Ich denke darüber nach, Single Sign On (SSO) für verschiedene Dienste anzubieten.
Hintergrund
Auf fediverse.at sind derzeit ein Mastodon und ein PeerTube Server aktiv. Hinzu kommt noch eine HumHub Instanz für ein lokales Projekt (Forum Gumpendorfer Straße). Naturgemäß überschneiden die Benutzer sich. Trotzdem müssen sie für jeden Dienst ein eigenes Konto anlegen mit der üblichen Passwort-Problematik.
Was ich (eher) nicht will
Bei HumHub gibt es fertige Lösungen, um sich via Facebook, Google, … anmelden zu können. Selbst wenn es das für Mastodon/PeerTube gäbe, würde ich es nicht einsetzen wollen – mein Engagement soll ja nicht dazu führen, dass die Datenkraken weiter gefüttert werden.
Lösung Keycloak?
HumHub bietet auch einen SSO via Keycloak an. Das liest sich nicht schlecht.
Wie würdet ihr diese Software einschätzen?
Habt ihr mit Keycloak Erfahrung sammeln können als Benutzer oder Admin?
Andere Ideen/Ansätze, um SSO benutzerfreundlich zu ermöglichen?
Ich hatte Keycloak selbst mal aufgesetzt, weil ich mich dafür interessierte. Leider hatte ich aber keine Verwendung dafür, sodass ich mich nicht tiefer damit beschäftigt habe.
Ich glaube Snopyta nutzt das auch für all ihre Dienste.
Danke – gleich einmal ausprobiert Technisch funktioniert das sehr gut. Für meine Benutzer fehlt mir die deutsche Oberfläche, das ließe sich vermutlich aber wohl noch nachrüsten.
Das Konzept ist für nicht-ITler fürchte ich gar nicht so einfach zu behirnen … da muss ich noch nachdenken, wie sich das ggf. darstellen und erklären ließe. (Ein Konto wo anlegen, damit ich mich wo anders dann anmelden kann …)
Und dann wäre da noch der Umstand, dass dieser auth-Server (also dessen Weboberfläche) nicht mit dem Keyring von macOS kommuniziert. Irgendwie bekommt zumindest mein OS nicht mit, dass es sich um Ein Kennwortfeld handelt. Schwer zu sagen, ob das am macOS liegt oder am HTML der auth-Server Seite.
Welche Benutzeroberfläche? Als User hat man zwar die Möglichkeit sich bei authentik anzumelden, aber normalerweise hält sich dort ja niemand auf.
Letztlich registriert sich der User einmal bei authentik und dann klickt er bei den Diensten ja nur noch auf, mit authetik anmelden.
Denke, viele kennen SSO schon, das ganze Zeug wie “Mit Google anmelden” und so ist ja genau dasselbe.
Zu MacOS und co kann ich nichts sagen, mein Bitwarden hat damit jedenfalls kein Problem.
Alleine der kleine, feine Unterschied zwischen registrieren und anmelden – den musst du vielen erst einmal erklären. Sei froh, wenn dich so was nicht interessieren muss.
Ich weiß nicht, ob mich das muss oder nicht, es tut es, offen gestanden, einfach nicht; hart ausgedrückt: Ich biete Dienste an und bin nicht zum Bemuttern da.
Wer sich bei GAFAM anmelden kann bzw. als SSO benutzen kann, muss das bei mir auch hinbekommen. Man rennt auch nicht jedes mal zur Fahrschule, nur weil man ein anderes Modell eines PKW’s nutzt.
Die Dokumentation ist weder für Mastodon, noch für authentik besonders gut. Ich hab gegoogelt, durch die Sourcen gegrept und ausprobiert bis es gepasst hat. Redirect URI ist wie oben beschrieben:
Danke für die vielen technischen Details. Für meine Anwendungsfälle suche ich eine Lösung, die so funktioniert, dass ein bestehendes Benutzerkonto am Server/Dienst A auch für den Login am Server/Dienst B verwendet werden kann. Damit würde sich auch das Problem lösen, dass bei bestehender, großer User-Base ein SSO nicht mehr sinnvoll aufgesetzt werden kann (siehe SSO für verschiedene Dienste - #12 von Tealk) .
Also aus Sicht eines Users, der sich am B anmelden will:
Melde dich an mit:
lokaler Benutzername: …………………………
oder
dein Benutzername auf Dienst A: …………………
Sehr cool wäre natürlich wenn das umgekehrt auch möglich wäre. Also mit den B-Credentials sich bei A anmelden.
Folgenden Vorschlag habe ich gerade in Authentik bekommen
das Feld sub im OIDC-Token ist ein eindeutiger Bezeichner, der (standardmäßig) auf der Grundlage der Benutzer-ID und des gehashten geheimen Schlüssels generiert wird, der sich im Gegensatz zum Benutzernamen nicht ändern kann
Bei der derzeitigen Einstellung würde ein Benutzer, der seinen Benutzernamen ändert, einen neuen Benutzer in mastodon erhalten.