# Single-Sign On

Zentraler Anmeldedienst für (fast) alle ZAM-Dienste.

Grundidee: Alle Nutzer identifizieren sich zentral über das ZAM Single-Sign On (SSO), damit nur dieser Dienst (und die dahinterliegende Datenbank) Kennwörter unverschlüsselt sieht.

Zum Einsatz kommt OpenLDAP als Datenbank für Benutzerinformationen und Keycloak als Authentifizierungsdienst.

Anmeldungen erfolgen ausschließlich über [https://login.zam.haus/auth/realms/ZAM](https://login.zam.haus/auth/realms/ZAM), via SAML oder OpenID. Nutzer können sich:

1. Selbst registrieren (es muss ein eindeutiger und nicht-änderbarer Nutzername gewählt und die Email-Adresse verifiziert werden).
2. Kennwort via E-Mail zurücksetzen.
3. Ihren zentralen Account und zugehörige Daten via [https://login.zam.haus/auth/realms/ZAM/account/](https://login.zam.haus/auth/realms/ZAM/account/) bzw. [https://login.zam.haus/](https://login.zam.haus/) verwalten.

Nutzer werden manuel folgenden Gruppen zugeordnet, aus denen sich Berechtigungen für die Clients (z.B. Wordpress, Cloud oder Wiki) ableiten:

- Vorstand
- Beirat
- Crew
- PR
- Mitglied

Nach einer Selbstregistrierung ist ein Benutzer erstmal in keiner Gruppen.