Simplifier l'inscription à nos services

Pour des applications web, du SSO avec du Oauth2 de préférence, il est possible d’utiliser Keycloak pour cela.

En terme de sécurité, il est plus efficace d’utiliser du SSO avec du FA2.

1 « J'aime »

Bonjour à tous,
de notre côté on utilise LemonLDAP en SSO (et en fonction des services en SAML, CAS, OpenID connect ou redirection proxy vers portail SSO si utilisateur non connecté par ailleurs).
On en est plutôt très satisfaits, ça peut néanmoins être assez lourd à configurer la première fois (et certains services ne permettent pas forcément de créer directement un nouvel utilisateur, mais il faut créer l’utilisateur puis le rattacher à un compte externe pour pouvoir utiliser le SSO…).

1 « J'aime »

Sujet qui m’intéresse aussi et vu que je pars de zéro, je cherche aussi à avoir vos retours et conseils.

L’idée de base de Hiboo à l’air intéressante, mais est-ce que cela est finalement assez simple pour les utilisateurs ?
Ne connaissant pas tous les modes d’authentification de la plupart des outils, est-ce que c’est compatible avec bcp d’entre eux même si il faut adapter un peu ?

Sinon est-ce qu’il vaut mieux que je parte sur un keycloak ?
Même question, est-ce que c’est simple pour les utilisateurs finaux ?

Merci de vos retours

Bonjour

avec des services de SSO comme keycloak on pourrait aussi proposer des authentifications transverse entre chatons

1 « J'aime »

Bonsoir Dino,

Ce point peut être intéressant je pense et à approfondir même si je ne connais pas encore la solution.
Mais par exemple on peut effectivement avoir un services qui intéressent des utilisateurs et qui s’inscrivent chez un chaton, et qui veulent aussi un autre service non proposé par celui-ci et être réorienté vers un autre chaton.
Est-ce que cela est difficile à mettre en place ?
Je suppose que dans ce cas il y a des règles communes à avoir.
Après il faut que évidemment d’une part assuré la sécurité et proposé impérativement dans ce cas des authentification forte et que la personne sache que les règles d’un chaton à un autres peuvent être différentes en termes d’infrastructures, de cout et autres.

Mais je trouve cela intéressant.

@+

à mettre en place quelque minutes
si ils voient que le compte existe deja de l’autre cote quand un utilisateur·ice arrive il propose de l’appairer et de recevoir le lien pour cela par courriel

des règles communes oui surtout pour les services qui servent à publier/réseaux sociaux

plusieurs service de Parinux sont passé en authentification unique (SSO OpenID Connect) au lieu du ldap, c’est toujours les comptes LDAP qui sont utilisés mais cela évite de taper son mot de passe dans chaque service, le jeton d’authentification passant d’un service à l’autre

https://l.parinux.org (lstu)
https://transfert.parinux.org/ (lufi)
https://transfert-images.parinux.org/ (lufim)

il y avait déjà
https://codimd.parinux.org/ natif
https://nuage.parinux.org/ (nextcloud) natif
https://rocket.parinux.org/ natif
https://mobilizon.parinux.org/ natif
https://sondages.parinux.org/admin via un plugin

Pour les autres cela ce passe via Oauth2Proxy qui utilise Keycloak
https://wiki.parinux.org/si/oauth2proxy

les documentations technique pour ces nouveaux services

https://wiki.parinux.org/si/lstu
https://wiki.parinux.org/si/lufim
https://wiki.parinux.org/si/lufi

reste hors SSO
Mypad : mes-bn.parinux.org en ldap mais hors SSO il fait du CAS mais on propose pas le SSO CAS
Movim https://movim.parinux.org/ ldap pas trop trouvé de doc
https://rss.parinux.org/ ldap je pense regarder pour le faire
XMPP : ldap

1 « J'aime »

Merci pour ces informations et ce partage, je vais regarder les documentations que tu as partagées et essayer de comprendre tout ceci.
Ainsi qu’essayer de voir comment adapter cela en fonction des services que l’on pourraient proposer.

si tu veux qu’on fasse une session visio/audio sur le sujet hésite pas

Merci Dino pour la proposition.
Je la garde de coté, et me permettrait de revenir vers toi sur ce sujet en fonction des besoins :wink:

Bonjour

je viens de tomber sur ce tuto pour l’installation de keycloak en v15 sur ubuntu
https://blog.zwindler.fr/2021/08/30/installer-keycloak-15-sur-ubuntu-20-04-sans-docker/

dino

1 « J'aime »

Bonjour,

je suis l’un des développeurs de LemonLDAP::NG et serai très intéressé pour aider les CHATONS à utiliser cette solution. Je connais bien KeyCloak et pourrais vous indiquer les avantages/inconvénients de chaque solution. Un des principaux arguments reste que LL::NG est une solution communautaire développée en France, alors que KeyCloak, bien que libre, reste une solution d’un éditeur américain (RedHat).

