Wie in unserem ersten Artikel zur Notes-Authentifizierung angekündigt, wollten wir euch in einem weiteren Artikel zu diesem Thema eine Token-basierte Möglichkeit vorstellen, um im HCL Notes Domino Kontext das Internet-Kennwort zu umgehen. Heute geht es daher im Speziellen um den Einsatz von OIDC bei REST-Aufrufen aus dem Notes-Client heraus.
Besitzt ihr Notes-Anwendungen die bereits mit REST-Services arbeiten? Vielleicht eine Datenbank-Abfrage, die per Buttonklick ausgelöst werden kann, wie z.B. ein automatisches Befüllen eines Prüf-Formulars mit Daten aus euren Anwendungen, oder die Generierung einer laufenden Rechnungsnummer? All diese Zugriffe sind Web- bzw. URL-Aufrufe, die je nach Art des Zugriffs i.d.R. gesichert sind und eine Authentifizierung an eurem Domino-Server erfordern. In diesem Fall werdet ihr ziemlich sicher auch schonmal vor der Situation gestanden haben, euch regelmäßig mit eurem Internetkennwort anmelden zu müssen. Dies kann auf Dauer ganz schön mühselig werden, besonders wenn man das Internetkennwort häufiger mal vergisst. Hier wäre eine Token-basierte Authentifizierung, wie man es z.B. von den Microsoft O365-Anwendungen her kennt doch ganz praktisch. Einmal anmelden und durch einen automatisch verlängerten Authentifizierungstoken eine super User-Experience erleben, weil man sich sehr lange nicht mehr explizit anzumelden braucht. Das wäre doch mal eine echte Erleichterung, oder?
Und OIDC macht es möglich! OpenID Connect (kurz OIDC) ist ein Authentifizierungsprotokoll, das auf oAuth 2.0 basiert. Während sich oAuth 2.0 auf die Autorisierung von Zugriffen auf Ressourcen konzentriert, fügt OIDC eine Benutzerauthentifizierung über ID-Token (JSON Web Token) hinzu, um die Identität der Anwender zu überprüfen. Dies ermöglicht die Authentifizierung mit einem einzigen Satz von Anmeldeinformationen auf unterschiedliche Anwendungen und Dienste (Stichwort: Single Sign-On) und verbessert die Sicherheit mit vertrauenswürdigen OIDC-Identitätsanbietern, wie z.B. Microsoft.
Seit HCL Domino Version 12.0.2 FP6 oder 14.0 FP3 IF2 wird OIDC vom Domino-Server unterstützt. Ein hier eingerichtetes OIDC ermöglicht es, sich zur Authentifizierung an seinen HCL Leap-Anwendungen oder sonstigen Domino-Datenbanken nur einmalig z.B. über sein Microsoft O365-Login anmelden zu müssen. Den Rest übernimmt dann die Token-basierte Authentifizierung, die bequem im Hintergrund abläuft und sich regelmäßig erneuert – ohne, dass man immer wieder seine Anmeldedaten neu eingeben muss – Eine wirklich bequeme und dazu sehr sichere Authentifizierungsmethode, die ihr in ähnlicher Weise vielleicht sogar schon von unserer Teams-Lösung für den Notes-Kalender kennt. Wie die Authentifizierung dort aussieht, könnt ihr euch im folgenden Video anschauen.
Für REST-Aufrufe aus dem Notes-Client heraus funktioniert das Ganze trotz eingerichtetem OIDC auf dem Domino-Server aber leider so direkt noch nicht. Das Problem des häufigen Anmeldens per Internetkennwort bleibt an dieser Stelle also erstmal bestehen. Aus diesem Grund haben wir eine spezielle Anwendung entwickelt, welche die Verwendung der Microsoft O365-Anmeldeinformationen auch für die Authentifizierung bei der Verwendung von REST-Services aus dem Notes-Client heraus ermöglicht!
Als Beispiel nehmen wir hier unsere ITWU Meeting-Leapanwendung, in welcher wir alle unsere Besprechungsnotizen inklusive der teilnehmenden Personen festhalten. In unserem HCL Notes-Kalender nutzen wir einen Button „Erstelle Mitschrift“ im Besprechungsformular, welcher beim Anklicken eine neue Besprechungsmitschrift in unserer Meeting-Datenbank anlegt und direkt die Eingeladenen als Teilnehmende übernimmt.
Abbildung: Erstelle Mitschrift-Button im Kalendereintrag
Beim Zugriff auf die Meeting-DB wäre ohne unsere REST-Authentifizierungs-Lösung regelmäßig das Internet-Kennwort fällig gewesen. Mit unserer Lösung braucht man sich an dieser Stelle nur initial mit seinen O365-Zugangsinformationen einloggen und kommt bei regelmäßiger Nutzung sehr lange, wie von der O365-Anmeldung gewohnt, ohne eine erneute Eingabe seiner Anmeldeinformationen aus, da sich der Authentifizierungstoken immer wieder selbst erneuert. Großartig, oder?
Nutzt ihr auch REST-Services in euren HCL Notes-Anwendungen und möchtet hier gerne zukünftig auf die wiederkehrende Eingabe eures Internetkennwort verzichten? Dann ruft uns an unter 05251-288160 oder schickt uns eine Anfrage an die info@itwu.de.