Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID Connect: Alle Dienste - Eine Identität - Volle Kontrolle

145 views

Published on

OpenID Connect ist der technische Standard hinter vielen Login- und Single Sign On-Angeboten großer Plattform-Anbieter. Der Vortrag geht darauf ein, warum dieser Standard auch für Organisationen sinnvoll ist, warum er von Kopano ausgewählt und implementiert wurde und wie die Integration in UCS auch unabhängig von Kopano erfolgt.

Published in: Software
  • Be the first to comment

  • Be the first to like this

Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID Connect: Alle Dienste - Eine Identität - Volle Kontrolle

  1. 1. Login mit Facebook? Login mit Google? Oder Login mit "meine Firma"?!? OpenID Connect: Alle Dienste – Eine Identität - Volle Kontrolle Felix Bartels Kopano b.v.
  2. 2. $ whoami • Felix Bartels • Release und QA Manager bei Kopano • Kopano: • #2 im Ranking der 3rd Party Apps im App Center • #1 Groupware Applikation • 7 Apps im Univention App Center • + 1 basierend auf unserer Software • „More to come“
  3. 3. “Apps” soweit das Auge reicht… Die heutige IT Landschaft besteht auf eine vielzahl von „Apps“: - Groupware - Chat - IT Support - Wikis - ...
  4. 4. Das nicht so geheime Geheimrezept hinter diesen „Social Login“
  5. 5. Was ist eigentlich OpenID Connect (OIDC)? • Standard aufbauend auf Oauth 2.0 • Definiert wie Benutzerinformationen nach dem eigentlich Login abgerufen werden können{ "issuer": "https://devmail.kopano.com", "authorization_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/authorize", "token_endpoint": "https://devmail.kopano.com/konnect/v1/token", "userinfo_endpoint": "https://devmail.kopano.com/konnect/v1/userinfo", "end_session_endpoint": "https://devmail.kopano.com/signin/v1/identifier/_/endsession", "check_session_iframe": "https://devmail.kopano.com/konnect/v1/session/check-session.html" "jwks_uri": "https://devmail.kopano.com/konnect/v1/jwks.json", "scopes_supported": [ "openid", "offline_access", "konnect/uuid", "konnect/raw_sub", "kopano/kvs", "email", "kopano/kwm", "profile", "konnect/id", "kopano/pubs", "kopano/gc" ],
  6. 6. Aber innerhalb von UCS gibt es schon SAML. Ist das nicht das Selbe? • SAML und OpenID Connect lösen ähnliche Probleme • OIDC bietet aber ein viel einfacheres JSON/REST basiertes Protokoll • OIDC funktioniert darüber hinaus auch ausserhalb des webs
  7. 7. Und was hat das nun mit Kopano zu tun?!? Zwei Probleme: - „Wie können wir die Integration von Drittanwendungen verbessern?“ - „Wir wollen eine RestAPI anbieten, wie können wir hier den Auth Part abbilden?“
  8. 8. Kopano Konnect • „Painless“ AGPL v3 OpenID provider (OP) • Integrierter Web Login und „consent form“ • Golang Backend mit React Frontend • Nutzer aus Kopano, LDAP, Cookies • OpenID Connect (OIDC) • Open Authentication (OAuth 2.0) • Token based user identity and authorization
  9. 9. Was Kopano Konnect NICHT ist • Das nächste “Login with Facebook“ • Siehe Projekte wie ID4ME oder ReclaimID • Was nicht heisst, dass Konnect nicht mit eben diesen kompaitbel sein könnte • Das nächste Okta oder Auth0 • Kopano -> Your Data, Your Terms
  10. 10. Kopano Konnect aka „OpenID Connect Provider“ • Nutzt das ofizielle Kopano Konnect Docker Image als Basis • Verwaltet per UDM • Erweitert um UCS-Themed Identifier
  11. 11. Konnect und 3rd Party Anwendungen • Viele Anwendungen bieten die Möglichkeit für einen „Social Login“ • Wordpress, Atlassian Stack (Jira, Confluence, ..), Gitea
  12. 12. Konfiguration & Benutzung von OIDC am Beispiel von Moodle
  13. 13. Konfiguration & Benutzung von OIDC am Beispiel von Moodle
  14. 14. Vielen Dank für Ihre Aufmerksamkeit Kontakt Felix Bartels Kopano b.v. f.bartels@kopano.com http://kopano.com

×