Authentik-SSO: Unterschied zwischen den Versionen

Aus Un-Hack-Bar
Zur Navigation springen Zur Suche springen
(angelegt)
(Formatierung gefixt)
Zeile 1: Zeile 1:
 
Bei der UN-Hack-Bar wird Login bei unserem Diensten umgesetzt indem wir SSO via Authentik nutzen.
 
Bei der UN-Hack-Bar wird Login bei unserem Diensten umgesetzt indem wir SSO via Authentik nutzen.
  
# SSO-Administration
+
= SSO-Administration =
  
 
Emailadressen können nicht selbst von Usern geändert werden. Ebenso Usernames. Wenn es einen Matrix-Account gibt, dann ist keine Änderung möglich weil Matrix das nicht zulässt.
 
Emailadressen können nicht selbst von Usern geändert werden. Ebenso Usernames. Wenn es einen Matrix-Account gibt, dann ist keine Änderung möglich weil Matrix das nicht zulässt.
Zeile 7: Zeile 7:
 
Bei Wordpress, Nextcloud dagegen schon. Siehe unten.
 
Bei Wordpress, Nextcloud dagegen schon. Siehe unten.
  
## Gruppen
+
== Gruppen ==
  
`default` - für alle, später frei verfügbar<br>`members` - nur wer ne Mitgliedschaft im Verein hat<br>`admin` - wer drin ist hat Admin-Rechte in der Nextcloud und eventuell später bei anderen Diensten wenn es da auch möglich ist<br>`authentik Admins` - Gibt vollen Admin-Zugriff auf Authentik und sonst alles andere<br>`hadr` - um Zugriff auf das HADR-Planungs-Deck in der Nextcloud zu geben, hauptsächlich für die Leute ausm c3re
+
<code>default</code> - für alle, später frei verfügbar <code>members</code> - nur wer ne Mitgliedschaft im Verein hat <code>admin</code> - wer drin ist hat Admin-Rechte in der Nextcloud und eventuell später bei anderen Diensten wenn es da auch möglich ist <code>authentik Admins</code> - Gibt vollen Admin-Zugriff auf Authentik und sonst alles andere <code>hadr</code> - um Zugriff auf das HADR-Planungs-Deck in der Nextcloud zu geben, hauptsächlich für die Leute ausm c3re
  
Alle per Nextcloud eingeloggten Leute sind in der Nextcloud-Gruppe `oidc`, vielleicht ist das auch mal für was gut
+
Alle per Nextcloud eingeloggten Leute sind in der Nextcloud-Gruppe <code>oidc</code>, vielleicht ist das auch mal für was gut
  
## aktuelle Probleme
+
== aktuelle Probleme ==
  
 
Passwort kann geändert werden, aber es gibt dennoch eine Fehlermeldung.
 
Passwort kann geändert werden, aber es gibt dennoch eine Fehlermeldung.
  
## Email-Adresse ändern
+
== Email-Adresse ändern ==
  
 
Emailadresse auch bei Wordpress anpassen, da darüber der Account identifiziert wird. Dann in Authentik anpassen.
 
Emailadresse auch bei Wordpress anpassen, da darüber der Account identifiziert wird. Dann in Authentik anpassen.
  
## Username ändern
+
== Username ändern ==
  
 
Username bei Nextcloud und Wordpress anpassen. Dann in Authentik anpassen.
 
Username bei Nextcloud und Wordpress anpassen. Dann in Authentik anpassen.
Zeile 27: Zeile 27:
 
Hmm, bisher keine Möglichkeit gefunden den Username bei Nextcloud zu ändern. Eventuell bleibt nur ein neuer Nextcloud-Account?
 
Hmm, bisher keine Möglichkeit gefunden den Username bei Nextcloud zu ändern. Eventuell bleibt nur ein neuer Nextcloud-Account?
  
