Authentifizierung

Jede Instanz hat einen passwortgeschützten Login mit Rollen, Rechten und einfacher Zwei-Faktor-Authentifizierung als Schalter pro Instanz. Das ist Basis und in jeder go~mus-Instanz aktiv.

Über das Add-On Authentifizierung lassen sich SAML und OpenID Connect anbinden, etwa Microsoft Entra (vormals Azure AD) oder Google Workspace. Nutzer:innen melden sich mit dem Identitäts-System der Organisation an, ohne separates go~mus-Passwort.

Nutzer:innen können automatisch beim ersten Login angelegt werden. Rolle und Museumszuweisung lassen sich aus Gruppen-Attributen des Identitäts-Systems ableiten, sodass Onboarding und Off-Boarding zentral im Identity-Provider laufen.

Unabhängig vom SSO-Pfad kann jede Instanz die einfache TOTP-basierte Zwei-Faktor-Authentifizierung erzwingen. Praktisch beim Standard-Login, wenn kein eigenes Identity-System gepflegt wird.