Diese Informationen richten sich an Systemadministratoren von DRACOON-Umgebungen, bei denen bisher bereits OpenID Connect zum Login verwendet wird. Für diese Umgebungen ist im OpenID-Provider eine Anpassung der existierenden DRACOON-Einstellungen erforderlich: Ein zusätzlicher Redirect-URI muss hinzugefügt werden.

Was ist ein Redirect-URI?

Bei der Verwendung von OpenID Connect kommen sogenannte Redirect-URIs zum Einsatz. Redirect-URIs werden von Anwendungen bereitgestellt, die OpenID Connect unterstützen, wie z.B. DRACOON. RedirectURIs dienen als vereinbarte Kommunikationsschnittelle zwischen dem OpenID-Provider (IDP), der die Benutzerauthentifizierung übernimmt, und der Zielanwendung (z.B. DRACOON), die die nachfolgende Benutzerautorisierung durchführt.

Dem jeweiligen OpenID-Provider müssen sämtliche erforderlichen Redirect-URIs der über OpenID Connect angebundenen Anwendungen bekannt sein, damit dieser die Redirect-URIs nach jeder erfolgreichen Benutzerauthentifizierung aufrufen kann und somit der darauffolgende Login bei der jeweiligen Anwendung über den im Redirect-URI übergebenen Token möglich ist.

Was ändert sich bei DRACOON hinsichtlich des Redirect-URI?

Der Redirect-URI von DRACOON lautet aktuell /oauth/perform_login.
Zukünftig wird stattdessen /oauth/openid-callback als Redirect-URI verwendet.

Für DRACOON Cloud-Nutzer erfolgt die Änderung im 4. Quartal 2020 (genauer Termin wird noch bekannt gegeben), für On-Premises-Nutzer mit dem Release von DRACOON Server im Dezember 2020.

Beispiel: Wenn Ihre auf der DRACOON Cloud gehostete Umgebung unter der Adresse https://dracoon.firma.de erreichbar ist, lautet der Redirect-URI hierfür momentan https://dracoon.firma.de/oauth/perform_login. In Zukunft würde der Redirect-URI auf https://dracoon.firma.de/oauth/openid-callback geändert.

Was ist zu tun?

Wenn Sie bei Ihrem DRACOON zur Benutzeranmeldung OpenID Connect verwenden, müssen Sie in der Konfiguration Ihres OpenID-Providers für DRACOON den neuen Redirect-URI /oauth/openid-callback rechtzeitig hinzufügen, damit der Login bei DRACOON auch nach entsprechenden Update auf der DRACOON Cloud bzw. nach dem Release von DRACOON Server (für On-Premises-Nutzer) im Dezember 2020 weiterhin funktioniert.

Kann der bisher eingetragene Redirect-URI einfach durch den neuen ersetzt werden?

Nein, denn der bisherige Redirect-URI /oauth/perform_login wird übergangsweise weiterhin benötigt. Sie sollten in der Konfiguration Ihres OpenID-Providers für DRACOON also den neuen Redirect-URI /oauth/openid-callback zusätzlich eintragen und den vorhandenen Eintrag /oauth/perform_login bis auf Weiteres belassen.

Wo genau muss der neue Redirect-URI eingetragen werden?

Der neue Redirect-URI muss in der Konfigurationsanwendung Ihres OpenID-Providers (z.B. Keycloak oder Azure Active Directory) für die Anwendung "DRACOON" zusätzlich eintragen werden.

Müssen auch in DRACOON selbst Einstellungen geändert werden?

Nein, die Redirect-URI-Änderung muss nur in der Konfiguration des OpenID-Providers vorgenommen werden – in DRACOON selbst sind keine Konfigurationsänderungen erforderlich.

Wie kann ich Hilfe oder Unterstützung erhalten?

Sollten Sie weitere Fragen zu diesem Thema haben oder Unterstützung bei notwendigen Anpassungen benötigen, wenden Sie sich bitte an unser Support-Team.