eID-Login -at- ecsec.de +49 9571 948 1020

Hilfe und Support

Sie möchten einen Fehler melden oder eine Anregung mit uns teilen?
Nutzen Sie hierfür bitte primär das Ticket-System unter https://github.com/eid-login/eid-login-nextcloud/issues.

Sie haben ein anderes Problem oder eine Frage, die in den häufig gestellten Fragen noch nicht beantwortet ist?
Wenden Sie sich in diesem Fall gerne an unseren Support!

Sie erreichen unser Support-Team an Werktagen von Montag bis Freitag in der Zeit von 9:00 Uhr bis 17:00 Uhr
unter +49 9571 948 1020 und unter der E-Mail-Adresse eID-Login@ecsec.de.



FAQ

Für Nutzer


N1: Was ist die eID-Login App für Nextcloud?

Die eID-Login App für Nextcloud ermöglicht es Benutzern sich bei ihrem Nextcloud-Konto mit einer elektronischen Identität (eID wie die Online-Ausweisfunktion des Personalausweises) statt mit einer Kombination aus Benutzername und Passwort anzumelden. Dafür kommt ein externer Dienst zum Einsatz, welcher die eID für Nextcloud zugänglich macht.

N2: Was ist eID und welchen Nutzen bringt der Einsatz?

Der Nutzen von elektronischen Identifizierungslösungen (eID) für den Login ist vor allem ein Sicherheitsgewinn für die Benutzer der Plattform. Fragen zum Hintergrund und Nutzen der eID werden auf dem vom Bundesministerium des Innern, für Bau und Heimat bereitgestellten Personalausweisportal beantwortet. Den Sicherheitsmechanismen widmet sich diese Seite auf dem gleichen Portal.

N3: Was sind die Voraussetzungen für die Nutzung des eID-Login?

Sie benötigen für die Nutzung der eID-Login Funktion eine eID (z.B. die Online-Ausweisfunktion eines deutschen Personalausweises) sowie die Möglichkeit auf diese mit einem Kartenleser oder Smartphone und einem eID-Client zuzugreifen.

N4: Wie kann ich den eID-Login für mein Nextcloud Konto einrichten?

Um sich mit dem eID-Login bei Ihrem Nextcloud Konto anzumelden, muss vorher eine eID mit dem Konto verknüpft werden. Die Möglichkeit dazu findet sich auf der Seite Sicherheit bei den persönlichen Einstellungen. Klicken Sie dort auf den Knopf Verknüpfung zu eID erstellen. Nachdem die Verknüpfung erfolgreich erstellt wurde, können Sie den eID-Login Button auf der Anmeldeseite für den Zugang zu Ihrem Konto nutzen.

N5: Warum sollte ich die Anmeldung mit Passwort deaktivieren?

Das Deaktivieren der Anmeldung mit Passwort erhöht die Sicherheit Ihres Kontos. Sollte Ihr Passwort jemals in falsche Hände gelangen, ist für die Anmeldung zu Ihrem Nextcloud Benutzerkonto zwingend die eID und damit Ihre Ausweiskarte und die zugehörige PIN erforderlich.

N6: Ich habe keinen Zugriff mehr auf meine eID, wie kann ich mich trotzdem anmelden?

Falls Sie keinen Zugriff mehr auf Ihre eID haben, können Sie die Passwort vergessen? Funktion von Nextcloud benutzen, um sich ein neues Passwort für Ihr Konto zu vergeben. Eine Deaktivierung des Anmeldens mit Passwort wird bei diesem Vorgang aufgehoben.

N7: Ich habe eine neue Ausweiskarte erhalten, aber bei meinem Benutzerkonto ist noch die alte Ausweiskarte hinterlegt. Wie kann ich den Zugriff auf mein Benutzerkonto wiederherstellen?

