Bereich Administration Rechentechnik

Da ich das "OpenID Connect User Backend" schon einmal getestet habe, habe ich dieses Mal "Social Login" probiert.
Dafür muss in Kanidm

kanidm system oauth2 warning-insecure-client-disable-pkce kani-cloud

Die Nextcloud ist per Nix-Konfiguration installiert worden.
Die App habe ich per

nextcloud-occ app:enable sociallogin

Sie erstellt standardmäßig keine neuen Gruppen, wodurch auch die UUIDs aus Kanidm die Nextcloud nicht fluten.
Zudem können die UUIDs auf sinnvolle Gruppenbezeichnungen gemappt werden. Allerdings muss man dafür die Gruppen einmal manuell auf der Nextcloud erstellen.

Die App habe ich über das Webinterface eingerichtet.

"Authorize URL" und "Token URL" habe ich aus der Kanidm Dokumentation (https://kanidm.github.io/kanidm/stable/integrations/oauth2.html) angepasst übernommen.

"Scope" habe ich "openid groups email profile" gesetzt.

"Client ID" ist die, welche in Kanidm beim erstellen des OIDC-Endpunktes angegeben wurde.

"Client Secret" kann man auf Kanidm mittels

kanidm system oauth2 show-basic-secret kani-cloud

Außerdem sollen Accounts ja bei jedem Login aktualisiert werden, daher oben in den Einstellungen für "Social Login" "Update user profile every login" anhaken.