Hilfe und Support
Sie möchten einen Fehler melden oder eine Anregung mit uns teilen?
Nutzen Sie hierfür bitte primär das jeweilige Ticket-System für Nextcloud unter https://github.com/eid-login/eid-login-nextcloud/issues,
für WordPress unter https://github.com/eid-login/eid-login-wordpress/issues und für TYPO3 unter https://github.com/eid-login/eid-login-typo3/issues.
Sie haben ein anderes Problem oder eine Frage, die in den häufig gestellten Fragen noch nicht beantwortet ist?
Wenden Sie sich in diesem Fall gerne an unseren Support!
Sie erreichen unser Support-Team an Werktagen von Montag bis Freitag in der Zeit von 9:00 Uhr bis 17:00 Uhr
unter der E-Mail-Adresse eID-Login@ecsec.de.
FAQ
Für Nutzer
N1: Was ist die Anwendung eID-Login?
Die Anwendung eID-Login ermöglicht es Benutzern, sich bei ihrem Benutzer-Konto mit einer elektronischen Identität (eID) statt mit einer Kombination aus Benutzername und Passwort anzumelden. Dafür kommt ein externer Dienst zum Einsatz, welcher die eID für die Anwendung zugänglich macht.
N2: Was ist eID und welchen Nutzen bringt der Einsatz?
Der Nutzen von eID für den Login ist vor allem ein Sicherheitsgewinn für die Benutzer der Plattform. Fragen zum Hintergrund und Nutzen der eID werden auf dem vom Bundesministerium des Innern, für Bau und Heimat bereitgestellten Personalausweisportal beantwortet. Den Sicherheitsmechanismen widmet sich diese Seite auf dem gleichen Portal.
N3: Was sind die Voraussetzungen für die Nutzung des eID-Login?
Sie benötigen für die Nutzung der eID-Login Funktion eine eID (z.B. die Online-Ausweisfunktion eines deutschen Personalausweises) sowie die Möglichkeit, auf diese mit einem Kartenleser oder Smartphone und einem eID-Client zuzugreifen.
N4: Warum sollte ich die Anmeldung mit Passwort deaktivieren?
Das Deaktivieren der Anmeldung mit Passwort erhöht die Sicherheit Ihres Kontos. Sollte Ihr Passwort jemals in falsche Hände gelangen, ist Ihr Benutzer-Konto trotzdem geschützt.
N5: Ich habe keinen Zugriff mehr auf meine eID oder eine neue Ausweiskarte erhalten, wie kann ich mich trotzdem anmelden?
Falls Sie keinen Zugriff mehr auf Ihre eID haben, können Sie die `Passwort vergessen?` Funktion benutzen, um sich ein neues Passwort für Ihr Konto zu vergeben. Eine Deaktivierung des Anmeldens mit Passwort wird bei diesem Vorgang aufgehoben.
N6: Welche Informationen mit Bezug zur eID werden in der Datenbank gespeichert?
In der Standard-Konfiguration der Anwendung wird ein mit der eID verbundenes Pseudonym in der Datenbank gespeichert. Zudem haben Administratoren die Möglichkeit, weitere Attribute der eID, wie z.B. Vor- und Nachnamen, auszulesen und zu speichern. Bitte wenden Sie sich an den Administrator der Seite welche eID-Login nutzt, um nähere Informationen zu erhalten.
N7: Wie kann ich den eID-Login für mein Benutzer-Konto einrichten?
Um sich mit dem eID-Login bei Ihrem Konto anzumelden, muss vorher eine eID mit dem Konto verknüpft werden. Die Möglichkeit dazu findet sich auf der Seite Ihres persönlichen Profils (für Nextcloud auf der Unterseite `Sicherheit` und bei TYPO3 wird der Ort vom Administrator der Seite gewählt). Klicken Sie dort auf `Verknüpfung zu eID erstellen`. Nachdem die Verknüpfung erfolgreich erstellt wurde, können Sie den eID-Login für den Zugang zu Ihrem Konto nutzen.
N8: Wie kann ich die Verknüpfung einer eID mit meinem Benutzer-Konto löschen?
Eine bestehende Verknüpfung Ihres Kontos mit einer eID kann auch wieder gelöscht werden. Die Möglichkeit dazu findet sich auf der Seite Ihres persönlichen Profils (für Nextcloud auf der Unterseite `Sicherheit` und bei TYPO3 wird der Ort vom Administrator der Seite gewählt). Klicken Sie dort auf `Verknüpfung zu eID löschen`.
