Wenn Sie eine Anwendung via OAuth an TUMonline anbinden möchten, kontaktieren Sie uns bitte über it-support@tum.de

Von Ihnen benötigte Informationen

Wir benötigen folgende Informationen von Ihnen, um Ihnen einen OAuth Client einrichten zu können. Wenn möglich, senden Sie diese direkt mit der Anfrage mit.

Organisatorische Angaben:

  1. Verantwortlicher des Systems (Name der verantwortlichen Einrichtung wie in TUMonline, sowie Kontaktangaben mind. eines verantwortlichen Admin der die tatsächliche Implementierung vornimmt.)
  2. Beschreibung / Zweck des Systems
  3. Ihre Bestätigung dass Sie verstanden haben, dass der OAuth Login über TUMonline nicht funktionsfähig ist, während TUMonline in Wartung oder gestört ist (Hochverfügbarkeit kann explizit nicht garantiert werden!)
  4. Angaben zur eingesetzten Software und (Auth-)Plugins. Software von der Stange? Eigenentwicklung?

Technische Angaben:

  1. Bezeichnung der Anwendung in Deutsch und Englisch (wird beim Login angezeigt)
  2. Beschreibung der Anwendung in Deutsch und Englisch, ~1-3 Sätze die erklären wofür man die Anwendung nutzt (wird beim Login angezeigt)
  3. URL der Startseite der Anwendung (de/en)
  4. URL zur Datenschutzerklärung der Anwendung (de/en)
  5. URL(s) der OAuth Redirect-URIs der Anwendung
  6. Art des OAuth Flows (wir gehen davon aus dass der Authorization Code Flow genutzt wird)
  7. Ein Icon für Ihre Anwendung, PNG oder JPG, 120x120px (wird beim Login angezeigt)
  8. Nutzerdaten die Sie in der Anwendung zur Verarbeitung benötigen (denken Sie an die Verfahrensbeschreibung!)
  9. Nutzerdaten die Sie benötigen um die Zielgruppe / den Zugang zur Anwendung zu ermitteln aber nicht verarbeiten/speichern (z.B. "ist der Nutzer immatrikulierter Student")

Sicherheitsrelevante Angaben:

  1. Bestätigung dass die Anwendung ausschließlich über https:// mit HSTS erreichbar ist
  2. Bestätigung dass die Anwendung angemessenen Schutz vor Cross-Site Request-Forgery mitbringt, insbesondere Verknüpfung und Validierung des OAuth "state" Parameters mit der Nutzer-Session. Fehlende Validierung des "state" Parameters erlaubt das Unterschieben fremder Nutzer-Sessions!
  3. Bestätigung dass die Anwendung keine Einbettung in Frames gestattet (X-Frame-Options oder Content-Security-Policy Header)

Informationen für Sie

Bei erfolgter Einrichtung erhalten Sie von uns entsprechend der OAuth Spezifikation folgende Angaben:

  • Client-ID (identifiziert Ihre Anwendung)
  • Client-Secret (geheim zu halten! Autorisiert Ihre Zugriffe auf den OAuth Token Endpoint)
  • Scopes (OAuth Scopes die Ihre Anwendung anfordern muss, basierend auf Ihren Anforderungen an die Nutzerdaten)
  • Authorization Endpoint URL: https://campus.tum.de/tumonline/wbOAuth2.authorize
  • Token Endpoint URL: https://campus.tum.de/tumonline/wbOAuth2.token
  • Webservice(s) URL(s) zum Abruf der von Ihnen benötigten Nutzerdaten

Hinweise

Eine Spezifikation und Dokumentation von Standard Webservices für Nutzerdaten ist im Aufbau - aktuell erfolgt hier aber ausschließlich eine individuelle Beratung.

  • No labels