Externe Authentifizierung

Administratoren können von der Verwendung externer Authentifizierungsserver für die Authentifizierung von Benutzern in MyQ profitieren. Dies ist vor allem in Umgebungen hilfreich, in denen ein Authentifizierungsdienst verwendet wird, der von MyQ nicht nativ unterstützt wird.

Die externe Authentifizierung wird für die Anmeldung am MyQ Embedded Terminal und am MyQ Desktop Client verwendet. Die MyQ-Weboberfläche und der MyQ X Mobile Client erfordern in MyQ festgelegte Anmeldedaten.

So funktioniert es

Es wird eine API-Verbindung zwischen MyQ und dem Authentifizierungsdienst eingerichtet. MyQ fordert über diese Verbindung die Authentifizierung an, und auf der anderen Seite befindet sich der Authentifizierungsdienst selbst, in dem Benutzer und ihre Anmeldedaten gespeichert sind.

Der Benutzer versucht, sich am MyQ Embedded Terminal anzumelden

Durch Durchziehen einer ID-Karte
Durch Eingabe einer PIN

Die Anfrage wird an den API-Konnektor gesendet und enthält den Typ der Anmeldemethode sowie den Wert

Der Konnektor übernimmt die Kommunikation mit dem Authentifizierungsdienst und gibt den passenden Benutzer an MyQ zurück

Es gibt zwei Betriebsmodi für die externe Authentifizierung. Entweder kann sie als primäre Methode zur Authentifizierung von Benutzern dienen oder als Backup-Authentifizierung konfiguriert werden, falls die Authentifizierung gegenüber MyQ fehlschlägt. Hierfür kann die Option „Nur verwenden, wenn die Authentifizierung gegenüber der MyQ-Datenbank fehlschlägt“ ausgewählt werden.

Authentifizierungsanfrage

Unterstützte Anmeldemethoden

Diese Einstellung definiert die Anmeldemethode, für die die externe Authentifizierung verwendet wird. Die andere, nicht ausgewählte Anmeldemethode authentifiziert den Benutzer anhand der Anmeldedaten in MyQ.

ID-Karte
PIN

MyQ sendet den Typ der Anmeldemethode zusammen mit dem tatsächlichen PIN-/Ausweiswert, damit der API-Konnektor erkennen kann, welche Benutzereigenschaft verwendet werden muss, um den richtigen Benutzer zu finden.

Wenn beispielsweise eine ID-Karte ausgewählt ist und sich der Benutzer am Embedded Terminal mit einer ID-Karte authentifiziert, sendet MyQ loginType=1&loginValue=1234. Dies kann als Ausweisnummer interpretiert werden 1234.

Wenn ein Kartenleser, der Tastatureingaben emuliert, an das Gerät angeschlossen ist und ein Benutzer seine Karte durchzieht, kann MyQ nicht erkennen, ob der empfangene Wert eine PIN oder eine ID-Kartennummer ist. MyQ teilt dies dem API-Konnektor mit (loginType=7). Der Connector sollte so konfiguriert werden, dass er diese Anfragen verarbeitet, z. B. durch den Versuch, die Authentifizierung anhand beider Benutzereigenschaften durchzuführen.

Authentifizierungsantwort

Unterstützte Benutzerkennungen

Der API-Konnektor muss im JSON-Format mit einem der Werte an MyQ zurückmelden, um den richtigen Benutzer zuzuordnen und ihn beim Client anzumelden.

Persönliche Nummer eines bestehenden Benutzers in MyQ
Benutzername eines bestehenden Benutzers in MyQ

Beispielantworten:

{"result":0,"personalNumber":"123456"} bedeutet, dass der Benutzer vom Authentifizierungsdienst erfolgreich identifiziert wurde und seine persönliche Nummer 123456. Der Benutzer mit dieser persönlichen Nummer in MyQ ist authentifiziert.
{"result":0,"username":"JohnDoe"} bedeutet, dass der Benutzer identifiziert wurde und sein Benutzername lautet JohnDoe. Der Benutzer mit diesem Benutzernamen in MyQ ist authentifiziert.

Fehlerzustände

Ungültiger Benutzer ({"result":1}) – der Benutzer wurde gefunden, aber sein Konto ist ungültig (z. B. deaktiviert)
Kein Benutzer gefunden ({"result":2}) – es gibt keinen Benutzer, der mit den Anmeldedaten verknüpft ist

API-Dokumentation

Einzelheiten zur Implementierung, einschließlich Informationen zu den API-Endpunkten und gültigen Antworten, finden Sie in der MyQ-API-Dokumentation – Externe Authentifizierung.

Häufige Anwendungsfälle

Der External-API-Konnektor kann in seiner einfachsten Form zum „Übersetzen“ von Anfragen verwendet werden. Er ermöglicht jedoch auch komplexere Authentifizierungsabläufe, da der Konnektor selbst eine Reihe von Operationen ausführen kann, bevor er den passenden Benutzer an MyQ zurückgibt.

Beispiel 1: Es wird ein von MyQ nicht unterstützter Authentifizierungsdienst benötigt

Ein Konnektor, der die API-Aufrufe zwischen MyQ und dem Remote-Authentifizierungsdienst übersetzt.

Beispiel 2: Erweiterter Authentifizierungsworkflow – mehrere Identitäten

Die externe Authentifizierung kann in Fällen genutzt werden, in denen eine bestimmte Operation zwischen MyQ und dem Authentifizierungsserver stattfinden muss. Dies kann eine Transformation, eine erweiterte Benutzererkennung in Umgebungen mit mehreren Domänen und vieles mehr sein.

Einrichtung der externen Authentifizierung

Das Ziel für die externe Authentifizierung kann in MyQ unter „Einstellungen“, „Benutzerauthentifizierung“ aktiviert und konfiguriert werden.

URL: Geben Sie die URL ein, unter der der API-Konnektor läuft
Benutzername: Geben Sie den Benutzernamen ein, der für die Verbindung zum externen Server über die API erforderlich ist
Passwort: Geben Sie das Passwort ein, das für die Verbindung zum externen Server über die API erforderlich ist
Anmeldemethode: Wählen Sie die Anmeldemethode des Benutzers – ID-Karte oder PIN
Nur verwenden, wenn die Authentifizierung gegenüber der MyQ-Datenbank fehlschlägt: Diese Option legt fest, ob die externe Authentifizierung die primäre oder sekundäre Authentifizierungsmethode ist
- Wenn diese Option aktiviert ist, wird der Benutzer zunächst gegenüber dem MyQ-Print Server authentifiziert; erst wenn dies fehlschlägt, erfolgt der nächste Versuch über den Remote-Authentifizierungsdienst
- Wenn deaktiviert, wird keine Authentifizierung gegenüber dem MyQ-Print Server durchgeführt; es wird immer der externe Authentifizierungsdienst verwendet