Für Administratoren
Allgemein
A1: Was ist die eID-Login Anwendung?
Das eID-Login Plugin ermöglicht Benutzern den Zugang zu Ihrem Benutzer-Konto mit einer elektronischen Identität (eID) statt mit einer Kombination aus Benutzername und Passwort.
A2: Was ist eID und welchen Nutzen bringt der Einsatz?
Der Nutzen von eID für den Login ist vor allem ein Sicherheitsgewinn für die Benutzer der Plattform. Fragen zum Hintergrund und Nutzen der eID werden auf dem vom Bundesministerium des Innern, für Bau und Heimat bereitgestellten Personalausweisportal beantwortet. Den Sicherheitsmechanismen widmet sich diese Seite auf dem gleichen Portal.
A3: Ist beim eID-Login ein weiteres System beteiligt?
Damit die eID zugänglich gemacht werden kann, kommt ein externer Dienst zum Einsatz. Dieser `Identity Provider` genannte Dienst kümmert sich um die Authentifizierung von Benutzern. Das die eID-Login Anwendung greift auf Informationen des `Identity Providers` zu, um Benutzer einzuloggen und mit entsprechenden Rechten auszustatten.
A4: Welche Arten von Identity Providern werden unterstützt?
Es können alle Identity Provider angebunden werden, welche das SAML Protokoll nutzen, um mit Nextcloud zu kommunizieren. Darüber hinaus ist die Nutzung von Diensten möglich, die einen eID-Server gemäß BSI TR-03130 zur Verfügung stellen, welcher auch auf SAML basiert. Die einfachste Art der Anbindung ist die Nutzung des SkIDentity Service, welcher bereits für die unkomplizierte Nutzung vorkonfiguriert ist.
A5: Was ist das SAML Protokoll?
Die Security Assertion Markup Language (SAML) ist ein offener, weit verbreiteter Standard zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Damit Nextcloud Teil einer solchen Kommunikation sein kann, stellt es Informationen zu seiner Rolle und seinen Eigenschaften unter der SAML Metadaten URL bereit. Weitere Informationen zu SAML finden sich bei OASIS.
A6: Gibt es für die Anbindung gemäß BSI TR-03130 etwas zu beachten?
Kommt eine Anbindung gemäß BSI TR-03130 in Betracht, so sind einige Dinge zu beachten. Es muss in den Einstellungen der App eine Konfiguration des AuthnRequestExtension XML-Elementes vorgenommen werden.
Dieses legt fest, welche Informationen durch Nextcloud beim Identity Provider abgefragt werden. Bitte wenden Sie sich an den Betreiber des Identity Providers, um genauere Informationen zu erhalten.
Wegen der Nutzung von SAML-Redirect Binding beim Verarbeiten der Authentifizierungsantwort erfolgt der Aufruf einer sehr langen URL, die von den typischen Webservern nicht in der Standardkonfiguration
verarbeitet werden kann. Es muss daher die Webserver Konfiguration angepasst werden um das Auftreten eines HTTP 414 Fehler zu vermeiden:
* Apache * NGINX
A7: Welche Informationen werden vom Identity Provider für die Anwendung bereitgestellt?
Grundlage für die Verknüpfung zwischen einem Benutzer-Konto und einer eID ist der `eIdentifier`. Dabei handelt es sich je nach Anbieter um ein abgeleitetes oder in der eID enthaltenes Datum, welches einer eID eindeutig zuzuordnen ist. Zudem können je nach Berechtigung des `Identity Providers` weitere Attribute der eID von der Anwendung abgefragt werden. Diese Attribute werden in der Datenbank abgelegt und können dann in weiter genutzt werden. Für weitere Informationen bzgl. der möglichen Attribute und der zur Abfrage benötigten Konfiguration wenden Sie sich bitte an den Betreiber des jeweiligen `Identity Providers`.
A8: Was kostet die Nutzung eines Identity Providers?
Die Kosten für die Nutzung eines Identity Providers sind vom jeweiligen Anbieter abhängig. Die Nutzung des SkIDentity Dienstes ist im Zusammenhang mit dem eID-Login Plugin kostenfrei, falls nur der `eIdentifier` abgefragt wird.
A9: Welche Systemanforderungen gibt es für die Nutzung des eID-Login?
- PHP-Version 7.4
- PHP-Module: openssl (in der Regel auch bei günstigen Anbietern vorhanden)
- Einsatz von TLS
Optional: aber empfohlen:
- Korrekt eingerichtetes E-Mail Setup für Benachrichtigung von Administratoren
- Korrekt eingerichtetes Cronjob Setup für Hintergrundaufgaben
A10: Wie erfolgt die Installation und Einrichtung?
