Projekt

Allgemein

Profil

Aktionen

Aufgabe #1699

offen

Aufgabe #1695: Testen der Anbindung von Anwendungen an die Accountverwaltung Kanidm

Testweise Anbindung Nextcloud an Kanidm

Von SoerenBoxberger vor mehr als 1 Jahr hinzugefügt. Vor mehr als 1 Jahr aktualisiert.

Status:
Neu
Priorität:
Normal
Zugewiesen an:
Kategorie:
Testen einer Anwendung
Beginn:
23.07.2023
Abgabedatum:
% erledigt:

70%

Geschätzter Aufwand:
10:00 h

Beschreibung

Anforderungen

Anbindungsmöglichkeiten

OIDC

Die App "Social Login" scheint Unterstützung für Group-Mappings zu haben, was bei den anderen beiden eventuell nur durch LDAP möglich wäre.
Die App "OpenID Connect user backend" hat zumindest ein Issue, welches Group-Mappings fordert.

  1. OpenID Connect user backend
  1. Social Login
  1. OpenID Connect Login
Aktionen #1

Von SoerenBoxberger vor mehr als 1 Jahr aktualisiert

  • Beschreibung aktualisiert (Vergleich)
  • Zugewiesen an wurde auf SoerenBoxberger gesetzt
Aktionen #2

Von SoerenBoxberger vor mehr als 1 Jahr aktualisiert

Aktionen #3

Von SoerenBoxberger vor mehr als 1 Jahr aktualisiert

  • Kategorie wurde auf Testen einer Anwendung gesetzt
Aktionen #4

Von SoerenBoxberger vor mehr als 1 Jahr aktualisiert

Da ich das "OpenID Connect User Backend" schon einmal getestet habe, habe ich dieses Mal "Social Login" probiert.
Dafür muss in Kanidm

kanidm system oauth2 warning-insecure-client-disable-pkce kani-cloud

eingestellt werden.

Die Nextcloud ist per Nix-Konfiguration installiert worden.
Die App habe ich per

nextcloud-occ app:enable sociallogin

installiert.

Sie erstellt standardmäßig keine neuen Gruppen, wodurch auch die UUIDs aus Kanidm die Nextcloud nicht fluten.
Zudem können die UUIDs auf sinnvolle Gruppenbezeichnungen gemappt werden. Allerdings muss man dafür die Gruppen einmal manuell auf der Nextcloud erstellen.

Die App habe ich über das Webinterface eingerichtet.

"Authorize URL" und "Token URL" habe ich aus der Kanidm Dokumentation (https://kanidm.github.io/kanidm/stable/integrations/oauth2.html) angepasst übernommen.

"Scope" habe ich "openid groups email profile" gesetzt.

"Client ID" ist die, welche in Kanidm beim erstellen des OIDC-Endpunktes angegeben wurde.

"Client Secret" kann man auf Kanidm mittels

kanidm system oauth2 show-basic-secret kani-cloud

in Erfahrung bringen.

Aktionen #5

Von SoerenBoxberger vor mehr als 1 Jahr aktualisiert

Außerdem sollen Accounts ja bei jedem Login aktualisiert werden, daher oben in den Einstellungen für "Social Login" "Update user profile every login" anhaken.

Aktionen #6

Von SoerenBoxberger vor mehr als 1 Jahr aktualisiert

  • % erledigt wurde von 0 zu 70 geändert
  • Geschätzter Aufwand wurde auf 10:00 h gesetzt
Aktionen

Auch abrufbar als: Atom PDF