Ich weiß nicht, ob mich das muss oder nicht, es tut es, offen gestanden, einfach nicht; hart ausgedrückt: Ich biete Dienste an und bin nicht zum Bemuttern da.
Wer sich bei GAFAM anmelden kann bzw. als SSO benutzen kann, muss das bei mir auch hinbekommen. Man rennt auch nicht jedes mal zur Fahrschule, nur weil man ein anderes Modell eines PKW’s nutzt.
Danke für den Tipp mit authentik. Kannte ich noch gar nicht.
Hast du Mastodons OIDC bereits mit authentik probiert?
Hat mir diese Nacht keine Ruhe gelassen und ich hab’s auf unserer Testinstanz konfiguriert. Folgendes hab ich mir dazu notiert:
https://gibber.dnddeutsch.de/auth/auth/openid_connect/callback*
OIDC_ENABLED=true
OIDC_DISPLAY_NAME=<beliebiger-name-3>
OIDC_DISCOVERY=true
OIDC_ISSUER=< OpenID Configuration Issuer>
OIDC_AUTH_ENDPOINT=<Authorize URL>
OIDC_SCOPE=openid,profile,email
OIDC_UID_FIELD=preferred_username
OIDC_CLIENT_ID=<Client ID>
OIDC_CLIENT_SECRET=<Client Secret>
OIDC_REDIRECT_URI=<Redirect URI>
OIDC_SECURITY_ASSUME_EMAIL_IS_VERIFIED=true
Nein, wahrscheinlich werde ich Mastodon nicht anbinden, nachdem ich schon so viele User dort habe.
Getestet und funktioniert? Weil dann könnte man einen PR machen: authentik/website/integrations/services at main · goauthentik/authentik · GitHub
Erst rudimentär getestet. Funktioniert, aber für einen PR mE noch zu früh
Solange der Login funktioniert, ist die Thematik für authentik ja gegessen^^
Wo hast du denn die Settings eig. Gefunden? In der Dokumentation finde ich dazu gar nichts:
Configuring your environment - Mastodon documentation
//Edit
Ich hab schon mal das vorhandene zusammengefasst: init mastodon integration · Tealk/authentik@b77bd84 · GitHub
Die Dokumentation ist weder für Mastodon, noch für authentik besonders gut. Ich hab gegoogelt, durch die Sourcen gegrept und ausprobiert bis es gepasst hat. Redirect URI ist wie oben beschrieben:
https://mastodon.url /auth/auth/openid_connect/callback
mastodon.url durch deine Instanz ersetzen
Ok mir kam das nur komisch vor, weil warum muss man Mastodon seine eigene URI noch mal mitgeben.
Danke für die vielen technischen Details. Für meine Anwendungsfälle suche ich eine Lösung, die so funktioniert, dass ein bestehendes Benutzerkonto am Server/Dienst A auch für den Login am Server/Dienst B verwendet werden kann. Damit würde sich auch das Problem lösen, dass bei bestehender, großer User-Base ein SSO nicht mehr sinnvoll aufgesetzt werden kann (siehe SSO für verschiedene Dienste - #12 von Tealk) .
Also aus Sicht eines Users, der sich am B anmelden will:
Melde dich an mit:
oder
Sehr cool wäre natürlich wenn das umgekehrt auch möglich wäre. Also mit den B-Credentials sich bei A anmelden.
Dafür wäre mir aktuell kein Weg bekannt.
Folgenden Vorschlag habe ich gerade in Authentik bekommen
das Feld
subim OIDC-Token ist ein eindeutiger Bezeichner, der (standardmäßig) auf der Grundlage der Benutzer-ID und des gehashten geheimen Schlüssels generiert wird, der sich im Gegensatz zum Benutzernamen nicht ändern kann
Bei der derzeitigen Einstellung würde ein Benutzer, der seinen Benutzernamen ändert, einen neuen Benutzer in mastodon erhalten.
für die Variable OIDC_UID_FIELD=preferred_username solltest du OIDC_UID_FIELD=sub nehmen, das ist die uuid von authentik und ändert sich auch bei namensänderung nicht.
ebenso bei writefreely map_user_id = sub
Wollte mal Fragen ob du schon mehr Tests damit gemacht hast?
ich hab bisher writefreely, Wordpress und eine Eigenprogrammierung mit authentik in Betrieb. Will noch phplist per SAML anbinden, war da aber noch nicht erfolgreich
Und Mastodon? Wäre ja das viel interessantere Thema 
Hat in der Testinstanz gut funktioniert, ob wirs produktiv nehmen ist noch nicht entschieden. Für non-Tech Anwender*innen ists ggf. abschreckend
Warum das? Ist doch nur eine zusätzliche Möglichkeit?