Falls Sie keinen Zugriff mehr auf Ihre eID haben, können Sie die Passwort vergessen? Funktion von Nextcloud benutzen, um sich ein neues Passwort für Ihr Konto zu vergeben. Eine Deaktivierung des Anmeldens mit Passwort wird bei diesem Vorgang aufgehoben.

N8: Wie kann ich die Verknüpfung einer eID mit meinem Konto löschen?

Eine bestehende Verknüpfung Ihres Kontos mit einer eID kann auch wieder gelöscht werden. Die Möglichkeit dazu findet sich auf der Seite Sicherheit bei den persönlichen Einstellungen. Klicken Sie dort auf den Knopf Verknüpfung zu eID löschen.

N9: Welche Informationen mit Bezug zur eID werden in der Nextcloud-Datenbank gespeichert?

Es können nur die bei der Anmeldung aus Ihrem Ausweisdokument ausgelesenen Daten in der Datenbank gespeichert werden. In der Standard-Konfiguration der eID-Login App ist dies das mit Ihrer eID verbundene Pseudonym.

N10: Nach einem eID-Login sind meine App-Passwörter nicht mehr gültig. Wie kommt das, was kann ich tun?

Die Grund dafür liegt in der internen Behandlung von Anmelde-Daten in Nextcloud. Es ist derzeit nötig alle App-Passwörter neu zu erstellen und zu verknüpfen, wenn ein Login Verfahren ohne Passwort zum ersten Mal nach einem passwort-basierten Login zum Einsatz kommt. Wir stehen mit Nextcloud im Kontakt um dieses Verhalten zu ändern.



Für Administratoren


A1: Was ist die eID-Login App für Nextcloud?

Die eID-Login App ermöglicht Benutzern den Zugang zu ihrem Nextcloud-Konto mit einer elektronischen Identität (eID) statt mit einer Kombination aus Benutzername und Passwort.

A2: Was ist eID und welchen Nutzen bringt der Einsatz?

Der Nutzen von eID für den Login ist vor allem ein Sicherheitsgewinn für die Benutzer der Plattform. Fragen zum Hintergrund und Nutzen der eID werden auf dem vom Bundesministerium des Innern, für Bau und Heimat bereitgestellten Personalausweisportal beantwortet. Den Sicherheitsmechanismen widmet sich diese Seite auf dem gleichen Portal.

A3: Ist beim eID-Login ein weiteres System neben Nextcloud beteiligt?

Damit Nextcloud die eID zugänglich gemacht werden kann, kommt ein externer Dienst zum Einsatz. Dieser Identity Provider genannte Dienst kümmert sich um die Authentifizierung von Benutzern. Die eID-Login App greift auf Informationen des Identity Providers zu, um Benutzer einzuloggen und mit entsprechenden Rechten auszustatten.

A4: Welche Arten von Identity Providern werden unterstützt?

Es können alle Identity Provider angebunden werden, welche das SAML Protokoll nutzen, um mit Nextcloud zu kommunizieren. Darüber hinaus ist die Nutzung von Diensten möglich, die einen eID-Server gemäß BSI TR-03130 zur Verfügung stellen, welcher auch auf SAML basiert. Die einfachste Art der Anbindung ist die Nutzung des SkIDentity Service, welcher bereits für die unkomplizierte Nutzung vorkonfiguriert ist.

A5: Was ist das SAML Protokoll?

Die Security Assertion Markup Language (SAML) ist ein offener, weit verbreiteter Standard zum Austausch von Authentifizierungs- und Autorisierungsinformationen. Damit Nextcloud Teil einer solchen Kommunikation sein kann, stellt es Informationen zu seiner Rolle und seinen Eigenschaften unter der SAML Metadaten URL bereit. Weitere Informationen zu SAML finden sich bei OASIS.

A6: Gibt es für die Anbindung gemäß BSI TR-03130 etwas zu beachten?

