SSO: Unterschied zwischen den Versionen

aus dem Wiki des Entropia e.V., CCC Karlsruhe
(Update Anlegen von Usern)
Keine Bearbeitungszusammenfassung
 
(10 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Das Single-SignOn System des entropia e.V., basierend auf einem Keycloak mit einem openLDAP als Backend.
== Wer bekommt einen Account und wie? ==


Unterstuetzt opportunistisches Enrollment von 2FA via TOTP oder WebAuthN (also: wird enforced sobald hinterlegt, aber Hinterlegen wird nicht erzwungen).
Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand (mailto:vorstand@entropia.de) oder die LDAP-Admins (mailto:oops+ldap@entropia.de). Notwendige Angaben:


== Neue Nutzer anlegen ==
* einen Nutzernamen, der möglichst ohne exotische Sonderzeichen auskommt
* eine eMail-Adresse, die zum Passwort-Reset verwendet wird


Im Keycloak -> Users -> Add user:
Wurde der Nutzer erstellt, kann man unter https://sso.entropia.de/realms/entropia/account/ -> "Sign in" -> "Forgot password" sich eine Email mit kurzlebigem Token an die hinterlegte Adresse anfordern, mit der das eigene Kennwort (initial) gesetzt werden kann.


- Nutzername ist die `uid`, sollte also der Nick ohne allzu exotische Sonderzeichen sein.
{{Note|type=warn|text=In dem Dialog funktioniert ''nur'' der Username, nicht die Email-Adresse direkt.}}


- Dann unter "Join Groups" unter der top-level Gruppe "LDAP" die passenden Gruppen ("Mitglied", "intern", [...]) auswaehlen
{{Note|type=info|text=SSO-Verantwortliche finden im [https://entropia.de/intern-wiki/SSO intern-wiki] einige Informationen zum Anlegen/Verwalten von Accounts.}}


- Die Email hinterlegen und "Email verified" anschalten.
== Zwei-Faktor-Authentifizierung (2FA) ==
[[Datei:Entropia-sso-2fa-enrollment.png|mini]]
Es werden [https://en.wikipedia.org/wiki/Time-based_one-time_password TOTP] und [https://en.wikipedia.org/wiki/WebAuthn WebAuthN] als 2FA-Methoden unterstützt.


- Als "Required user action" das "Update Password" auswaehlen.
Diese können vom Nutzer unter https://sso.entropia.de/realms/entropia/account/ (Security → Signing in) aktiviert werden.


Nutzer koenen sich dann auf https://sso.entropia.de/realms/entropia/account bei Sign-In -> Forgot Password -> Email mit temp link ein neues Kennwort setzen (temporaeres Kennwort nicht notwendig)
Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.


[[Datei:Entropia-sso-new-user.png]]
== Dienste ==


== 2FA ==
* ✅ <code>matrix.entropia.de</code> -> https://element.entropia.de -> SSO Login
 
* ✅ <code>cloud.entropia.de</code> -> https://cloud.entropia.de -> "Login with Entropia SSO"
Es werden TOTP und WebAuthN unterstuetzt, unter https://sso.entropia.de/realms/entropia/account/ (Security -> Signing in) kann man 2FA-Methoden enrollen.
* ✅ <code>stats.entropia.de</code> -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
 
* ✅ <code>VictoriaMetrics Alerting Engine</code> -> https://stats.entropia.de/vmalert/
Wichtig: Diese werden dann sofort immer enforced, also im Zweifel einen YubiKey (WebAuthN) und noch ein TOTP (Auhenticator App) device.
* ✅ <code>VictoriaMetrics Timeseries Database</code> -> https://stats.entropia.de/vmtsdb/
 
* ✅ <code>alertmanager</code> -> https://stats.entropia.de/alertmanager/
[[Datei:Entropia-sso-2fa-enrollment.png]]
* ✅ <code>netbox.entropia.de</code> - mit OAuth2 Proxy
 
* ✅ <code>entropia.de</code> (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
== Rechte ==
* ✅ <code>entropia.de/intern</code> (intern-wiki)
 
* ✅ <code>md.entropia.de</code> - Entropianische HedgeDoc Instanz
- *Vorstaende* (in LDAP/vorstand) koennen *alle* Nutzer *mit ihrem Namen* sehen und Nutzer anlegen und sperren
* ✅  https://jira.gulas.ch/ / https://ticket.gulas.ch/
 
* ✅  https://troll.gulas.ch/ - Wenn ihr schon einen nicht-SSO Accout habt: Einloggen -> Einstellungen -> SSO -> Connect
== Realms ==
* ✅  https://wiki.gulas.ch/
 
* ❌ <code>grafana.club.entropia.de</code> - zukunft ungewiss
Entropia realm fuer Entropia member, "master" realm ist admin-realm.
* ❌ <code>bezahlbarkeit.club.entropia.de</code>
 
* ❌ <code>bitwarden.entropia.de</code>
Gewerbehof im Keycloak (GH wiki, GH mailingliste?)
* ❌ <code>mail.entropia.de</code> mailcow
 
* ❌ <code>lists.entropia.de</code> mailman / intern@ entropia liste
== Services ==
 
* [x] matrix.entropia.de -> https://element.entropia.de -> SSO Login
* [x] cloud.entropia.de -> https://cloud.entropia.de -> "Login with Entropia SSO"
* [ ] grafana.club.entropia.de - zukunft ungewiss
* [x] stats.entropia.de -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
* [x] VictoriaMetrics Alerting Engine -> https://stats.entropia.de/vmalert/
* [x] alertmanager -> https://stats.entropia.de/alertmanager/
* [ ] netbox.entropia.de
* [ ] bitwarden.entropia.de
* [x] entropia.de (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
* [x] entropia.de/intern (intern-wiki)
* [ ] bezahlbarkeit.club.entropia.de
* [ ] mailcow
* [ ] mailman / intern@ entropia liste


[[Kategorie:Projekte]]
[[Kategorie:Projekte]]
[[Kategorie:Projekte:Laufend]]
[[Kategorie:Projekte:Laufend]]

Aktuelle Version vom 24. April 2024, 19:16 Uhr

Wer bekommt einen Account und wie?

Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand (mailto:vorstand@entropia.de) oder die LDAP-Admins (mailto:oops+ldap@entropia.de). Notwendige Angaben:

  • einen Nutzernamen, der möglichst ohne exotische Sonderzeichen auskommt
  • eine eMail-Adresse, die zum Passwort-Reset verwendet wird

Wurde der Nutzer erstellt, kann man unter https://sso.entropia.de/realms/entropia/account/ -> "Sign in" -> "Forgot password" sich eine Email mit kurzlebigem Token an die hinterlegte Adresse anfordern, mit der das eigene Kennwort (initial) gesetzt werden kann.

In dem Dialog funktioniert nur der Username, nicht die Email-Adresse direkt.
SSO-Verantwortliche finden im intern-wiki einige Informationen zum Anlegen/Verwalten von Accounts.

Zwei-Faktor-Authentifizierung (2FA)

Entropia-sso-2fa-enrollment.png

Es werden TOTP und WebAuthN als 2FA-Methoden unterstützt.

Diese können vom Nutzer unter https://sso.entropia.de/realms/entropia/account/ (Security → Signing in) aktiviert werden.

Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.

Dienste