Wir haben mit dem OAuth 2.0 Implicit Flow with Form Post ein neues Autorisierungsprotokoll für die SSO (Single Sign-on)-Anmeldung in LamaPoll eingerichtet. Sie nutzen für Ihre SSO-Anbindung einen vom Internet abgetrennten Provider? Dann ist der OAuth 2.0 Implicit Flow with Form Post besonders interessant. Der Implicit Form Post Flow ist ideal für Fälle, bei denen der Identity Provider aus Sicherheitsgründen „air gapped“ (vom Internet abgetrennt) und dadurch nur für die Mitarbeiter aufrufbar ist.
Dieser Flow wird von modernen OAuth 2.0-Implementierungen empfohlen, da er ein höheres Maß an Sicherheit und Datenschutz bietet als der „Implicit Flow“, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Es handelt sich also explizit nicht um den OAuth 2.0 Implicit Flow, von dem aus Sicherheitsgründen inzwischen abgeraten wird, sondern um dessen moderne und sichere Weiterentwicklung mit der Anforderungsmethode POST. Hierbei wird der Autorisierungscode weder in der URL noch im Browser-Verlauf angezeigt, was das Risiko von potenziellen Sicherheitslücken, wie Token-Leaks in Browserverlauf oder Logs, reduziert. Es ist jedoch wichtig zu beachten, dass die Implementierung und Verwendung vom OAuth 2.0-Flow korrekt erfolgt, um Sicherheitslücken zu vermeiden:
So verwenden Sie OAuth 2.0 Implicit Flow with Form Post korrekt in LamaPoll:
- Wählen Sie beim Anlegen der SSO-Verbindung in LamaPoll den Flow „Implicit Form Post“
- Tragen Sie im Feld „Client Secret“ den öffentlichen Schlüssel ein, welcher für die Signierung der Tokens vom Identity Provider genutzt wird.
Weitere Informationen zur SSO-Anmeldung bei LamaPoll finden Sie in unserem Helpdesk: SSO-Anmeldung bei LamaPoll.