SSO: Unterschied zwischen den Versionen

Version vom 17. Dezember 2023, 21:52 Uhr

Wer bekommt einen Account und wie?

Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins. Notwendige Angaben:

einen Nutzernamen, der möglichst ohne exotische Sonderzeichen auskommt
eine eMail-Adresse, die zum Passwort-Reset verwendet wird

Wurde der Nutzer erstellt, kann man unter https://sso.entropia.de/realms/entropia/account/ -> "Sign in" -> "Forgot password" sich eine Email mit kurzlebigem Token an die hinterlegte Adresse anfordern, mit der das eigene Kennwort (initial) gesetzt werden kann.

In dem Dialog funktioniert nur der Username, nicht die Email-Adresse direkt.

SSO-Verantwortliche finden im intern-wiki einige Informationen zum Anlegen/Verwalten von Accounts.

Zwei-Faktor-Authentifizierung (2FA)

Es werden TOTP und WebAuthN als 2FA-Methoden unterstützt.

Diese können vom Nutzer unter https://sso.entropia.de/realms/entropia/account/ (Security → Signing in) aktiviert werden.

Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.

Dienste

✅ matrix.entropia.de -> https://element.entropia.de -> SSO Login
✅ cloud.entropia.de -> https://cloud.entropia.de -> "Login with Entropia SSO"
✅ stats.entropia.de -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
✅ VictoriaMetrics Alerting Engine -> https://stats.entropia.de/vmalert/
✅ VictoriaMetrics Timeseries Database -> https://stats.entropia.de/vmtsdb/
✅ alertmanager -> https://stats.entropia.de/alertmanager/
✅ netbox.entropia.de - mit OAuth2 Proxy
✅ entropia.de (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
✅ entropia.de/intern (intern-wiki)
✅ md.entropia.de - Entropianische HedgeDoc Instanz
❌ grafana.club.entropia.de - zukunft ungewiss
❌ bezahlbarkeit.club.entropia.de
❌ bitwarden.entropia.de
❌ mail.entropia.de mailcow
❌ lists.entropia.de mailman / intern@ entropia liste

@@ Zeile 1: / Zeile 1: @@
-Das Single-SignOn System des Entropia erlaubt das Anmelden bei verschiedenen Diensten, die der Verein betreibt:
+== Wer bekommt einen Account und wie? ==
-*✅ matrix.entropia.de -> https://element.entropia.de -> SSO Login
-* ✅ cloud.entropia.de -> https://cloud.entropia.de -> "Login with Entropia SSO"
-* ❌ grafana.club.entropia.de - zukunft ungewiss
-* ✅ stats.entropia.de -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
-* ✅ VictoriaMetrics Alerting Engine -> https://stats.entropia.de/vmalert/
-* ✅ alertmanager -> https://stats.entropia.de/alertmanager/
-* ❌ netbox.entropia.de
-* ❌ bitwarden.entropia.de
-* ✅ entropia.de (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
-* ✅ entropia.de/intern (intern-wiki)
-* ❌ bezahlbarkeit.club.entropia.de
-* ❌ mailcow
-* ❌ mailman / intern@ entropia liste
 Alle Entropianer können generell einen Account bekommen. Dazu wenden sie sich an den Vorstand oder die LDAP-Admins. Notwendige Angaben:
@@ Zeile 20: / Zeile 6: @@
 * eine eMail-Adresse, die zum Passwort-Reset verwendet wird
+Wurde der Nutzer erstellt, kann man unter https://sso.entropia.de/realms/entropia/account/ -> "Sign in" -> "Forgot password" sich eine Email mit kurzlebigem Token an die hinterlegte Adresse anfordern, mit der das eigene Kennwort (initial) gesetzt werden kann.
+{{Note|type=warn|text=In dem Dialog funktioniert ''nur'' der Username, nicht die Email-Adresse direkt.}}
+{{Note|type=info|text=SSO-Verantwortliche finden im [https://entropia.de/intern-wiki/SSO intern-wiki] einige Informationen zum Anlegen/Verwalten von Accounts.}}
+== Zwei-Faktor-Authentifizierung (2FA) ==
 [[Datei:Entropia-sso-2fa-enrollment.png|mini]]
-==== Zwei-Faktor-Authentifizierung (2FA) ====
 Es werden [https://en.wikipedia.org/wiki/Time-based_one-time_password TOTP] und [https://en.wikipedia.org/wiki/WebAuthn WebAuthN] als 2FA-Methoden unterstützt.
@@ Zeile 29: / Zeile 20: @@
 Die 2FA-Authentifizierung wird enforced sobald hinterlegt, aber das Hinterlegen wird nicht erzwungen.
+== Dienste ==
+* ✅ <code>matrix.entropia.de</code> -> https://element.entropia.de -> SSO Login
+* ✅ <code>cloud.entropia.de</code> -> https://cloud.entropia.de -> "Login with Entropia SSO"
+* ✅ <code>stats.entropia.de</code> -> https://stats.entropia.de Einzig konfigurierter Login, keine local user
+* ✅ <code>VictoriaMetrics Alerting Engine</code> -> https://stats.entropia.de/vmalert/
+* ✅ <code>VictoriaMetrics Timeseries Database</code> -> https://stats.entropia.de/vmtsdb/
-nach intern-wiki verschieben:
+* ✅ <code>alertmanager</code> -> https://stats.entropia.de/alertmanager/
+* ✅ <code>netbox.entropia.de</code> - mit OAuth2 Proxy
+* ✅ <code>entropia.de</code> (wiki) - https://entropia.de/Hauptseite -> Anmelden -> "Entropia SSO"
-basierend auf einem Keycloak mit einem openLDAP als Backend.
+* ✅ <code>entropia.de/intern</code> (intern-wiki)
+* ✅ <code>md.entropia.de</code> - Entropianische HedgeDoc Instanz
-== Neue Nutzer anlegen ==
+* ❌ <code>grafana.club.entropia.de</code> - zukunft ungewiss
+* ❌ <code>bezahlbarkeit.club.entropia.de</code>
-Im Keycloak -> Users -> Add user:
+* ❌ <code>bitwarden.entropia.de</code>
+* ❌ <code>mail.entropia.de</code> mailcow
-- Nutzername ist die `uid`, sollte also der Nick ohne allzu exotische Sonderzeichen sein.
+* ❌ <code>lists.entropia.de</code> mailman / intern@ entropia liste
-- Dann unter "Join Groups" unter der top-level Gruppe "LDAP" die passenden Gruppen ("Mitglied", "intern", [...]) auswaehlen
-- Die Email hinterlegen und "Email verified" anschalten.
-- Als "Required user action" das "Update Password" auswaehlen.
-Nutzer koenen sich dann auf https://sso.entropia.de/realms/entropia/account bei Sign-In -> Forgot Password -> Email mit temp link ein neues Kennwort setzen (temporaeres Kennwort nicht notwendig)
-[[Datei:Entropia-sso-new-user.png]]
-== Rechte ==
-- *Vorstaende* (in LDAP/vorstand) koennen *alle* Nutzer *mit ihrem Namen* sehen und Nutzer anlegen und sperren
-== Realms ==
-Entropia realm fuer Entropia member, "master" realm ist admin-realm.
-Gewerbehof im Keycloak (GH wiki, GH mailingliste?)
 [[Kategorie:Projekte]]
 [[Kategorie:Projekte:Laufend]]