## Accounts anlegen
+
== Accounts anlegen ==
  
### Vorraussetzungen und was beachtet werden muss
+
=== Vorraussetzungen und was beachtet werden muss ===
  
1. Wordpress: Emailadresse muss gleich sein<br>2. Nextcloud: Username muss gleich sein<br>3. Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen<br>4. HedgeDoc: Es werden keine bestehenden Accounts verknüpft, da nicht möglich<br>5. Matrix: User bekommen immer den Username den diese schon bei Matrix haben, da nicht änderbar. Wenn User das nicht wollen: Neuer Account mit dem Username. Ist eben so. Bestehende Matrix-Accounts müssen manuell per Synapse-Admin verknüpft werden, dabei wird die UID des Users hinterlegt. Siehe Screenshot. UID findet sich im Authentik unter Users -&gt; $username -&gt; "authorize_application"-Event für Synapse. Leider erst nach dem ersten Login, sodass der Username dann $username + '1' ist. **Hier fehlt noch eine Lösung** um die UID vorher zu ermitteln... Sonst haben wir einige tote Accounts mit einer 1 am Ende und etwas zu viel Arbeit.<br>5. User kommen immer in die Group `default`, Mitglieder im Verein auch in `members`
+
# Wordpress: Emailadresse muss gleich sein
 +
# Nextcloud: Username muss gleich sein
 +
# Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
 +
# HedgeDoc: Es werden keine bestehenden Accounts verknüpft, da nicht möglich
 +
# Matrix: User bekommen immer den Username den diese schon bei Matrix haben, da nicht änderbar. Wenn User das nicht wollen: Neuer Account mit dem Username. Ist eben so. Bestehende Matrix-Accounts müssen manuell per Synapse-Admin verknüpft werden, dabei wird die UID des Users hinterlegt. Siehe Screenshot. UID findet sich im Authentik unter Users -&gt; $username -&gt; &quot;authorize_application&quot;-Event für Synapse. Leider erst nach dem ersten Login, sodass der Username dann $username + '1' ist. '''Hier fehlt noch eine Lösung''' um die UID vorher zu ermitteln... Sonst haben wir einige tote Accounts mit einer 1 am Ende und etwas zu viel Arbeit.
 +
# User kommen immer in die Group <code>default</code>, Mitglieder im Verein auch in <code>members</code>
  
### User-Flow
+
=== User-Flow ===
  
1. User setzen sich selber Passwort per auth.un-hack-bar.de über die Passwort-Rücksetz-Funktion<br>2. Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen<br>3. HedgeDoc: Neuer Account
+
# User setzen sich selber Passwort per auth.un-hack-bar.de über die Passwort-Rücksetz-Funktion
 +
# Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
 +
# HedgeDoc: Neuer Account
  
### Screenshot SSO-Zuordnung in Synapse Admin
+
=== Screenshot SSO-Zuordnung in Synapse Admin ===
  
<br>![](https://md.un-hack-bar.de/uploads/c230c290-d920-48c7-a8e7-3fd2b8fdb2b7.png)<br>Screenshot: SSO-Verknüpfung für "admin"
+
[[File:https://md.un-hack-bar.de/uploads/c230c290-d920-48c7-a8e7-3fd2b8fdb2b7.png]] Screenshot: SSO-Verknüpfung für &quot;admin&quot;
  
<br>## Abschaltung lokales Login
+
== Abschaltung lokales Login ==
  
 
Irgendwann wird als Teil der Umstellung lokales Login abgeschaltet.
 
Irgendwann wird als Teil der Umstellung lokales Login abgeschaltet.
Zeile 47: Zeile 54:
 
Notizen dazu:
 
Notizen dazu:
  
- Nextcloud: Login per SSO funktioniert, App-Password
+
* Nextcloud: Login per SSO funktioniert, App-Password
  
## Info-Email Account-Umstellung
+
== Info-Email Account-Umstellung ==
  
 
Hallo,
 
Hallo,
Zeile 57: Zeile 64:
 
Aktuell sind folgende Dienste angebunden:
 
Aktuell sind folgende Dienste angebunden:
  
- Nextcloud<br>- Wordpress<br>- Gitea<br>- Matrix-Chat<br>- HedgeDoc<br>- Pretix
+
* Nextcloud
 +
* Wordpress
 +
* Gitea
 +
* Matrix-Chat
 +
* HedgeDoc
 +
* Pretix
  
 
Weitere Dienste werden noch angebunden.
 
Weitere Dienste werden noch angebunden.
  
Bitte geh auf auth.un-hack-bar.de und wähle "Forgot username or password?" und gib deine Emailadresse ein. Folge dann dem Vorgang und lege ein Passwort fest.
+
Bitte geh auf auth.un-hack-bar.de und wähle &quot;Forgot username or password?&quot; und gib deine Emailadresse ein. Folge dann dem Vorgang und lege ein Passwort fest.
  
 
Glückwunsch, du kannst dich nun einloggen.
 
Glückwunsch, du kannst dich nun einloggen.

Version vom 15. Mai 2023, 19:01 Uhr

Bei der UN-Hack-Bar wird Login bei unserem Diensten umgesetzt indem wir SSO via Authentik nutzen.

