Authentik-SSO

Aus Un-Hack-Bar
Zur Navigation springen Zur Suche springen

Bei der UN-Hack-Bar wird Login bei unserem Diensten umgesetzt indem wir SSO via Authentik nutzen.

SSO-Administration

Emailadressen können nicht selbst von Usern geändert werden. Ebenso Usernames. Wenn es einen Matrix-Account gibt, dann ist keine Änderung möglich weil Matrix das nicht zulässt.

Bei Wordpress, Nextcloud dagegen schon. Siehe unten.

Gruppen

default - für alle, später frei verfügbar members - nur wer ne Mitgliedschaft im Verein hat admin - wer drin ist hat Admin-Rechte in der Nextcloud und eventuell später bei anderen Diensten wenn es da auch möglich ist authentik Admins - Gibt vollen Admin-Zugriff auf Authentik und sonst alles andere hadr - um Zugriff auf das HADR-Planungs-Deck in der Nextcloud zu geben, hauptsächlich für die Leute ausm c3re

Alle per Nextcloud eingeloggten Leute sind in der Nextcloud-Gruppe oidc, vielleicht ist das auch mal für was gut

aktuelle Probleme

Passwort kann geändert werden, aber es gibt dennoch eine Fehlermeldung.

Email-Adresse ändern

Emailadresse auch bei Wordpress anpassen, da darüber der Account identifiziert wird. Dann in Authentik anpassen.

Username ändern

Username bei Nextcloud und Wordpress anpassen. Dann in Authentik anpassen.

Hmm, bisher keine Möglichkeit gefunden den Username bei Nextcloud zu ändern. Eventuell bleibt nur ein neuer Nextcloud-Account?

Accounts anlegen

Vorraussetzungen und was beachtet werden muss

  1. Wordpress: Emailadresse muss gleich sein
  2. Nextcloud: Username muss gleich sein
  3. Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
  4. HedgeDoc: Es werden keine bestehenden Accounts verknüpft, da nicht möglich
  5. Matrix: User bekommen immer den Username den diese schon bei Matrix haben, da nicht änderbar. Wenn User das nicht wollen: Neuer Account mit dem Username. Ist eben so. Bestehende Matrix-Accounts müssen manuell per Synapse-Admin verknüpft werden, dabei wird die UID des Users hinterlegt. Siehe Screenshot. UID findet sich im Authentik unter Users -> $username -> "authorize_application"-Event für Synapse. Leider erst nach dem ersten Login, sodass der Username dann $username + '1' ist. Hier fehlt noch eine Lösung um die UID vorher zu ermitteln... Sonst haben wir einige tote Accounts mit einer 1 am Ende und etwas zu viel Arbeit.
  6. User kommen immer in die Group default, Mitglieder im Verein auch in members

User-Flow

  1. User setzen sich selber Passwort per auth.un-hack-bar.de über die Passwort-Rücksetz-Funktion
  2. Gitea: User können ihren Account beim ersten Login selber verknüpfen oder einen neuen erstellen
  3. HedgeDoc: Neuer Account

Screenshot SSO-Zuordnung in Synapse Admin

Datei:Https://md.un-hack-bar.de/uploads/c230c290-d920-48c7-a8e7-3fd2b8fdb2b7.png Screenshot: SSO-Verknüpfung für "admin"

Abschaltung lokales Login

Irgendwann wird als Teil der Umstellung lokales Login abgeschaltet.

Notizen dazu:

  • Nextcloud: Login per SSO funktioniert, App-Password

Info-Email Account-Umstellung

Hallo,

wir stellen unsere Login-Methode auf SSO um. Du hast nun einen Account im SSO und kannst dich nun mit denselben Zugangsdaten bei allen Diensten der UN-Hack-Bar einloggen. Dabei werden die anderen Dienste erst mit dem Account verknüpft wenn du dich einloggst.

Aktuell sind folgende Dienste angebunden:

  • Nextcloud
  • Wordpress
  • Gitea
  • Matrix-Chat
  • HedgeDoc
  • Pretix

Weitere Dienste werden noch angebunden.

Bitte geh auf auth.un-hack-bar.de und wähle "Forgot username or password?" und gib deine Emailadresse ein. Folge dann dem Vorgang und lege ein Passwort fest.

Glückwunsch, du kannst dich nun einloggen.

In den Einstellungen kannst du auch Zwei-Faktor-Authentifizierung einrichten, aktuell werden TOTP und, noch viel besser, Hardware-Token wie Yubikey unterstützt.

Später kommt eventuell auch noch passwort-freies Login mit Yubikey.

Alles weitere was du zu dem Stand unserer SSO-Umstellung wissen musst findest du hier: https://md.un-hack-bar.de/s/mJtFykhZ5#

Viele Grüße