Lernen Sie die neue DRACOON Web App von DRACOON Server kennen.Mehr Infos

Beiträge in diesem Abschnitt

Einstellungen: Apps (inkl. OAuth-App-Registrierung)

  • Aktualisiert
Folgen

Dieser Artikel beschreibt, wie Sie festlegen, welche der offiziellen DRACOON-Apps und -Tools Ihre Benutzer verwenden dürfen.
Wenn Sie eigene Apps, Skripte oder Integrationen für DRACOON entwickeln, erfahren Sie außerdem, wie Sie hierfür in DRACOON eine neue eigene OAuth-App registrieren, um Ihrer selbstentwickelten Lösung den Login bei DRACOON zu ermöglichen. Auch wird erläutert, wie Sie eine solche selbst hinzugefügte OAuth-App-Registrierung nachträglich sperren, ändern oder entfernen können.

Wer darf DRACOON-Apps sperren bzw. zulassen sowie OAuth-App-Registrierungen bearbeiten?

Zum Sperren bzw. Zulassen offizieller DRACOON-Apps sowie Bearbeiten eigener OAuth-App-Registrierungen in DRACOON sind nur Benutzer mit der Rolle Konfigurationsmanager berechtigt.

Themen dieses Artikels

Offizielle DRACOON-Apps zulassen oder sperren

Für die Nutzung einer DRACOON-Umgebung stehen zahlreiche offizielle DRACOON-Apps und -Clients zur Verfügung. Neben der DRACOON Web App – der Zentrale zur Verwaltung und Nutzung von DRACOON – sind dies z.B. Apps zur Integration in Windows und macOS (DRACOON für Windows und Mac), Apps für mobile Endgeräte (DRACOON für iOS, DRACOON für Android), aber auch administrative Zusatztools wie das DRACOON Reporting Tool, das zur Auswertung des Audit-Logs dient.
Standardmäßig sind alle offiziellen DRACOON-Apps zur Nutzung in Ihrer DRACOON-Umgebung zugelassen. Wenn Sie wünschen, dass bestimmte dieser Apps von allen Ihren Benutzern nicht verwendet werden sollen, können Sie diese sperren.

So gestatten oder sperren Sie die Verwendung bestimmter offizieller DRACOON-Apps:

  1. Klicken Sie in der linken Seitenleiste auf Einstellungen und dann auf Apps.
  2. Es wird eine Liste aller offiziellen DRACOON-Apps und -Clients angezeigt. Ein Schalter rechts neben jeder App zeigt an, ob die jeweilige App von den Benutzern Ihrer DRACOON-Umgebung verwendet werden kann (Schalter ein) oder nicht (Schalter aus).

    Offizielle DRACOON-Apps (Ausschnitt)

  3. Wenn Sie die Zulassung einer bestimmten App ändern möchten, klicken Sie auf den entsprechenden Schalter. Um z.B. die Verwendung von DRACOON mit WebDAV zu verhindern (z.B., weil Sie wünschen, dass Ihre Benutzer besser das leistungsfähigere DRACOON für Windows/Mac statt WebDAV verwenden sollen), stellen Sie den betreffenden Schalter auf Aus.

Hinweise zu bestimmten DRACOON-Apps

  • Das DRACOON Branding Swagger UI ist eine interaktive Anwendung zur Dokumentation und zum Test des DRACOON Branding APIs. Diese App wird nur benötigt, wenn Sie auf das Branding Ihres DRACOON direkt über das API zugreifen möchten und dabei (z.B. während der Entwicklung eines eigenen Skripts) das dazugehörige Swagger UI verwenden möchten. Das DRACOON Branding Swagger UI ist unter ihrdracoon/branding/api/ erreichbar.
  • Die DRACOON Branding Web App dient zur Konfiguration eines Brandings (z.B. Logos, Farben) für DRACOON.
  • DRACOON Legacy Scripting Support ermöglicht die Verwendung eigener Skripte, die auf das DRACOON API zugreifen, ohne hierfür extra eine eigene OAuth-App registrieren zu müssen (s.u.). Diese App kann nicht verwendet werden, wenn Sie OpenID Connect zur Benutzerauthentifizierung verwenden.
  • DRACOON Reporting ist das unter reporting.dracoon.com zugängliche Reporting Tool, mit dem Ihre Auditoren das Audit-Log Ihrer DRACOON-Umgebung einsehen, auswerten und als CSV-Datei herunterladen können.
  • Das DRACOON Swagger UI ist eine interaktive Anwendung zur Dokumentation und zum Test des DRACOON APIs. Diese App ist hilfreich, wenn Sie eigene DRACOON-Lösungen entwickeln (z.B. ein Skript, das auf das DRACOON API zugreift). Das DRACOON Swagger UI ist unter ihrdracoon/api/ erreichbar.
  • Die DRACOON Web App kann nicht deaktiviert werden, weil diese zur Verwaltung von DRACOON unabdingbar ist.


