Ich weiß nicht, ob mich das muss oder nicht, es tut es, offen gestanden, einfach nicht; hart ausgedrückt: Ich biete Dienste an und bin nicht zum Bemuttern da.
Wer sich bei GAFAM anmelden kann bzw. als SSO benutzen kann, muss das bei mir auch hinbekommen. Man rennt auch nicht jedes mal zur Fahrschule, nur weil man ein anderes Modell eines PKW’s nutzt.
Die Dokumentation ist weder für Mastodon, noch für authentik besonders gut. Ich hab gegoogelt, durch die Sourcen gegrept und ausprobiert bis es gepasst hat. Redirect URI ist wie oben beschrieben:
Danke für die vielen technischen Details. Für meine Anwendungsfälle suche ich eine Lösung, die so funktioniert, dass ein bestehendes Benutzerkonto am Server/Dienst A auch für den Login am Server/Dienst B verwendet werden kann. Damit würde sich auch das Problem lösen, dass bei bestehender, großer User-Base ein SSO nicht mehr sinnvoll aufgesetzt werden kann (siehe SSO für verschiedene Dienste - #12 von Tealk) .
Also aus Sicht eines Users, der sich am B anmelden will:
Melde dich an mit:
lokaler Benutzername: …………………………
oder
dein Benutzername auf Dienst A: …………………
Sehr cool wäre natürlich wenn das umgekehrt auch möglich wäre. Also mit den B-Credentials sich bei A anmelden.
Folgenden Vorschlag habe ich gerade in Authentik bekommen
das Feld sub im OIDC-Token ist ein eindeutiger Bezeichner, der (standardmäßig) auf der Grundlage der Benutzer-ID und des gehashten geheimen Schlüssels generiert wird, der sich im Gegensatz zum Benutzernamen nicht ändern kann
Bei der derzeitigen Einstellung würde ein Benutzer, der seinen Benutzernamen ändert, einen neuen Benutzer in mastodon erhalten.
für die Variable OIDC_UID_FIELD=preferred_username solltest du OIDC_UID_FIELD=sub nehmen, das ist die uuid von authentik und ändert sich auch bei namensänderung nicht.
ich hab bisher writefreely, Wordpress und eine Eigenprogrammierung mit authentik in Betrieb. Will noch phplist per SAML anbinden, war da aber noch nicht erfolgreich