Kommt eine Anbindung gemäß BSI TR-03130 in Betracht, so sind einige Dinge zu beachten. Es muss in den Einstellungen der App eine Konfiguration des AuthnRequestExtension XML-Elementes vorgenommen werden. Dieses legt fest, welche Informationen durch Nextcloud beim Identity Provider abgefragt werden. Bitte wenden Sie sich an den Betreiber des Identity Providers, um genauere Informationen zu erhalten.
Wegen der Nutzung von SAML-Redirect Binding beim Verarbeiten der Authentifizierungsantwort erfolgt der Aufruf einer sehr langen URL, die von den typischen Webservern nicht in der Standardkonfiguration verarbeitet werden kann. Es muss daher die Webserver Konfiguration angepasst werden um das Auftreten eines HTTP 414 Fehler zu vermeiden: * Apache * NGINX

A7: Welche Informationen werden vom Identity Provider für Nextcloud bereitgestellt?

Grundlage für die Verknüpfung zwischen einem Nextcloud-Konto und einer eID ist der eIdentifier. Dabei handelt es sich je nach Anbieter um ein abgeleitetes oder in der eID enthaltenes Datum, welches einer eID eindeutig zuzuordnen ist. Zudem können je nach Berechtigung des Identity Providers weitere Attribute der eID von Nextcloud abgefragt werden. Diese Attribute werden in der Datenbank abgelegt und können dann in Nextcloud genutzt werden. Für weitere Informationen bzgl. der möglichen Attribute und der zur Abfrage benötigten Konfiguration wenden Sie sich bitte an den Betreiber des jeweiligen Identity Providers.

A8: Was kostet die Nutzung eines Identity Providers?

Die Kosten für die Nutzung eines Identity Provider sind vom jeweiligen Anbieter abhängig. Die Nutzung des SkIDentity Dienstes ist im Zusammenhang mit der eID-Login App kostenfrei, falls nur der eIdentifier abgefragt wird.

A9: Welche Systemanforderungen gibt es für die Nutzung des eID-Login?
  • Nextcloud-Version: >= 19
  • PHP-Version: >= 7.3
  • PHP-Module: openssl (in der Regel auch bei günstigen Anbietern vorhanden)
  • Datenbank: PostgreSQL (>= 11.9), MySQL (>= 8) oder MariaDB (>= 10.3)
  • Korrekt eingerichtetes E-Mail Setup für Benachrichtigung von Administratoren
  • Korrekt eingerichtetes Cronjob Setup für Hintergrundaufgaben
  • Einsatz von TLS
A10: Wie erfolgt die Installation und Einrichtung?

Die Installation der App erfolgt aus dem App-Store nach dem Standard Vorgehen von Nextcloud. Nachdem die App installiert wurde ist für ihre Einrichtung eine eigene Seite unter Einstellungen verfügbar. Bei der ersten Einrichtung führt Sie ein Wizard durch die notwendigen Schritte.

A11: Wie gehe ich vor, um den eID-Login mit SkIDentity nutzen zu können?

Im folgenden Screencast sehen Sie die notwendigen Schritte für die Einrichtung des eID-Login für Nextcloud mit SkIDentity:

  • Nutzung des Wizards
  • Registrierung bei SkIDentity
  • Einrichtung von Nextcloud als Service Provider bei SkIDentity
  • Verknüpfung der eID mit dem Nextcloud Benutzerkonto

A12: Wie können die Einstellungen später angepasst werden?

Nach der Einrichtung sind unter der App spezifischen Seite bei Einstellungen die Einstellungen der App direkt einsehbar und können dort manuell geändert werden.

A13: Beim Versuch den Wizard zu nutzen kommen Fehlermeldungen, die ich nicht verstehe. Was kann ich tun?

Falls es im Wizard zu generellen Fehlermeldungen kommt, wie z.B. 'Identity Provider Einstellungen konnten nicht geladen werden' oder 'Einstellungen konnten nicht gespeichert werden', dann kann es sein, dass die TLS Konfiguration von Nextcloud nicht korrekt ist. Vielleicht hilft folgende Konfigurationseinstellung in Nextcloud:

  • 'overwriteprotocol' => 'https'

Weitere Informationen dazu finden Sie in der Nextcloud Dokumentation.