Neue eigene OAuth-App registrieren

DRACOON bietet eine umfangreiche Programmierschnittstelle (API). Diese ermöglicht es, eigene, maßgeschneiderte Skripte, Apps und Lösungen zu entwickeln, wobei die gesamte Funktionalität von DRACOON genutzt werden kann. Nahezu alle Endpunkte des DRACOON API erfordern zuerst die Authentifizierung (den Login) mit einem gewünschten DRACOON-Benutzerkonto, bevor die jeweiligen API-Funktionen mit den Berechtigungen des authentifizierten Benutzers genutzt werden können. DRACOON verwendet für die Benutzer-Authentifizierung (und zugleich Autorisierung der entwickelten Lösung) den weitverbreiteten OAuth 2.0-Standard.

Bevor eine selbstentwickelte DRACOON-Lösung einen Benutzer für API-Zugriffe authentifizieren kann, muss die Lösung als neue eigene OAuth-App in DRACOON registriert werden.

So registrieren Sie Ihre selbstentwickelte DRACOON-Lösung als neue OAuth-App in DRACOON:

  1. Klicken Sie in der linken Seitenleiste auf Einstellungen und dann auf Apps.
  2. Klicken Sie auf das Register Eigene Apps.
  3. Klicken Sie rechts neben Eigene Apps verwalten auf die Schaltfläche Hinzufügen.
  4. Das Dialogfeld App konfigurieren wird angezeigt, mit dem eine neue OAuth-App in DRACOON registriert werden kann.
  5. Geben Sie im Feld Name eine beliebige aussagekräftige Bezeichnung für Ihre App/Lösung an.
  6. Im Feld Client ID muss eine Kennung hinterlegt werden, die Ihre App eindeutig identifiziert. DRACOON erzeugt beim Anlegen einer neuen App-Konfiguration automatisch eine zufällige Client ID und trägt diese selbständig im Feld ein. Sie können sich diese durch Klick auf die Augen-Schaltfläche rechts neben dem Feld anzeigen lassen und durch Klick auf die Kopieren-Schaltfläche daneben in die Zwischenablage kopieren, um sie z.B. in ein Skript einzufügen. Wenn Ihnen die von DRACOON vorgeschlagene Client ID nicht zusagt, können Sie im Feld auch einen eigenen Wert eintragen, der auch aus Buchstaben bestehen kann, z.B. dracoon_firma_benutzerverwaltungsskript.
  7. Im Feld Client Secret muss eine Kennung hinterlegt werden, die als Art zusätzliches Kennwort für die Autorisierung Ihrer Lösung am DRACOON dient. Auch dieses wird von DRACOON zufällig erzeugt und als Vorschlag voreingetragen, kann aber durch einen eigenen Wert ersetzt werden.
  8. Wählen Sie bei Grant Types durch die Kontrollkästchen aus, welche Autorisierungs-Genehmigungsverfahren zum Einsatz kommen sollen.
    • authorization_code oder implicit: Diese beiden Verfahren kommen z.B. zum Einsatz, wenn sich der betreffende Benutzer via OpenID Connect bei DRACOON authentifiziert. Hierbei wird vom OpenID Connect-Provider i.d.R. eine Login-Maske zur Eingabe der Anmeldedaten angezeigt (wobei die eingegebenen Anmeldedaten nicht an die betreffende App weitergegeben werden, sondern lediglich ein sog. Access Token, was eine erhöhte Sicherheit durch Abschirmung der Anmeldedaten darstellt).
      Dieses Verfahren wird auch als three-legged OAuth flow bezeichnet.
      Wählen Sie dieses Verfahren, wenn Sie z.B. eine App entwickeln, an der sich Ihre Benutzer manuell anmelden sollen, oder wenn Ihre Lösung auch über OpenID Connect genutzt werden können soll.
