Authentik-SSO
Bei der UN-Hack-Bar wird Login bei unserem Diensten umgesetzt indem wir SSO via Authentik nutzen.
SSO-Administration
Emailadressen können nicht selbst von Usern geändert werden. Ebenso Usernames. Wenn es einen Matrix-Account gibt, dann ist keine Änderung möglich weil Matrix das nicht zulässt.
Bei Wordpress, Nextcloud dagegen schon. Siehe unten.
Gruppen
default
- für alle, später frei verfügbar
members
- nur wer ne Mitgliedschaft im Verein hat
admin
- wer drin ist hat Admin-Rechte in der Nextcloud und eventuell später bei anderen Diensten wenn es da auch möglich ist
authentik Admins
- Gibt vollen Admin-Zugriff auf Authentik und sonst alles andere
hadr
- um Zugriff auf das HADR-Planungs-Deck in der Nextcloud zu geben, hauptsächlich für die Leute ausm c3re
Alle per Nextcloud eingeloggten Leute sind in der Nextcloud-Gruppe oidc
, vielleicht ist das auch mal für was gut
aktuelle Probleme
Passwort kann geändert werden, aber es gibt dennoch eine Fehlermeldung.
To Do: Prüfen ob das mit der neuen Version von Authentik gefixt wurde.
Email-Adresse ändern
Emailadresse auch bei Wordpress anpassen, da darüber der Account identifiziert wird. Dann in Authentik anpassen.
Username ändern
Username bei Nextcloud und Wordpress anpassen. Dann in Authentik anpassen.
Hmm, bisher keine Möglichkeit gefunden den Username bei Nextcloud zu ändern. Eventuell bleibt nur ein neuer Nextcloud-Account?
Aktuelles vorgehen bei Username-Änderung: Zweiten SSO-Account anlegen, User sollen dann den neuen Account nutzen. Lässt sich verbessern sobald eine Möglichkeit bekannt ist Usernames in Nextcloud zu ändern.
Accounts anlegen
Vorraussetzungen und was beachtet werden muss
- Wordpress: Emailadresse muss zum SSO gleich sein
- Nextcloud: Username muss zum SSO gleich sein
- Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
- HedgeDoc: Es werden keine bestehenden Accounts verknüpft, da nicht möglich und User bekommen einen neuen Account
- Matrix: User bekommen immer den Username den diese schon bei Matrix haben, da nicht änderbar. Wenn User das nicht wollen: Neuer Account mit dem Username. Ist eben so. Bestehende Matrix-Accounts müssen manuell per Synapse-Admin verknüpft werden, dabei wird die UID des Users hinterlegt. Siehe Screenshot. UID findet sich im Authentik unter Users -> $username -> "authorize_application"-Event für Synapse. Leider erst nach dem ersten Login, sodass der Username dann $username + '1' ist. Hier fehlt noch eine Lösung um die UID vorher zu ermitteln... Sonst haben wir einige tote Accounts mit einer 1 am Ende und etwas zu viel Arbeit mit manueller Verknüpfung. (Hat sich aber erledigt, da alle Account bis auf ein paar wenige migriert wurden und die User der restlichen Accounts nicht auf Anfragen reagiert hatten, sodass hier erst mal nicht migriert wurde.)
- User kommen immer in die Group
default
, Mitglieder im Verein auch inmembers
, eine Beschreibung aller Gruppen findet sich etwas weiter oben.
User-Flow
- User setzen sich selber Passwort per auth.un-hack-bar.de über die Passwort-Rücksetz-Funktion
- Forgejo: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
- HedgeDoc: Neuer Account
Screenshot SSO-Zuordnung in Synapse Admin
Datei:Https://md.un-hack-bar.de/uploads/c230c290-d920-48c7-a8e7-3fd2b8fdb2b7.png Screenshot: SSO-Verknüpfung für "admin"
Abschaltung lokales Login
Irgendwann wird als Teil der Umstellung lokales Login abgeschaltet.
Notizen dazu:
- Nextcloud: Login per SSO funktioniert, App-Password
Info-Email Account-Umstellung
Hallo,
wir stellen unsere Login-Methode auf SSO um. Du hast nun einen Account im SSO und kannst dich nun mit denselben Zugangsdaten bei allen Diensten der UN-Hack-Bar einloggen. Dabei werden die anderen Dienste erst mit dem Account verknüpft wenn du dich einloggst.
Aktuell sind folgende Dienste angebunden:
- Nextcloud
- Wordpress
- Gitea
- Matrix-Chat
- HedgeDoc
- Pretix
Weitere Dienste werden noch angebunden.
Bitte geh auf auth.un-hack-bar.de und wähle "Forgot username or password?" und gib deine Emailadresse ein. Folge dann dem Vorgang und lege ein Passwort fest.
Glückwunsch, du kannst dich nun einloggen.
In den Einstellungen kannst du auch Zwei-Faktor-Authentifizierung einrichten, aktuell werden TOTP und, noch viel besser, Hardware-Token wie Yubikey unterstützt.
Später kommt eventuell auch noch passwort-freies Login mit Yubikey.
Alles weitere was du zu dem Stand unserer SSO-Umstellung wissen musst findest du hier: https://md.un-hack-bar.de/s/mJtFykhZ5#
Viele Grüße