SSO: Unterschied zwischen den Versionen

Version vom 18. September 2023, 16:38 Uhr

Das Single-SignOn System des Entropia erlaubt das Anmelden bei verschiedenen Diensten, die der Verein betreibt:

✅ matrix.entropia.de -> https://element.entropia.de -> SSO Login
✅ cloud.entropia.de -> https://cloud.entropia.de -> "Login with Entropia SSO"
❌ grafana.club.entropia.de - zukunft ungewiss
✅ stats.entropia.de -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
✅ VictoriaMetrics Alerting Engine -> https://stats.entropia.de/vmalert/
✅ alertmanager -> https://stats.entropia.de/alertmanager/
❌ netbox.entropia.de
❌ bitwarden.entropia.de
✅ entropia.de (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
✅ entropia.de/intern (intern-wiki)
❌ bezahlbarkeit.club.entropia.de
❌ mailcow
❌ mailman / intern@ entropia liste

Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins.

Zwei-Faktor-Authentifizierung (2FA)

Es werden TOTP und WebAuthN als 2FA-Methoden unterstützt, und können vom Nutzer unter https://sso.entropia.de/realms/entropia/account/ (Security -> Signing in) aktiviert werden. Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.

nach intern-wiki verschieben:

basierend auf einem Keycloak mit einem openLDAP als Backend.

Neue Nutzer anlegen

Im Keycloak -> Users -> Add user:

- Nutzername ist die `uid`, sollte also der Nick ohne allzu exotische Sonderzeichen sein.

- Dann unter "Join Groups" unter der top-level Gruppe "LDAP" die passenden Gruppen ("Mitglied", "intern", [...]) auswaehlen

- Die Email hinterlegen und "Email verified" anschalten.

- Als "Required user action" das "Update Password" auswaehlen.

Nutzer koenen sich dann auf https://sso.entropia.de/realms/entropia/account bei Sign-In -> Forgot Password -> Email mit temp link ein neues Kennwort setzen (temporaeres Kennwort nicht notwendig)

Rechte

- *Vorstaende* (in LDAP/vorstand) koennen *alle* Nutzer *mit ihrem Namen* sehen und Nutzer anlegen und sperren

Realms

Entropia realm fuer Entropia member, "master" realm ist admin-realm.

Gewerbehof im Keycloak (GH wiki, GH mailingliste?)

@@ Zeile 1: / Zeile 1: @@
-Das Single-SignOn System des entropia e.V., basierend auf einem Keycloak mit einem openLDAP als Backend.
+Das Single-SignOn System des Entropia erlaubt das Anmelden bei verschiedenen Diensten, die der Verein betreibt:
-Unterstuetzt opportunistisches Enrollment von 2FA via TOTP oder WebAuthN (also: wird enforced sobald hinterlegt, aber Hinterlegen wird nicht erzwungen).
+*✅ matrix.entropia.de -> https://element.entropia.de -> SSO Login
+* ✅ cloud.entropia.de -> https://cloud.entropia.de -> "Login with Entropia SSO"
+* ❌ grafana.club.entropia.de - zukunft ungewiss
+* ✅ stats.entropia.de -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
+* ✅ VictoriaMetrics Alerting Engine -> https://stats.entropia.de/vmalert/
+* ✅ alertmanager -> https://stats.entropia.de/alertmanager/
+* ❌ netbox.entropia.de
+* ❌ bitwarden.entropia.de
+* ✅ entropia.de (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
+* ✅ entropia.de/intern (intern-wiki)
+* ❌ bezahlbarkeit.club.entropia.de
+* ❌ mailcow
+* ❌ mailman / intern@ entropia liste
+Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins.
+[[Datei:Entropia-sso-2fa-enrollment.png|mini]]
+==== Zwei-Faktor-Authentifizierung (2FA) ====
+Es werden [https://en.wikipedia.org/wiki/Time-based_one-time_password TOTP] und [https://en.wikipedia.org/wiki/WebAuthn WebAuthN] als 2FA-Methoden unterstützt, und können vom Nutzer unter https://sso.entropia.de/realms/entropia/account/ (Security -> Signing in) aktiviert werden. Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.
+nach intern-wiki verschieben:
+basierend auf einem Keycloak mit einem openLDAP als Backend.
 == Neue Nutzer anlegen ==
@@ Zeile 18: / Zeile 46: @@
 [[Datei:Entropia-sso-new-user.png]]
-== 2FA ==
-Es werden TOTP und WebAuthN unterstuetzt, unter https://sso.entropia.de/realms/entropia/account/ (Security -> Signing in) kann man 2FA-Methoden enrollen.
-Wichtig: Diese werden dann sofort immer enforced, also im Zweifel einen YubiKey (WebAuthN) und noch ein TOTP (Auhenticator App) device.
-[[Datei:Entropia-sso-2fa-enrollment.png]]
 == Rechte ==
@@ Zeile 36: / Zeile 56: @@
 Gewerbehof im Keycloak (GH wiki, GH mailingliste?)
-== Services ==
-* [x] matrix.entropia.de -> https://element.entropia.de -> SSO Login
-* [x] cloud.entropia.de -> https://cloud.entropia.de -> "Login with Entropia SSO"
-* [ ] grafana.club.entropia.de - zukunft ungewiss
-* [x] stats.entropia.de -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
-* [x] VictoriaMetrics Alerting Engine -> https://stats.entropia.de/vmalert/
-* [x] alertmanager -> https://stats.entropia.de/alertmanager/
-* [ ] netbox.entropia.de
-* [ ] bitwarden.entropia.de
-* [x] entropia.de (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
-* [x] entropia.de/intern (intern-wiki)
-* [ ] bezahlbarkeit.club.entropia.de
-* [ ] mailcow
-* [ ] mailman / intern@ entropia liste
 [[Kategorie:Projekte]]
 [[Kategorie:Projekte:Laufend]]