Die Installation der Anwendung erfolgt nach dem Standardvorgehen der Zielplattform. Nachdem die Anwendung installiert wurde, ist für ihre Einrichtung eine eigene Seite verfügbar. Bei der ersten Einrichtung führt Sie ein Wizard durch die notwendigen Schritte.
A11: Was bedeutet die Option 'Verschlüsselung von Authentifizierungsantworten erzwingen'?
Das SAML Protokoll sieht die Möglichkeit vor, Authentifizierungsantworten des Identity Providers nur verschlüsselt zu übertragen. Im Falle einer Anbindung gemäß TR-03130 ist dies z.B. erforderlich. Da die Kommunikation mit dem Identity Provider jedoch schon über die Transport-Verschlüsselung abgesichert ist, bieten viele Identity Provider diese Option nicht an. Stellen Sie also vorher sicher, dass der verwendete Identity Provider diese Option unterstützt. Nähere Informationen erhalten Sie vom jeweiligen Betreiber des Identity Providers.
A12: Wie können die Einstellungen später angepasst werden?
Nach der Einrichtung sind unter der anwendungsspezifischen Seite die Einstellungen direkt einsehbar und können dort manuell geändert werden.
A13: Was hat es mit den Zertifikaten und deren Wechsel auf sich?
Für die Kommunikation mit dem Identity Provider werden Zertifikate benötigt. Je nach Anbindung kommen diese für die Signatur und gegebenenfalls auch für die Verschlüsselung von Nachrichten zum Einsatz. Die Zertifikate werden bei der Einrichtung automatisch mit einer Gültigkeit von zwei Jahren erstellt. Eine im Hintergrund laufende Aufgabe prüft diese Zertifikate regelmäßig auf Ihre Gültigkeit. Vor Ende der Gültigkeit werden von dieser Hintergrundaufgabe zwei Aktionen durchgeführt:
- Zwei Monate vor Ende der Gültigkeit werden neue Zertifikate erstellt und diese über die Publikation in den SAML Metadaten für die Nutzung vorbereitet. Der Identity Provider muss je nach Anbieter gegebenenfalls noch vom Administrator über die Existenz der neuen Zertifikate informiert werden, falls diese nicht aus den SAML Metadaten von Nextcloud importiert werden.
- Einen Monat vor Ende der Gültigkeit werden die bestehenden Zertifikate in der Datenbank gesichert und die vorbereiteten Zertifikate werden von nun an genutzt.
Die Administratoren der Platform werden über diese Schritte per E-Mail informiert.
Falls ein Wechsel der Zertifikate zu einem früheren Zeitpunkt geschehen soll, so ist dies über die Einstellungen der Aanwendung möglich.
A14: Wie kann der Wizard zur Einrichtung erneut durchlaufen werden?
Wenn die Einstellungen zurückgesetzt werden, so ist der Wizard wieder auf der anwendungsspezifischen Seite verfügbar. Bitte beachten Sie, dass beim Zurücksetzen ggf. alle eID-Verknüpfungen aller Konten gelöscht werden!
A15: Welche Daten werden in der Datenbank abgelegt?
Die eID-Login Anwendung legt die Einstellungen in eigenen Datenbank Tabellen in der globalen Konfiguration der Plattform ab.
Zudem werden für die Speicherung der eID spezifischen Daten und Daten, welche während des Betriebs anfallen, eigene Datenbank-Tabellen erzeugt. Deren genaue Benennung variiert je nach Plattform, aber jede Tabelle enthält `eidlogin` als Namensbestandteil.
A16: Wann werden die eID-Verknüpfungen gelöscht?
Die eID-Verknüpfung kann jederzeit manuell vom Benutzer selbst gelöst werden. Zudem wird diese automatisch entfernt, wenn der Benutzer gelöscht wird. Je nach Plattform werden beim Zurücksetzen der Einstellungen durch den Administrator und beim endgültigen Löschen der Anwendung alle eID-Verknüpfungen entfernt. Beim Deaktivieren bleiben diese jedoch erhalten.
Plattform Nextcloud
AN1: Für welche Versionen ist die Anwendung verfügbar?
Die Anwendung steht derzeit für Nextcloud 20, 21 und 22 zur Verfügung.
AN2: Wo befindet sich die anwendungsspezifische Seite zur Einrichtung bzw. Konfiguration?
Die Einrichtung erfolgt über das Modul `eID-Login` unter `Einstellungen` und `Verwaltung`.
