Autorisierung mit OAuth2

Seite in Entwicklung

Damit eine Anwendung (oft eine mobile App) Zugriff auf (zugriffsgeschützte) Daten der TU Graz bekommen kann, ist in Zukunft OAuth2 zur Autorisierung des Zugriffs vorgesehen und nicht mehr die Eingabe von Username und Kennwort, die eigentlich zur Authentisierung der Person dienen.

Notwendige Schritte für App-Entwickler

  1. Die App-Entwickler müssen sich mit dem ZID in Verbindung setzen, um die App registrieren zu lassen.
  2. Die App wird nach Abschluss entsprechender Vereinbarungen oder Verträge, in denen z. B. festgelegt wird, auf welche Daten die App maximal zugreifen darf, in die Liste der registrierten Apps aufgenommen.
  3. Der Anbieter bekommt eine Client ID und ein Client Secret zugewiesen.

Notwendige Schritte für User

Nach der Installation am Endgerät (z. B. einem Smartphone) muss die App für den Zugriff freigeschaltet werden:
  1. Der User wird dazu beim ersten Starten der App (oder wenn das Access- bzw. Refresh-Token abgelaufen ist) zur SSO-Seite (dem OpenID Connect Provider) der TU Graz umgeleitet und meldet sich dort inkl. 2. Faktor an.
  2. Wenn diese Anmeldung erfolgreich ist, bekommt die App einen Authorization Code zugewiesen. Diesen Authorization Code kann die App dann (automatisch) unter Angabe der Client ID und des Client Secrets gegen ein Access Token eintauschen (Authorization Code Flow).
    Ab diesem Zeitpunkt autorisiert sich die App mit diesem Access Token gegenüber dem Server - die App selbst braucht also niemals Username und Kennwort, trotzdem kann jeder Zugriff eindeutig auf einen Client (die App) und den konkreten User zurückgeführt werden.
  3. Über „Verbundene Applikationen und Dienste“ in TUGRAZonline kann dann genau gesteuert werden, welche Daten an die App übermittelt werden, der Zugriff aber auch wieder entzogen werden (z. B. wenn das Endgerät entwendet wurde).