    • password: Dieses ist das einfachste Verfahren, das sich besonders für den Einsatz in Skripten eignet, die automatisiert ablaufen sollen. Benutzername und Kennwort des DRACOON-Benutzers werden dabei direkt im Skript hinterlegt und übergeben, ohne dass eine Login-Maske erscheint, die eine Benutzerinteraktion erfordern würde.
      Dieses Verfahren wird auch als two-legged OAuth flow bezeichnet.
      Beachten Sie: Dieses Verfahren kann nur bei lokalen DRACOON-Benutzerkonten sowie Active Directory-Authentifizierung verwendet werden, jedoch nicht in Verbindung mit OpenID Connect!
  9. Die Standardgültigkeit für einen Access Token bis zu dessen Ablauf beträgt 8 Stunden. Wenn Sie einen anderen Wert wünschen, tragen Sie diesen in Sekunden im Feld Access Token ein – ansonsten lassen Sie das Feld leer, um den Standardwert von 8 Stunden zu verwenden.
  10. Mit dem Refresh Token kann eine App automatisch einen neuen Access Token anfordern, wenn letzterer abgelaufen ist (ohne, dass sich der Benutzer neu authentifizieren muss). Die Standardgültigkeit für einen Refresh Token bis zu dessen Ablauf beträgt 30 Tage. Wenn Sie einen anderen Wert wünschen, tragen Sie diesen in Sekunden im Feld Refresh Token ein – ansonsten lassen Sie das Feld leer, um den Standardwert von 30 Tagen zu verwenden.
  11. Wenn Sie den Grant Type authorization_code oder implicit verwenden, tragen Sie im Feld Redirect URI eine oder mehrere Internetadressen ein, die von Ihrem OpenID Connect-Provider (IdP) gefordert werden (konsultieren Sie ggf. die Dokumentation Ihres OpenID Connect-Providers, welche URIs benötigt werden). Durch Klick auf die kleine +-Schaltfläche rechts neben dem Eingabefeld können Sie ggf. weitere URIs hinzufügen.
  12. Klicken Sie auf Speichern, um die OAuth-Konfiguration Ihrer App in DRACOON abzuschließen und diese in DRACOON zu registrieren.

Eine neue OAuth-App kann in DRACOON auch direkt über das API registriert werden, ohne die obigen Schritte in der DRACOON Web App durchzuführen.


Registrierte eigene OAuth-App sperren, ändern oder löschen

Bei Bedarf können Sie eine bereits registrierte eigene OAuth-App vorübergehend sperren, ihre Konfiguration überprüfen/ändern oder die Registrierung der App aus DRACOON entfernen.

  • App sperren: Um eine eigene registrierte OAuth-App vorübergehend zu sperren, stellen Sie den Schalter rechts neben der App auf Aus. Die App/Lösung kann sich dann nicht mehr an Ihrem DRACOON autorisieren und nicht mehr auf das DRACOON API zugreifen.
  • App-Konfiguration einsehen/ändern: Um die DRACOON-Konfiguration einer eigenen registrierten OAuth-App einzusehen oder zu bearbeiten, klicken Sie auf die Stift-Schaltfläche rechts neben der App.

    Danach wird das Dialogfeld "App konfigurieren" angezeigt, in dem Sie die App-Konfiguration überprüfen und ggf. Änderungen daran vornehmen können (s.o.).
  • App löschen: Wenn Sie eine registrierte eigene OAuth-App nicht länger benötigen, können Sie ihre Registrierung aus DRACOON löschen. Klicken Sie dazu auf die X-Schaltfläche rechts neben der App, und bestätigen Sie die Warnmeldung. Die App/Lösung kann sich danach dauerhaft nicht mehr bei Ihrer DRACOON-Umgebung autorisieren und nicht mehr auf das DRACOON API zugreifen.

Verwandte Beiträge

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.