AN3: Wie erfahren die Benutzer von der Möglichkeit zum eID-Login?
Nach der Einrichtung der Anwendung wird ein eID-Login Button auf der Anmeldeseite angezeigt. Zudem wird für alle bestehenden Benutzer eine Benachrichtigung über die Möglichkeit zum eID-Login hinterlegt. Diese beinhaltet einen Link direkt zu den persönlichen Profileinstellungen, wo ein Benutzer sein Konto mit einer eID verknüpfen kann. Nähere Informationen dazu finden sich in der Benutzerdokumentation des eID-Login Plugins. Die Benachrichtigung wird auch für alle neu angelegten Benutzer hinterlegt, solange das Plugin installiert und eingerichtet ist.
AN4: Wie kann ich die Anwendung restlos aus meinem System entfernen?
Entfernen Sie die Anwendung auf dem üblichen Wege und löschen Sie dann manuell die Datenbanktabellen der Anwendung.
AN5: Sie benötigen Hilfe bei der Konfiguration?
Hier gibt es einen Screencast für Nextcloud welcher Ihnen dabei behilflich ist.
Plattform Wordpress
AW1: Für welche Versionen ist die Anwendung verfügbar?
Die Anwendung steht derzeit für Wordpress 5.7 zur Verfügung.
AW2: Wo befindet sich die anwendungsspezifische Seite zur Einrichtung bzw. Konfiguration?
Die Einrichtung erfolgt über das Modul `eID-Login` unter `Einstellungen`.
AW3: Wie erfahren die Benutzer von der Möglichkeit zum eID-Login?
Nach der Einrichtung der Anwendung wird ein eID-Login Button auf der Anmeldeseite angezeigt. Zudem wird für alle bestehenden Benutzer eine Benachrichtigung über die Möglichkeit zum eID-Login hinterlegt. Diese beinhaltet einen Link direkt zu den persönlichen Profileinstellungen, wo ein Benutzer sein Konto mit einer eID verknüpfen kann. Nähere Informationen dazu finden sich in der Benutzerdokumentation des eID-Login Plugins. Die Benachrichtigung wird auch für alle neu angelegten Benutzer hinterlegt, solange das Plugin installiert und eingerichtet ist.
AW4: Warum funktionieren Cronjobs nicht?
Allgemeines und Informationen zu den Einschränkungen von Cronjobs bei WordPress finden sich auf dieser Seite.
Probleme können zusätzlich auftreten, wenn WordPress mittels Basic Auth geschützt oder innerhalb eines Docker Containers betrieben wird. In diesem Fall ist eine Namensauflösung mittels DNS nicht möglich. In beiden Fällen wird Cron nicht getriggert, da Aufrufe an das Skript (https://example.com/wp-cron.php) nicht möglich sind. Wenn diese Probleme nicht gelöst werden können, kann Cron mittels folgender Einstellung in der `wp-config.php` getriggert werden:
php
define('ALTERNATE_WP_CRON', true);
AW5: Wie kann ich die Anwendung restlos aus meinem System entfernen?
Es reicht die Anwendung auf dem üblichen Wege zu löschen.
AW6: Sie benötigen Hilfe bei der Konfiguration?
Hier gibt es einen Screencast für Wordpress welcher Ihnen dabei behilflich ist.
Plattform TYPO3
AT1: Für welche Versionen ist die Anwendung verfügbar?
Die Anwendung steht derzeit für TYPO3 ab Version 10.4 zur Verfügung.
AT2: Wo befindet sich die anwendungsspezifische Seite zur Einrichtung bzw. Konfiguration?
Die Einrichtung erfolgt über das Backend-Modul `eID-Login`.
AT3: Wie erfahren die Benutzer von der Möglichkeit zum eID-Login?
Die Benutzer müssen über eine prominente Einbindung der Frontend-Plugins `eID-Link` und `eID-Settings` auf die Möglichkeit hingewiesen werden. Darüberhinaus empfiehlt sich eine gesonderte Kommunikation der Möglichkeit zum eID-Login über die üblichen Kanäle zu den Benutzern.
AT4: Wie kann ich die Anwendung restlos aus meinem System entfernen?
Leider sind bei TYPO3 einige manuelle Schritte bei der Deinstallation notwendig. Genauere Hinweise finden Sie in der README.md im Repository der Anwendung.
AT5: Sie benötigen Hilfe bei der Konfiguration?
Hier gibt es einen Screencast für TYPO3 welcher Ihnen dabei behilflich ist.