2 « J'aime »

Bonjour,

je voulais vous partager ce message, J’ai hésité à faire un nouveau thread…

https://talk.libreho.st/t/sso-keycloak-sync-users-and-groups-membership-in-the-app/463

Commentez ici si vous n’etes pas à l’aise en anglais.

Ça pourrait en intéresser ce qu’on prévoit de dev?

Je suis curieux du feedback de @coudot, vous avez du réfléchir à ces problèmatiques beaucoup plus que nous :slight_smile:

Salut @pierre, j’ai lu ton post je réponds ici pour plus de facilité. Notre approche reste celle d’avoir un annuaire LDAP, je ne partage bien entendu pas tes craintes sur la partie haute-disponibilité (pas très compliqué avec OpenLDAP) ou sur le mot de passe (qui reste bien entendu au chaud dans l’annuaire).

Pour information, nous avons fait le choix de OpenLDAP + LL::NG + NextCloud + Rocket.Chat + BlueMind pour notre solution W’Sweet : https://www.wsweet.org/. Tout ça fonctionne très bien ensemble.

À bientôt !

Merci pour ta réponse.

(Je viens de corriger pour HA, je connais pas très bien ldap, j’aurai du etre plus prudent avec mon affirmation, ajouter des marqueurs de modestie épistémique :slight_smile: )

Du coup, je suis curieux :slight_smile:

Pour W’Sweet, vous utiliser ldap pour sync le backend toute les heures j’imagine?
Est-ce que vous utilisez saml ou openId pour le login frontend? (J’ai l’impression en lisant votre page)
Et ultime question, est-ce que vous avez des demandes de support parce que « J’ai créé le groupe dans mon annuaire, mais il n’apparait pas dans Nextcloud? »

Merci pour vos précieux retours :slight_smile:

Nous utilisons SAML pour connecter Rocket.Chat et NextCloud. L’annuaire est branché également pour des synchros régulères (comptes et groupes). Il faut en effet attendre la synchronisation des groupes dans NextCloud avant de pouvoir s’en servir, mais cela ne pose pas de problème particulier.

1 « J'aime »

Bonjour à tous,

Je me permet de remettre une couche sur ce sujet: simplifier la connexion à plusieurs services de mon CHATONS de la part d’un même usager.

Au camps CHATONS, j’avais co-animé un atelier sur SSO & LDAP.
On avait un peu échangé sur les différents types d’outils et de besoins :slight_smile: .

A l’issu de la discussion, je me suis dit « je vais me plonger dans LemonLDAP::NG, cela devrait répondre à mon besoin ».
Or, j’ai plongé dans la doc https://lemonldap-ng.org/documentation/latest/start# : Au secours :tired_face: !!
J’ai l’impression de sortir la collection de chars Leclerc pour venir écraser une mouche.

Donc, j’ai besoin cruellement de revenir à la base de la base :confused: .
Avant de réflechir à tout autre besoin plus complexe (surement très bien), je veux pouvoir « juste » permettre à mes usagers d’avoir le même login/mot de passe sur plusieurs services.
Est-ce que quelqu’un aurait un simple tutoriel LDAP à me proposer pour répondre à ce besoin basic ?

Merci d’avance :slight_smile:

Salut @Laurent,

pour mon cloud , j’utilise un ldap basique, sans surcouhe de type lemonldap ou keycloak.
J’ajoute les users à la main , que je mets dans le bon groupe.
Les users une fois ajoutés , se connectent sur NExcloud , ou ils peuvent à souhait changer leur mot de passe.
C’est utilisé pour Peertube , le forum , nextcloud …

« simple » et « LDAP » ça ne va pas bien ensemble…
Bien que ce ne sois pas un tuto, si tu sais lire du bash, tu peux appliquer la recette de yunohost qui se trouve dans la fonction init ci-dessous:
https://github.com/YunoHost/yunohost/blob/dev/data/hooks/conf_regen/06-slapd#L10

L’avantage, c’est qu’ensuite tu peux utiliser les configurations LDAP pré-faites pour chaque app yunohost.

Pour la partie SSO, SSOWat est rustique et se limite à nginx, mais c’est assez facile de déploiement, si il y a du monde intéressé on peut essayer de pondre une doc d’install sans yunohost.

1 « J'aime »

Hello,

Alors ce n’est pas vraiment un tutorial, mais c’est l’une des meilleures
doc que j’ai pu trouver sur openldap (en complément du guide de l’admin
https://openldap.org/doc/ ) c’est LDAP for Rocket Scientist :
http://zytrax.com/books/ldap/

Mais effectivement, openldap est un animal un peu rébarbatif au premier
abord et difficile à apprivoiser. Une fois la première (grosse) marche
franchie, ça va tout seul.

À ta disposition pour tout renseignement complémentaire

Salutations

1 « J'aime »