Nur ein Login für sämtliche Webshops, Benutzerkonten, Businessapplikationen? Tönt verlockend. Erfahren Sie, wie Sie sich an einer Weblösung wie z. B. einer Zeiterfassungssoftware mit Ihren bestehenden Zugangsdaten Ihres Google- oder Microsoft Azure AD / Microsoft 365 Kontos anmelden. Was ist ein Identity Provider und wie läuft eine Authentisierung des Users ab? Welche Daten werden übertragen und ist dies sicher?
Benutzerkonten und Zugangsdaten zur Identifikation
Praktisch jeder Webshop möchte, dass Sie sich als Kunde mit einem Kundenkonto registrieren. Dies erleichtert die Kommunikation, die Administration und das Einkaufserlebnis des Kunden nachhaltig. Mit einem Kundenkonto bin ich in der Lage, den Status meiner Bestellung online zu verfolgen und habe Zugriff auf die gesamte Historie meiner bereits gekauften Artikel oder Dienstleistungen. Gerade im Garantiefall entfällt ein lästiges Suchen nach dem Kaufbeleg. Dieser steht dem Kunden in der Regel in seinem Benutzerkonto zur Verfügung. Voraussetzung ist, Sie kaufen nicht als Gast ein, sondern erstellen ein Kundenkonto. Sicher geht es dem einen oder anderen wie mir in dieser Situation: noch ein weiteres Kundenkonto?
Der Dschungel mit den Zugangsdaten
Nun können Sie selbstverständlich für jeden Webshop ein eigenes Login erstellen. Die Anzahl der Logins wird über die Jahre dabei schnell unüberschaubar. Klar, es gibt die Möglichkeit des Passwortmanagers oder Sie lassen den Browser Ihre Zugangsdaten speichern. Es gibt aber Alternativen.
Die Identity Provider – Microsoft 365, Google, Facebook, SwissID
Zugangsdaten bestehen in der Regel aus einer Benutzerkennung (Benutzername oder E-Mail-Adresse) und einem Passwort. Wenn Sie nun im genannten Webshop ein Benuterzkonto eröffnen, verwaltet dieser Webshopbetreiber Ihre Zugangsdaten. Wird der Webshopbetreiber gehackt, könnten auch Ihre Zugangsdaten gehackt werden.
Sie kennen das sicher. Nach kurzer Internetsuche finden Sie das gewünschte Geschenk in einem Onlinestore. Im Kaufprozess werden Sie vom Webshop gefragt, ob Sie sich z. B. mit dem Login sozialer Netzwerke wie Google oder Facebook anmelden möchten. In dem Fall übernehmen Google oder Facebook die Rolle des Identity Providers. Davon gibt es einige: nebst den Erwähnten auch Microsoft 365 oder SwissID der Schweizer Post.
Anstelle der Anmeldung und Identifizierung im Webshop werden Sie aufgefordert, die Anmeldedaten z. B. von Google (Benutzername und Passwort) einzugeben. Google übernimmt dann den Teil der Identifikaton für den Webshop und bestätigt dem Webshop, dass die eingegebenen Zugangsdaten korrekt sind. Bei dieser Anfrage an Google wird nicht übermittelt, was Sie kaufen, sondern nur die relevanten Daten, die Google benötigt, um Sie als User zu identifizieren. Selbstverständlich auch mit Zwei-Faktor-Authentifizierung, sofern Sie ihr Google Konto entsprechend konfiguriert haben.
Identity Provider Identifikation – Ihr Nutzen
Die Vorteile dieser Form der Identifikation sind vielfältig. Der Webshopbetreiber muss keine Passwörter seiner Kunden verwalten, schützen, zurücksetzen, etc. Die Kunden können mit wenigen Logins und dementsprechend wenigen Passwörtern sich an unzähligen Webshops oder Internetanwendungen anmelden. Gerade im Business Umfeld mit Microsoft 365 als zentraler Benutzerverwaltung einer Firma stellt diese Art von Login eine Form von Single-Sign-On dar.
Zeiterfassung in TimeRocket mit Microsoft 365
Lassen Sie Ihre Mitarbeitenden das Microsoft Microsoft 365 Login verwenden, um sich an TimeRocket anzumelden. Der Mitarbeitende hat sein Windows Login und meldet sich einfach mit denselben Zugangsdaten auch an der Zeiterfassungslösung TimeRocket an. Die Zugangsdaten lassen sich speichern, sodass diese nicht jedesmal eingegeben werden müssen. Zudem werden die Zugangsdaten nie an TimeRocket übertragen.
TimeRocket bietet Microsoft Azure / Microsoft 365 und Google als Identifikationsprovider an. Die Loginmöglichkeit mit SwissID folgt demnächst.
Für die Techniker unter uns
Die TimeRocket App wird über das OAuth 2.0 Protokoll mit openId authorisiert.
Der TimeRocket User wählt beim ersten Login als Identity Provider AZURE AD / MICROSOFT 365. Anschliessend muss der User der TimeRocket App folgende Berechtigungen erlauben:
- Sign in and read user profile
Diese Einstellung erlaubt dem User, sich bei TimeRocket mit den Zugangsdaten von Azure AD anzumelden.
Welche Daten werden übermittelt?
TimeRocket liest folgende Daten aus dem Azure AD Profil
- name
- preferred_username
- unique_name
Wie steht es mit Sicherheit bei der Identifikation mit einem Identity Provider?
Der Identity Provider verwaltet die Zugangsdaten (Benutzername und Passwort). Passwörter werden nicht an TimeRocket übermittelt. Der Datenverkehr mit TimeRocket läuft ausschliesslich über HTTPS. Die TLS Mindestversion für das API ist 1.2. TimeRocket verwendet ein verifiziertes Zertifikat.
Fazit
Erleichtern Sie Ihren Mitarbeitenden mit Microsoft 365 das Login zu Ihrer Zeiterfassung. Ade, aufwändige Benutzeradministration. Mit TimeRocket stellen wir Ihnen ein entsprechendes Werkzeug zur Verfügung.
Erfahren Sie mehr zu Sicherheit und Datenschutz und dem Standort der Datenbank von TimeRocket in unserem Blogbeitrag «Zeiterfassung – das revidierte Datenschutzgesetz Schweiz» und «Data Center – Grüezi Schweiz».
Dank Microsoft 365 lassen sich auch Outlook Ereignisse in TimeRocket anzeigen. Mehr dazu in unserem Beitrag «Im Fokus – der Kalender mit Outlook 365 Events»
Links:
Identitätsanbieter – Wikipedia
Sicherheitsempfehlungen - Azure App Service | Microsoft Learn
Identitätsanbieter für externe Identitäten – Azure AD - Microsoft Entra | Microsoft Learn