Das Single-SignOn System des Entropia erlaubt das Anmelden bei verschiedenen Diensten, die der Verein betreibt:
- ✅ matrix.entropia.de -> https://element.entropia.de -> SSO Login
- ✅ cloud.entropia.de -> https://cloud.entropia.de -> "Login with Entropia SSO"
- ❌ grafana.club.entropia.de - zukunft ungewiss
- ✅ stats.entropia.de -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
- ✅ VictoriaMetrics Alerting Engine -> https://stats.entropia.de/vmalert/
- ✅ alertmanager -> https://stats.entropia.de/alertmanager/
- ❌ netbox.entropia.de
- ❌ bitwarden.entropia.de
- ✅ entropia.de (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
- ✅ entropia.de/intern (intern-wiki)
- ❌ bezahlbarkeit.club.entropia.de
- ❌ mailcow
- ❌ mailman / intern@ entropia liste
Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins. Notwendige Angaben:
- einen Nutzernamen, der möglichst ohne exotische Sonderzeichen auskommt
- eine eMail-Adresse, die zum Passwort-Reset verwendet wird
Zwei-Faktor-Authentifizierung (2FA)
Es werden TOTP und WebAuthN als 2FA-Methoden unterstützt.
Diese können vom Nutzer unter https://sso.entropia.de/realms/entropia/account/ (Security → Signing in) aktiviert werden.
Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.
nach intern-wiki verschieben:
basierend auf einem Keycloak mit einem openLDAP als Backend.
Neue Nutzer anlegen
Im Keycloak -> Users -> Add user:
- Nutzername ist die `uid`, sollte also der Nick ohne allzu exotische Sonderzeichen sein.
- Dann unter "Join Groups" unter der top-level Gruppe "LDAP" die passenden Gruppen ("Mitglied", "intern", [...]) auswaehlen
- Die Email hinterlegen und "Email verified" anschalten.
- Als "Required user action" das "Update Password" auswaehlen.
Nutzer koenen sich dann auf https://sso.entropia.de/realms/entropia/account bei Sign-In -> Forgot Password -> Email mit temp link ein neues Kennwort setzen (temporaeres Kennwort nicht notwendig)
Rechte
- *Vorstaende* (in LDAP/vorstand) koennen *alle* Nutzer *mit ihrem Namen* sehen und Nutzer anlegen und sperren
Realms
Entropia realm fuer Entropia member, "master" realm ist admin-realm.
Gewerbehof im Keycloak (GH wiki, GH mailingliste?)