Neues Identity Mgmt

[saerdnaer]

TODOs

• [x] Entscheiden ob man eine SQL Datenbank oder LDAP als Backend benutzen will
  • Username
  • mehrere Mailadressen pro Person, eine davon als primäre markiert
  • Zuordnung eines Users zu mehreren Gruppen wie: Member, Friends & Family, Public/Extern etc.
• [x] Identity Provider dafür aufsetzen
• [ ] Accounts aus anderen Systemen matchen
• Andere Systeme per OAuth2, OpenID Connect oder SAML anbinden
  • [ ] Dokuwiki
  • [x] Gitlab (via SAML)
  • …
• Weitere Systeme anbinden
  • Mailman
  • Mitgliederverwaltung
  • …
• [ ] …

[winks]

Will ja nicht gleich meckern, aber wenn da irgendwas wegen OpenID zum SPOF wird, sollten wir erstmal gebacken bekommen, dass nicht ständig SSL-Certs abgelaufen sind o.ä.

Aber solange wiki-Login weiterhin mit altem Account geht, ist das auch ned so schlimm. Sehe das wiki halt schon als den zentralen Dienst, den die meisten Leute benutzen (Mail sind ja nur ne handvoll denk ich)

[saerdnaer]

Ich dachte auch das Wiki wäre ein guter Identity Provider, allerdings werden da die Nutzeraccounts aktuell nur in einer Textdatei (Auth Typ plain) gespeichert. Zusätzlich sind da sehr viele Karteileichen mit dabei, und wir können inaktive Nutzer nicht mal aussortieren da wir nicht wissen wan sich die Leute zuletzt eingeloggt haben. In den 10 Jahren in den diese Dokuwiki-Instanz jetzt läuft hat sich da halt einiges angesammelt. Siehe auch EH2010.

[pc-coholic]

Ich hatte mich da ja Mal kürzlich diesbezüglich umgeschaut und bin unter anderem über authentic2 gestolpert. Die aktuelle git-Version davon ist nicht schlecht (bzw. deutlich besser als das was da von 2015 auf pypi rumliegt) - aber noch weit davon entfernt perfekt zu sein... Man muss noch an vielen Stellen Hand anlegen, einiges ist noch französisch und nicht übersetzt, und die Doku ist unter aller Sau. Aber ansonsten ein sehr flexibeles ID-Management mit Anbindung an OID, JWT, und diverse andere. Und das ganz ohne LDAP.

Jemand anderes hatte auch parallel dazu gesucht und ist am Ende dann bei Univention hängen geblieben, weil das wohl doch noch die kompletteste Lösung ohne Frickel ist... Die Community Version kostet auch nicht ein Mal was und nimmt einem die Arbeit bzgl. LDAP-Schrauberei, etc. ab...

[saerdnaer]

@derchrisuk Kannst du hier kurz einen Kommentar zum aktuellen Stand hinterlassen?

[derchrisuk]

Ich habe mit authentic2 nun ein IdP aufgesetzt. Dieser ist bereits mit dem Gitlab integriert, und dient dort aktuell als einzigster Login.

Es gibt aber auch mit dem IdP noch so ein paar Sachen die man aendern moechte/sollte. So kann sich z.b. aktuell jeder selber Registrieren, was ja auch soll. Aber es fehlt so wie ich das sehe eine Art Admin Freischaltung – ggfs. hab ich auch was in den Settings uebersehen. Die in der Tat alles andere als Perfekt dokumentiert sind. Nun muesste man mal schauen wie wir andere bestehende Dienste dort am besten integriert. Fuer das Wiki sollte es gute SAML Plugins geben.

[fpletz]

Weitere Systeme anbinden

• Mailman

Bitte nicht Mailman2 noch länger am Leben halten sondern abschalten.

• Mitgliederverwaltung

Was ist die Mitgliederverwaltung?

Andere Systeme per OAuth2, OpenID Connect oder SAML anbinden

• Dokuwiki

Wenn mir jemand Access gibt kann ich mir das anschauen.

Ich habe mit authentic2 nun ein IdP aufgesetzt.

Wie bekomme ich in authentic2 Admin-Acess zum einrichten von neuen Services?

[derchrisuk]

@fpletz hab dir Access fuer deinen SSO account gegeben.

[saerdnaer]

Inzwischen gibts auth.muc.ccc.de