A14: Was bedeutet die Option 'Verschlüsselung von Authentifizierungsantworten erzwingen'?

Das SAML Protokoll sieht die Möglichkeit vor, Authentifizierungsantworten des Identity Providers nur verschlüsselt zu übertragen. Im Falle einer Anbindung gemäß TR-03130 ist dies z.B. erforderlich. Da die Kommunikation mit dem Identity Provider jedoch schon über die Transport-Verschlüsselung abgesichert ist bieten viele Identity Provider diese Option nicht an. Stellen Sie also vorher sicher, dass der verwendete Identity Provider diese Option unterstützt. Nähere Informationen erhalten Sie vom jeweiligen Betreiber des Identity Providers.

A15: Was hat es mit den Zertifikaten und deren Wechsel auf sich?

Für die Kommunikation mit dem Identity Provider werden Zertifikate benötigt. Je nach Anbindung kommen diese für die Signatur und gegebenenfalls auch für die Verschlüsselung von Nachrichten zum Einsatz. Die Zertifikate werden bei der Einrichtung automatisch mit einer Gültigkeit von zwei Jahren erstellt. Eine im Hintergrund laufende Aufgabe prüft diese Zertifikate regelmäßig auf Ihre Gültigkeit. Vor Ende der Gültigkeit werden von dieser Hintergrundaufgabe zwei Aktionen durchgeführt:

  • Zwei Monate vor Ende der Gültigkeit werden neue Zertifikate erstellt und diese über die Publikation in den SAML Metadaten für die Nutzung vorbereitet. Der Identity Provider muss je nach Anbieter gegebenenfalls noch vom Administrator über die Existenz der neuen Zertifikate informiert werden, falls diese nicht aus den SAML Metadaten von Nextcloud importiert werden.
  • Einen Monat vor Ende der Gültigkeit werden die bestehenden Zertifikate in der Datenbank gesichert und die vorbereiteten Zertifikate werden von nun an genutzt.

Die Administratoren dieser Nextcloud-Instanz werden über diese Schritte per E-Mail informiert.
Falls ein Wechsel der Zertifikate zu einem früheren Zeitpunkt geschehen soll, so ist dies über die Einstellungen der App möglich.

A16: Wie kann der Wizard zur Einrichtung erneut durchlaufen werden?

Wenn die Einstellungen zurückgesetzt werden, so ist der Wizard wieder auf der App spezifischen Seite unter Einstellungen verfügbar. Bitte beachten Sie, dass beim Zurücksetzen alle eID-Verknüpfungen aller Konten gelöscht werden!

A17: Welche Daten werden in der Datenbank abgelegt?

Die eID-Login App legt ihre Einstellungen in der Tabelle oc_appconfig ab. Zudem werden für die Speicherung der eID spezifischen Daten und Daten, welche während des Betriebs anfallen, folgende Tabellen erzeugt:

  • oc_eidlogin_eid_attributes
  • oc_eidlogin_eid_continuedata
  • oc_eidlogin_eid_responsedata
  • oc_eidlogin_eid_users

A18: Wie erfahren die Benutzer von der Möglichkeit zum eID-Login?

Nach der Einrichtung der App wird ein eID-Login Button auf der Anmeldeseite angezeigt. Zudem wird für alle bestehenden Benutzer eine Benachrichtigung über die Möglichkeit zum eID-Login hinterlegt. Diese beinhaltet einen Link direkt zu den persönlichen Einstellungen für Sicherheit, wo ein Benutzer sein Konto mit einer eID verknüpfen kann. Nähere Informationen dazu finden sich in der Benutzerdokumentation der eID-Login App. Die Benachrichtigung wird auch für alle neu angelegten Benutzer hinterlegt, solange die App installiert und eingerichtet ist.