Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare ist ein Scribd-Unternehmen logo

Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID Connect: Alle Dienste - Eine Identität - Volle Kontrolle

OpenID Connect ist der technische Standard hinter vielen Login- und Single Sign On-Angeboten großer Plattform-Anbieter. Der Vortrag geht darauf ein, warum dieser Standard auch für Organisationen sinnvoll ist, warum er von Kopano ausgewählt und implementiert wurde und wie die Integration in UCS auch unabhängig von Kopano erfolgt.

1 von 14
Downloaden Sie, um offline zu lesen

1

Login mit Facebook? Login mit Google? Oder Login mit "meine Firma"?!? OpenID Connect: Alle Dienste – Eine Identität - Volle Kontrolle Felix Bartels Kopano b.v.

2

$ whoami • Felix Bartels • Release und QA Manager bei Kopano • Kopano: • #2 im Ranking der 3rd Party Apps im App Center • #1 Groupware Applikation • 7 Apps im Univention App Center • + 1 basierend auf unserer Software • „More to come“

3

“Apps” soweit das Auge reicht… Die heutige IT Landschaft besteht auf eine vielzahl von „Apps“: - Groupware - Chat - IT Support - Wikis - ...

4

Das nicht so geheime Geheimrezept hinter diesen „Social Login“

5

Was ist eigentlich OpenID Connect (OIDC)? • Standard aufbauend auf Oauth 2.0 • Definiert wie Benutzerinformationen nach dem eigentlich Login abgerufen werden können{ "issuer": "https://devmail.kopano.com", "authorization_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/authorize", "token_endpoint": "https://devmail.kopano.com/konnect/v1/token", "userinfo_endpoint": "https://devmail.kopano.com/konnect/v1/userinfo", "end_session_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/endsession", "check_session_iframe": "https://devmail.kopano.com/konnect/v1/session/check-session.html" "jwks_uri": "https://devmail.kopano.com/konnect/v1/jwks.json", "scopes_supported": [ "openid", "offline_access", "konnect/uuid", "konnect/raw_sub", "kopano/kvs", "email", "kopano/kwm", "profile", "konnect/id", "kopano/pubs", "kopano/gc" ],

6

Aber innerhalb von UCS gibt es schon SAML. Ist das nicht das Selbe? • SAML und OpenID Connect lösen ähnliche Probleme • OIDC bietet aber ein viel einfacheres JSON/REST basiertes Protokoll • OIDC funktioniert darüber hinaus auch ausserhalb des webs

7

Und was hat das nun mit Kopano zu tun?!? Zwei Probleme: - „Wie können wir die Integration von Drittanwendungen verbessern?“ - „Wir wollen eine RestAPI anbieten, wie können wir hier den Auth Part abbilden?“

8

Kopano Konnect • „Painless“ AGPL v3 OpenID provider (OP) • Integrierter Web Login und „consent form“ • Golang Backend mit React Frontend • Nutzer aus Kopano, LDAP, Cookies • OpenID Connect (OIDC) • Open Authentication (OAuth 2.0) • Token based user identity and authorization

9

Was Kopano Konnect NICHT ist • Das nächste “Login with Facebook“ • Siehe Projekte wie ID4ME oder ReclaimID • Was nicht heisst, dass Konnect nicht mit eben diesen kompaitbel sein könnte • Das nächste Okta oder Auth0 • Kopano -> Your Data, Your Terms

10

Kopano Konnect aka „OpenID Connect Provider“ • Nutzt das ofizielle Kopano Konnect Docker Image als Basis • Verwaltet per UDM • Erweitert um UCS-Themed Identifier

11

Konnect und 3rd Party Anwendungen • Viele Anwendungen bieten die Möglichkeit für einen „Social Login“ • Wordpress, Atlassian Stack (Jira, Confluence, ..), Gitea

