SSO: Unterschied zwischen den Versionen

aus dem Wiki des Entropia e.V., CCC Karlsruhe
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 15: Zeile 15:
* ❌ mailman / intern@ entropia liste
* ❌ mailman / intern@ entropia liste


Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins.
Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins. Notwendige Angaben:
 
* einen Nutzernamen, der möglichst ohne exotische Sonderzeichen auskommt
* eine eMail-Adresse, die zum Passwort-Reset verwendet wird
 
[[Datei:Entropia-sso-2fa-enrollment.png|mini]]
[[Datei:Entropia-sso-2fa-enrollment.png|mini]]



Version vom 18. September 2023, 15:41 Uhr

Das Single-SignOn System des Entropia erlaubt das Anmelden bei verschiedenen Diensten, die der Verein betreibt:

Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins. Notwendige Angaben:

  • einen Nutzernamen, der möglichst ohne exotische Sonderzeichen auskommt
  • eine eMail-Adresse, die zum Passwort-Reset verwendet wird
Entropia-sso-2fa-enrollment.png

Zwei-Faktor-Authentifizierung (2FA)

Es werden TOTP und WebAuthN als 2FA-Methoden unterstützt, und können vom Nutzer unter https://sso.entropia.de/realms/entropia/account/ (Security -> Signing in) aktiviert werden. Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.




nach intern-wiki verschieben:


basierend auf einem Keycloak mit einem openLDAP als Backend.

Neue Nutzer anlegen

Im Keycloak -> Users -> Add user:

- Nutzername ist die `uid`, sollte also der Nick ohne allzu exotische Sonderzeichen sein.

- Dann unter "Join Groups" unter der top-level Gruppe "LDAP" die passenden Gruppen ("Mitglied", "intern", [...]) auswaehlen

- Die Email hinterlegen und "Email verified" anschalten.

- Als "Required user action" das "Update Password" auswaehlen.

Nutzer koenen sich dann auf https://sso.entropia.de/realms/entropia/account bei Sign-In -> Forgot Password -> Email mit temp link ein neues Kennwort setzen (temporaeres Kennwort nicht notwendig)

Entropia-sso-new-user.png

Rechte

- *Vorstaende* (in LDAP/vorstand) koennen *alle* Nutzer *mit ihrem Namen* sehen und Nutzer anlegen und sperren

Realms

Entropia realm fuer Entropia member, "master" realm ist admin-realm.

Gewerbehof im Keycloak (GH wiki, GH mailingliste?)