Wie funktioniert Single-Sign-On per OpenID Connect in Inxmail?

Hier siehst Du vereinfacht, wie beim Single-Sign-On verschiedenen Akteure zusammenwirken, wenn Du Deine externen Identity Provider per OpenID Connect an Inxmail anbindest.

Ablauf

1. Deine Benutzer·innen rufen die Anmeldeseite für Inxmail auf und geben ihre E-Mail-Adresse ein.

2. Inxmail leitet die Anfrage an den Inxmail Authorization Server weiter.

3. Der Inxmail Authorization Server erkennt, dass es sich um eine E-Mail-Adresse handelt, die per Single-Sign-On mit einem Identity Provider verknüpft ist und fordert die Authentifizierung beim hinterlegten Identity Provider an.

   Wie stelle ich die Verknüpfung inital her?

   • Falls Du eine Weiterleitung eingerichtet hast, erkennt der Inxmail Authorization Server automatisch, dass die E-Mail-Adresse mit einem Identity Provider verknüpft ist und leitet Deine User·innen an den Login des Identity Provider weiter.

     

   • Falls Du keine Weiterleitung eingerichtet hast, müssen sich Deine User·innen einmalig über den URL für den ersten Login einloggen, um eine Verknüpfung herzustellen.

     

   Ab dem zweiten Login erkennt der Inxmail Autorization Server automatisch, mit welchem Identity Provider Deine Benutzer·innen verknüpft sind und leitet sie automatisch weiter.

   Wie wirken die Benutzer·innen der beiden Systeme zusammen?

   Inxmail legt eine·n lokale·n Benutzer·in an. Die lokalen Inxmail Benutzer·innen repräsentieren die Benutzer·innen des Fremdsystems.

   Benutzer·innen, die es in Inxmail noch nicht gibt, legt Inxmail neu an. Benutzer·innen, die es in Inxmail bereits gibt, verknüpft Inxmail mit dem Identity Provider. Führendes System für alle Profildaten ist das Fremdsystem (= der Identity Provider). Ausnahme ist die Sprache der Bedienoberfläche. Bei der Sprache merkt sich Inxmail Deine letzte Einstellung. Bei allen Profil-Daten (außer der Sprache) ruft Inxmail bei jedem Login die Profil-Daten vom Identity Provider ab und übernimmt bei Abweichungen die Daten des Identity Providers.

4. Die Benutzer·innen authentifizieren sich mit den Anmeldedaten ihres Identity Providers.

5. Das Fremdsystem (= der Identity Provider) gibt die erfolgreiche Authorization Response an den Inxmail Authorization Server zurück.

6. Inxmail legt eine·n lokale·n Benutzer·in an.

7. Der Inxmail Authorization Server leitet die Benutzer·innen zurück an Inxmail, mit einer lokalen (Inxmail) Authentifizierung.

8. Die Benutzer·innen sind eingeloggt.

Weitere Infos

• Dokumentation von OpenID Connect