12

Konfiguration & Benutzung von OIDC am Beispiel von Moodle

13

Konfiguration & Benutzung von OIDC am Beispiel von Moodle

14

Vielen Dank für Ihre Aufmerksamkeit Kontakt Felix Bartels Kopano b.v. f.bartels@kopano.com http://kopano.com

Weitere ähnliche Inhalte

Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID Connect: Alle Dienste - Eine Identität - Volle Kontrolle

  • 1. Login mit Facebook? Login mit Google? Oder Login mit "meine Firma"?!? OpenID Connect: Alle Dienste – Eine Identität - Volle Kontrolle Felix Bartels Kopano b.v.
  • 2. $ whoami • Felix Bartels • Release und QA Manager bei Kopano • Kopano: • #2 im Ranking der 3rd Party Apps im App Center • #1 Groupware Applikation • 7 Apps im Univention App Center • + 1 basierend auf unserer Software • „More to come“
  • 3. “Apps” soweit das Auge reicht… Die heutige IT Landschaft besteht auf eine vielzahl von „Apps“: - Groupware - Chat - IT Support - Wikis - ...
  • 4. Das nicht so geheime Geheimrezept hinter diesen „Social Login“
  • 5. Was ist eigentlich OpenID Connect (OIDC)? • Standard aufbauend auf Oauth 2.0 • Definiert wie Benutzerinformationen nach dem eigentlich Login abgerufen werden können{ "issuer": "https://devmail.kopano.com", "authorization_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/authorize", "token_endpoint": "https://devmail.kopano.com/konnect/v1/token", "userinfo_endpoint": "https://devmail.kopano.com/konnect/v1/userinfo", "end_session_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/endsession", "check_session_iframe": "https://devmail.kopano.com/konnect/v1/session/check-session.html" "jwks_uri": "https://devmail.kopano.com/konnect/v1/jwks.json", "scopes_supported": [ "openid", "offline_access", "konnect/uuid", "konnect/raw_sub", "kopano/kvs", "email", "kopano/kwm", "profile", "konnect/id", "kopano/pubs", "kopano/gc" ],
  • 6. Aber innerhalb von UCS gibt es schon SAML. Ist das nicht das Selbe? • SAML und OpenID Connect lösen ähnliche Probleme • OIDC bietet aber ein viel einfacheres JSON/REST basiertes Protokoll • OIDC funktioniert darüber hinaus auch ausserhalb des webs
  • 7. Und was hat das nun mit Kopano zu tun?!? Zwei Probleme: - „Wie können wir die Integration von Drittanwendungen verbessern?“ - „Wir wollen eine RestAPI anbieten, wie können wir hier den Auth Part abbilden?“
  • 8. Kopano Konnect • „Painless“ AGPL v3 OpenID provider (OP) • Integrierter Web Login und „consent form“ • Golang Backend mit React Frontend • Nutzer aus Kopano, LDAP, Cookies • OpenID Connect (OIDC) • Open Authentication (OAuth 2.0) • Token based user identity and authorization
  • 9. Was Kopano Konnect NICHT ist • Das nächste “Login with Facebook“ • Siehe Projekte wie ID4ME oder ReclaimID • Was nicht heisst, dass Konnect nicht mit eben diesen kompaitbel sein könnte • Das nächste Okta oder Auth0 • Kopano -> Your Data, Your Terms
  • 10. Kopano Konnect aka „OpenID Connect Provider“ • Nutzt das ofizielle Kopano Konnect Docker Image als Basis • Verwaltet per UDM • Erweitert um UCS-Themed Identifier
  • 11. Konnect und 3rd Party Anwendungen • Viele Anwendungen bieten die Möglichkeit für einen „Social Login“ • Wordpress, Atlassian Stack (Jira, Confluence, ..), Gitea
  • 12. Konfiguration & Benutzung von OIDC am Beispiel von Moodle
  • 13. Konfiguration & Benutzung von OIDC am Beispiel von Moodle
  • 14. Vielen Dank für Ihre Aufmerksamkeit Kontakt Felix Bartels Kopano b.v. f.bartels@kopano.com http://kopano.com