SSO-Administration

Emailadressen können nicht selbst von Usern geändert werden. Ebenso Usernames. Wenn es einen Matrix-Account gibt, dann ist keine Änderung möglich weil Matrix das nicht zulässt.

Bei Wordpress, Nextcloud dagegen schon. Siehe unten.

Gruppen

default - für alle, später frei verfügbar members - nur wer ne Mitgliedschaft im Verein hat admin - wer drin ist hat Admin-Rechte in der Nextcloud und eventuell später bei anderen Diensten wenn es da auch möglich ist authentik Admins - Gibt vollen Admin-Zugriff auf Authentik und sonst alles andere hadr - um Zugriff auf das HADR-Planungs-Deck in der Nextcloud zu geben, hauptsächlich für die Leute ausm c3re

Alle per Nextcloud eingeloggten Leute sind in der Nextcloud-Gruppe oidc, vielleicht ist das auch mal für was gut

aktuelle Probleme

Passwort kann geändert werden, aber es gibt dennoch eine Fehlermeldung.

Email-Adresse ändern

Emailadresse auch bei Wordpress anpassen, da darüber der Account identifiziert wird. Dann in Authentik anpassen.

Username ändern

Username bei Nextcloud und Wordpress anpassen. Dann in Authentik anpassen.

Hmm, bisher keine Möglichkeit gefunden den Username bei Nextcloud zu ändern. Eventuell bleibt nur ein neuer Nextcloud-Account?

Accounts anlegen

Vorraussetzungen und was beachtet werden muss

  1. Wordpress: Emailadresse muss gleich sein
  2. Nextcloud: Username muss gleich sein
  3. Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
  4. HedgeDoc: Es werden keine bestehenden Accounts verknüpft, da nicht möglich
  5. Matrix: User bekommen immer den Username den diese schon bei Matrix haben, da nicht änderbar. Wenn User das nicht wollen: Neuer Account mit dem Username. Ist eben so. Bestehende Matrix-Accounts müssen manuell per Synapse-Admin verknüpft werden, dabei wird die UID des Users hinterlegt. Siehe Screenshot. UID findet sich im Authentik unter Users -> $username -> "authorize_application"-Event für Synapse. Leider erst nach dem ersten Login, sodass der Username dann $username + '1' ist. Hier fehlt noch eine Lösung um die UID vorher zu ermitteln... Sonst haben wir einige tote Accounts mit einer 1 am Ende und etwas zu viel Arbeit.
  6. User kommen immer in die Group default, Mitglieder im Verein auch in members

User-Flow

  1. User setzen sich selber Passwort per auth.un-hack-bar.de über die Passwort-Rücksetz-Funktion
  2. Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
  3. HedgeDoc: Neuer Account

Screenshot SSO-Zuordnung in Synapse Admin

Datei:Https://md.un-hack-bar.de/uploads/c230c290-d920-48c7-a8e7-3fd2b8fdb2b7.png Screenshot: SSO-Verknüpfung für "admin"

Abschaltung lokales Login

Irgendwann wird als Teil der Umstellung lokales Login abgeschaltet.

Notizen dazu:

  • Nextcloud: Login per SSO funktioniert, App-Password

Info-Email Account-Umstellung

Hallo,

wir stellen unsere Login-Methode auf SSO um. Du hast nun einen Account im SSO und kannst dich nun mit denselben Zugangsdaten bei allen Diensten der UN-Hack-Bar einloggen. Dabei werden die anderen Dienste erst mit dem Account verknüpft wenn du dich einloggst.

Aktuell sind folgende Dienste angebunden:

  • Nextcloud
  • Wordpress
  • Gitea
  • Matrix-Chat
  • HedgeDoc
  • Pretix

Weitere Dienste werden noch angebunden.

Bitte geh auf auth.un-hack-bar.de und wähle "Forgot username or password?" und gib deine Emailadresse ein. Folge dann dem Vorgang und lege ein Passwort fest.

Glückwunsch, du kannst dich nun einloggen.

In den Einstellungen kannst du auch Zwei-Faktor-Authentifizierung einrichten, aktuell werden TOTP und, noch viel besser, Hardware-Token wie Yubikey unterstützt.

Später kommt eventuell auch noch passwort-freies Login mit Yubikey.

Alles weitere was du zu dem Stand unserer SSO-Umstellung wissen musst findest du hier: https://md.un-hack-bar.de/s/mJtFykhZ5#

Viele Grüße