SSO - Single Sign On

Korrekte Nutzung des Single-Sign-On, mit HiOrg-Server als Auth-Provider:

Verweisen Sie Ihren Nutzer (per Link, oder Redirect) auf unseren Login-Screen:

https://www.hiorg-server.de/logmein.php?ov=rmk&weiter= <Ziel-URL>
        [&getuserinfo= <Feldnamen>]
        [&silent= <Abbruch-URL>]

Ziel-URL: Nach erfolgreichem Login erfolgt eine Weiterleitung zu dieser URL auf Ihrem Server
Achtung: die Ziel-URL muss inkl. Protokoll vorliegen, und urlcodiert sein!
Beispiel: &weiter=http%3A%2F%2Fov-kernen.drk.de%2Fhiorglogin.php

Feldnamen: Gewünschte Informationen zum angemeldeten Benutzer, kommagetrennte Feldnamen
Beispiel: &getuserinfo=name%2C+vorname

Mögliche Felder
name	Nachname
vorname	Vorname
kuerzel	Kürzel
gruppe	Gruppe (Summe der Gruppen-IDs)
perms	Nutzer-Rechte
username	Benutzername
email	E-Mail-Adresse
telpriv	Telefon (privat)
teldienst	Telefon (Arbeit)
handy	Mobiltelefon
id	HiOrg-ID
user_id	UserID

Abbruch-URL (optional): Falls keine Sitzung bei HiOrg-Server besteht, wird der Benutzer nicht zum Login gezwungen, sondern auf diese URL zurückgeleitet.
Auch diese URL muss inkl. Protokoll vorliegen, und urlcodiert sein.
Beispiel: &weiter=http%3A%2F%2Fov-kernen.drk.de%2Fhiorglogin.php

Validierung des Login / Anfordern der gewünschten Benutzerdaten:
Nach erfolgreichem Login wird der Benutzer wieder auf Ihren Server zurückgeleitet. Sie erhalten dabei per GET-Variable ein "Session-Token", welches Sie zur Überprüfung des erfolgreichen Login unmittelbar wieder an unseren Server zurückgeben müssen:
https://www.hiorg-server.de/logmein.php?token= <erhaltenes_Token>
Unser Server gibt Ihnen daraufhin ein "OK:" sowie die zuvor angeforderten Benutzerdaten zurück.
Achtung: Vertrauen Sie dem korrekten Login erst dann, wenn Sie nach dieser Prüfanfrage auch mindestens das "OK:" erhalten haben:
if(mb_substr( $curl_data ,0,2) != "OK") die("Login fehlgeschlagen!");

Die (auf das OK: folgenden) Benutzerdaten liegen als base64-encodiertes, serialisiertes Array vor, dieses können Sie in Ihrem PHP-Skript weiterverarbeiten mittels:
$userdata = unserialize(base64_decode(mb_substr( $curl_data , 3)));

Prüfen Sie abschließend, ob sich der Benutzer auch über den korrekten HiOrg-Server angemeldet hat:
if( $userdata["ov"] != "rmk" ) die("Falsches Organisationskürzel!");
Nahtloser Wechsel des Users zurück zu HiOrg-Server (Single-Sign-On):
Mithilfe des zu Beginn erhaltenen Session-Token können Sie dem Benutzer innerhalb Ihrer Website einen Link anbieten, mit dem er jederzeit wieder zurück zu HiOrg-Server wechseln kann:
https://www.hiorg-server.de/logmein.php?login=1&token= <erhaltenes_Token> [&weiter= <Ziel-URL> ]
- Ziel-URL (wenn angegeben): Innerhalb von HiOrg-Server wird dem Benutzer ein Link [Extranet] angeboten, mit welchem er wieder zum Intranet auf Ihrem Server wechseln kann (aber bei HiOrg-Server angemeldet bleibt!)
 Achtung: die Ziel-URL muss inkl. Protokoll vorliegen, und urlcodiert sein!
 Beispiel: &weiter=http%3A%2F%2Fov-kernen.drk.de%2Fintranet.php%3Fsessionid%3D223344556
Logout aus HiOrg-Server:
https://www.hiorg-server.de/logmein.php?logout=1&token= <erhaltenes_Token> [&weiter= <Ziel-URL> ]
- Ziel-URL: Nach dem Logout erfolgt eine Weiterleitung zu dieser URL auf Ihrem Server
 Achtung: die Ziel-URL muss inkl. Protokoll vorliegen, und urlcodiert sein!
 Beispiel: &weiter=http%3A%2F%2Fov-kernen.drk.de%2Flogout.php

Beispiel-Code auf Ihrem Server:

<?php

$ov = "rmk";  // Organisations-Kuerzel Ihres HiOrg-Server-Accounts

$userinfo = "name,vorname"; // Fordert Name und Vorname an (Komma wird unten URL-encodiert)

$myfqdn = empty($_SERVER["HTTPS"]) ? "http://" : "https://";
$myfqdn.= $_SERVER["HTTP_HOST"].$_SERVER['PHP_SELF'];
// $myfqdn .= "?sessionid=".$sessionid       // evtl. um eigene Session-ID ergaenzen

$logouturl = "http://".$_SERVER["HTTP_HOST"];

//////////////////////////////////////////////////////////////
// ab hier keine Änderungen am PHP-Code mehr nötig

$hiorgurl = "https://www.hiorg-server.de/logmein.php";

function redirect($ziel) {
    header("Location: ".$ziel);
    exit;
}

if(empty($_GET["token"])) { // noch kein gueltiges Token vom HiOrg-Server erhalten
    $ziel = $hiorgurl."?ov=$ov&weiter=".urlencode($myfqdn);
    if(!empty($userinfo)) $ziel.= "&getuserinfo=".urlencode($userinfo);
    redirect($ziel);
} else { // Token vom HiOrg-Server erhalten: jetzt Login ueberpruefen und Nutzerdaten abfragen
    $token = $_GET["token"];
    $ch = curl_init($hiorgurl."?token=".urlencode($token));
    curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
    // curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,false); // je nach Firewall-/Serverkonfiguration fehleranfaellig
    $curl_data = trim(curl_exec($ch));
    curl_close($ch);

if(mb_substr( $curl_data ,0,2) != "OK") die("Login fehlgeschlagen!");

$userdata = unserialize(base64_decode(mb_substr( $curl_data , 3)));

if( $userdata["ov"] != $ov ) die("Falsches Organisationskürzel!");

$hiorg = $hiorgurl."?login=1&token=".urlencode($token)."&weiter=".urlencode($myfqdn);

$logout = $hiorgurl."?logout=1&token=".urlencode($token)."&weiter=".urlencode($logouturl);
}

?>
<html>
 <head></head>
 <body>
 Herzlich willkommen,
 <?php echo htmlentities($userdata["vorname"]." ".$userdata["name"]); ?>

<a href="<?php echo $hiorg; ?>">zum HiOrg-Server</a>

<a href="<?php echo $logout; ?>">Abmelden</a>
 </body>
</html>

Fertige Plugins für externe Dienste/CMS, welche diese Schnittstelle implementieren

DokuWiki
PHP-Bibliothek zu dieser API
...bitte nehmen Sie mit uns Kontakt auf, wenn Sie eine weitere Implementierung hier veröffentlichen wollen

Zurück zur Homepage

HiOrg-Server Version de80f78b1 - Datenschutz

nach oben

SSO - Single Sign On

Beispiel-Code auf Ihrem Server:

Fertige Plugins für externe Dienste/CMS, welche diese Schnittstelle implementieren

Zurück zur Homepage