OpenID Connect ist der technische Standard hinter vielen Login- und Single Sign On-Angeboten großer Plattform-Anbieter. Der Vortrag geht darauf ein, warum dieser Standard auch für Organisationen sinnvoll ist, warum er von Kopano ausgewählt und implementiert wurde und wie die Integration in UCS auch unabhängig von Kopano erfolgt.

1. Login mit Facebook? Login mit
Google? Oder Login mit
"meine Firma"?!?
OpenID Connect: Alle Dienste –
Eine Identität - Volle Kontrolle
Felix Bartels
Kopano b.v.

2. $ whoami
• Felix Bartels
• Release und QA Manager bei Kopano
• Kopano:
• #2 im Ranking der 3rd Party Apps im App Center
• #1 Groupware Applikation
• 7 Apps im Univention App Center
• + 1 basierend auf unserer Software
• „More to come“

3. “Apps” soweit das Auge reicht…
Die heutige IT Landschaft besteht auf eine vielzahl von „Apps“:
- Groupware
- Chat
- IT Support
- Wikis
- ...

4. Das nicht so geheime Geheimrezept hinter diesen „Social Login“

5. Was ist eigentlich OpenID Connect (OIDC)?
• Standard aufbauend auf Oauth 2.0
• Definiert wie Benutzerinformationen nach dem eigentlich Login
abgerufen werden können{
"issuer": "https://devmail.kopano.com",
"authorization_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/authorize",
"token_endpoint": "https://devmail.kopano.com/konnect/v1/token",
"userinfo_endpoint": "https://devmail.kopano.com/konnect/v1/userinfo",
"end_session_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/endsession",
"check_session_iframe": "https://devmail.kopano.com/konnect/v1/session/check-session.html"
"jwks_uri": "https://devmail.kopano.com/konnect/v1/jwks.json",
"scopes_supported": [
"openid",
"offline_access",
"konnect/uuid",
"konnect/raw_sub",
"kopano/kvs",
"email",
"kopano/kwm",
"profile",
"konnect/id",
"kopano/pubs",
"kopano/gc"
],

6. Aber innerhalb von UCS gibt es schon SAML. Ist das nicht das Selbe?
• SAML und OpenID Connect lösen ähnliche Probleme
• OIDC bietet aber ein viel einfacheres JSON/REST basiertes Protokoll
• OIDC funktioniert darüber hinaus auch ausserhalb des webs

7. Und was hat das nun mit Kopano zu tun?!?
Zwei Probleme:
- „Wie können wir die Integration von Drittanwendungen verbessern?“
- „Wir wollen eine RestAPI anbieten, wie können wir hier den Auth Part
abbilden?“

8. Kopano Konnect
• „Painless“ AGPL v3 OpenID provider (OP)
• Integrierter Web Login und „consent
form“
• Golang Backend mit React Frontend
• Nutzer aus Kopano, LDAP, Cookies
• OpenID Connect (OIDC)
• Open Authentication (OAuth 2.0)
• Token based user identity and
authorization

9. Was Kopano Konnect NICHT ist
• Das nächste “Login with Facebook“
• Siehe Projekte wie ID4ME oder ReclaimID
• Was nicht heisst, dass Konnect nicht mit eben diesen kompaitbel sein könnte
• Das nächste Okta oder Auth0
• Kopano -> Your Data, Your Terms

10. Kopano Konnect aka „OpenID Connect Provider“
• Nutzt das ofizielle Kopano Konnect Docker Image als Basis
• Verwaltet per UDM
• Erweitert um UCS-Themed Identifier

11. Konnect und 3rd Party Anwendungen
• Viele Anwendungen bieten die Möglichkeit für einen „Social Login“
• Wordpress, Atlassian Stack (Jira, Confluence, ..), Gitea

12. Konfiguration & Benutzung von OIDC am Beispiel von Moodle

13. Konfiguration & Benutzung von OIDC am Beispiel von Moodle

14. Vielen Dank für
Ihre Aufmerksamkeit
Kontakt
Felix Bartels
Kopano b.v.
f.bartels@kopano.com
http://kopano.com