Authentik-SSO

Aus Un-Hack-Bar
Version vom 18. Juni 2024, 13:28 Uhr von 2a00:e180:1725:5000:c8c6:6684:6e88:62f (Diskussion) (→‎User-Flow)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Bei der UN-Hack-Bar wird Login bei unserem Diensten umgesetzt indem wir SSO via Authentik nutzen.

SSO-Administration

Emailadressen können nicht selbst von Usern geändert werden. Ebenso Usernames. Wenn es einen Matrix-Account gibt, dann ist keine Änderung möglich weil Matrix das nicht zulässt.

Bei Wordpress, Nextcloud dagegen schon. Siehe unten.

Gruppen

default - für alle, später frei verfügbar

members - nur wer ne Mitgliedschaft im Verein hat

admin - wer drin ist hat Admin-Rechte in der Nextcloud und eventuell später bei anderen Diensten wenn es da auch möglich ist

authentik Admins - Gibt vollen Admin-Zugriff auf Authentik und sonst alles andere

hadr - um Zugriff auf das HADR-Planungs-Deck in der Nextcloud zu geben, hauptsächlich für die Leute ausm c3re

Alle per Nextcloud eingeloggten Leute sind in der Nextcloud-Gruppe oidc, vielleicht ist das auch mal für was gut

aktuelle Probleme

Passwort kann geändert werden, aber es gibt dennoch eine Fehlermeldung.

To Do: Prüfen ob das mit der neuen Version von Authentik gefixt wurde.

Email-Adresse ändern

Emailadresse auch bei Wordpress anpassen, da darüber der Account identifiziert wird. Dann in Authentik anpassen.

Username ändern

Username bei Nextcloud und Wordpress anpassen. Dann in Authentik anpassen.

Hmm, bisher keine Möglichkeit gefunden den Username bei Nextcloud zu ändern. Eventuell bleibt nur ein neuer Nextcloud-Account?

Aktuelles vorgehen bei Username-Änderung: Zweiten SSO-Account anlegen, User sollen dann den neuen Account nutzen. Lässt sich verbessern sobald eine Möglichkeit bekannt ist Usernames in Nextcloud zu ändern.

Accounts anlegen

Vorraussetzungen und was beachtet werden muss

  1. Wordpress: Emailadresse muss zum SSO gleich sein
  2. Nextcloud: Username muss zum SSO gleich sein
  3. Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
  4. HedgeDoc: Es werden keine bestehenden Accounts verknüpft, da nicht möglich und User bekommen einen neuen Account
  5. Matrix: User bekommen immer den Username den diese schon bei Matrix haben, da nicht änderbar. Wenn User das nicht wollen: Neuer Account mit dem Username. Ist eben so. Bestehende Matrix-Accounts müssen manuell per Synapse-Admin verknüpft werden, dabei wird die UID des Users hinterlegt. Siehe Screenshot. UID findet sich im Authentik unter Users -> $username -> "authorize_application"-Event für Synapse. Leider erst nach dem ersten Login, sodass der Username dann $username + '1' ist. Hier fehlt noch eine Lösung um die UID vorher zu ermitteln... Sonst haben wir einige tote Accounts mit einer 1 am Ende und etwas zu viel Arbeit mit manueller Verknüpfung. (Hat sich aber erledigt, da alle Account bis auf ein paar wenige migriert wurden und die User der restlichen Accounts nicht auf Anfragen reagiert hatten, sodass hier erst mal nicht migriert wurde.)
  6. User kommen immer in die Group default, Mitglieder im Verein auch in members, eine Beschreibung aller Gruppen findet sich etwas weiter oben.

User-Flow

  1. User setzen sich selber Passwort per auth.un-hack-bar.de über die Passwort-Rücksetz-Funktion
  2. Forgejo: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
  3. HedgeDoc: Neuer Account

Screenshot SSO-Zuordnung in Synapse Admin

Datei:Https://md.un-hack-bar.de/uploads/c230c290-d920-48c7-a8e7-3fd2b8fdb2b7.png Screenshot: SSO-Verknüpfung für "admin"

Abschaltung lokales Login

Irgendwann wird als Teil der Umstellung lokales Login abgeschaltet.

Notizen dazu:

  • Nextcloud: Login per SSO funktioniert, App-Password

Info-Email Account-Umstellung

Hallo,

wir stellen unsere Login-Methode auf SSO um. Du hast nun einen Account im SSO und kannst dich nun mit denselben Zugangsdaten bei allen Diensten der UN-Hack-Bar einloggen. Dabei werden die anderen Dienste erst mit dem Account verknüpft wenn du dich einloggst.

Aktuell sind folgende Dienste angebunden:

  • Nextcloud
  • Wordpress
  • Gitea
  • Matrix-Chat
  • HedgeDoc
  • Pretix

Weitere Dienste werden noch angebunden.

Bitte geh auf auth.un-hack-bar.de und wähle "Forgot username or password?" und gib deine Emailadresse ein. Folge dann dem Vorgang und lege ein Passwort fest.

Glückwunsch, du kannst dich nun einloggen.

In den Einstellungen kannst du auch Zwei-Faktor-Authentifizierung einrichten, aktuell werden TOTP und, noch viel besser, Hardware-Token wie Yubikey unterstützt.

Später kommt eventuell auch noch passwort-freies Login mit Yubikey.

Alles weitere was du zu dem Stand unserer SSO-Umstellung wissen musst findest du hier: https://md.un-hack-bar.de/s/mJtFykhZ5#

Viele Grüße