Login direkt durchgeführt und die Arbeit in der Applikation kann sofort beginnen. Die bestehenden Login-Formulare sind damit nicht mehr verfügbar.

Wie lange bleiben Benutzer:innen eingeloggt?

Der Login bleibt maximal für einen Zeitraum von 4 Stunden bestehen. In diesem Zeitraum kann ggf. zwischen Applikationen ohne erneute Eingabe der Benutzerdaten gewechselt werden. Hierbei wurde ein Kompromiss zwischen Sicherheit und Komfort gewählt. Zu beachten gilt, dass die Betätigung des Abmelden-Links in einer Applikation stets zu einem vollständigen Logout führt. Die Benutzer:innen haben damit prinzipiell selbst in der Hand wie lange der Login tatsächlich innerhalb der 4 Stunden aktiv bleibt

Hinweis:

Ist der Login noch aktiv und man versucht trotzdem sich in nuLigaAdmin oder nuVerband einzuloggen, erscheint dieser Fehlerhinweis:

Vereinsbereich/persönlicher Bereich

Der Login erfolgte hier bisher von der Startseite der nuLiga-Seiten bzw. über eigens vorgesehene Login-Formulare auf den Verbandshomepages. Um den Benutzer:innen weiterhin einen möglichst unveränderten Vorgang zu bieten, wurden die bestehenden Login-Formulare nicht vollständig entfernt. Die Login-Formulare werden in reduzierter Form ohne Passwort weiterhin angeboten.

Erst nach Eingabe des Benutzernamens und Klick auf "Login" werden die Benutzer:innen auf den zentralen Login-Dienst weitergeleitet, wo das Passwort ergänzt werden muss und der Login-Vorgang schlussendlich durchgeführt wird.

Hinweise:

  • Hat man als Admin gleichzeitig auch eine Zugangsberechtigung zu einem oder mehreren Vereinen, so benötigt man nach einem Vereinslogin keine Login-Eingaben für den Adminbereich. Die Login-Daten werden automatisch übernommen und man befindet sich sofort im Adminbereich.

  • Bin ich im Adminbereich eingeloggt und will mich parallel auch in meinen persönlichen bzw. Vereinsaccount einloggen, wird dafür auch nur der Benutzername abgefragt

Alias-Login

Als Admin hatte man bei entsprechenden Rechten (Verband oder Schlüpfen in Vereinsrolle) die Möglichkeit in die Rolle eines „untergeordneten“ Benutzers zu schlüpfen oder sich in den Bereich eines Vereins einzuloggen.

Wichtiger Hinweis für Admins:

Diese Möglichkeit besteht im Adminbereich weiterhin für den Fall in der bisherigen Form über die Eingabe <Benutzer>/<anderer Benutzer>, wobei diese andere Benutzer Adminrechte haben muss. Voraussetzung ist dabei, dass man selbst das Recht Verband besitzt.

Im Adminbereich gibt es noch keine Eingabemöglichkeit für einen Alias-Login im eigenen Profil.

Es wird demnächst aber auch hier im Profil eine entsprechende Funktion implementiert, damit der Prozess gleichförmig zu nuLiga geschehen kann. Der Alias-Login für Verbandsbenutzer hatte - zumindest in den Sportarten Tennis und Badminton - keine große Relevanz, weshalb hier keine Priorität gesetzt wurde. Der Login für Admin-Benutzer beschränkt sich auf Benutzer mit Verbandsrecht!

Mit der Umstellung auf das neue Authentifizierungsverfahren ist der bisherige Weg des Alias-Logins über <Benutzer>/<anderer Benutzer> bzw. <Benutzer>/<Vereinsnummer> nicht mehr möglich. Anstelle dieser Möglichkeit ist eine interaktive Funktion in nuLiga getreten. Dabei ist zu beachten, dass der Login im ersten Schritt über den eigenen Benutzer erfolgen muss. Nachfolgende Handlungsanleitung beschreibt den Vorgang Schritt für Schritt.

Der Login erfolgt wie gewohnt über die öffentliche nuLiga-Seite: www.hvn-handball.liga.nu (bzw. allgemein www.verbandskürzel-handball.liga.nu)

  • Nach diesem Schritt, gelangt man auf den neuen Authentifizierungs-Dienst von nuLiga, wo man Benutzername und Passwort eingeben kann. Der Benutzername wird bereits vorgeblendet. Es muss noch das Passwort eingegeben werden.

  • Nach erfolgreichem Login ist die Alias-Login-Funktion im persönlichen Profil zu finden. Es stehen hierbei die beiden bekannten Varianten zur Verfügung.

Alias-Login: Als Benutzer anmelden

Den Benutzernamen (in nuLiga hinterlegte E-Mail 1) eingeben:

Und den Login-Button anklicken:

Und man hat nun die Rechte und die Sichtweise des gewählten Benutzers.

Mit der Aktivierung des Buttons Alias-Login beenden springt man wieder in seinen persönlichen Bereich zurück.

An- und Abmeldung erfolgen immer im Bereich „Mein Profil“. Sowohl im eigenen Bereich als auch im Bereich des Nutzers, in dessen Rolle man geschlüpft ist.

Alias-Login: Als Verein anmelden

Bisher konnte man durch Anhängen eines Schrägstrichs und der Vereinsnummer über den Login direkt in den Vereinsbereich springen. Quasi als Vereinsadministrator inkl. der eigenen Rechte als Admin.

Dies geht jetzt auch nur noch über einen Alias-Login, indem man die Vereinsnummer eingibt (Beispiel):

Nach dem Aktivieren des Login-Buttons wird oben rechts in dem Fenster den Link zum gewählten Verein angeboten …

… über den man dann in den Verein wechseln kann:

Bitte dabei aber beachten, dass die übergeordneten eigenen Rechte hier wirksam sind!! So kann man z.B. im Bereich der Mannschaftsmeldung Meldeligen sehen und auch nutzen, auf die die Inhaber des Rechts Meldung dieses Vereins keine Zugriffsberechtigung haben!

Die Nutzung dieses Alias-Login beendet man im eigenen Profil mit dem Button „Alias-Login beenden“!