KIF530:Austausch Nutzerverwaltung

Aus KIF

AK Austausch Nutzerverwaltung[Bearbeiten]

Vorstellung[Bearbeiten]

  • Kjell + Nico, Uni Bonn, beide Roots
    • FS und Privat Authentik
    • FS hatte vorher FreeIPA
    • Nico hatte zwischendurch auch ein keycloak
  • Mika, Uni Bonn
    • Nutzt privat authentik, überlegt aber Kanidm zu nutzen
  • Thanh, OTH Regensburg, Root
    • LDAP genutzt, brauchen aber für gewisse services openid connect
    • Überlegen IDM zentral zu verwalten
  • Ilay, Anton, Uni Konstanz
    • Überlegen Keycloak zu nutzen
    • Vielleicht Uni IDM nutzen
  • Limo, RPTU³
    • FS Nutzt LDAP momentan
  • Tombi, Freiberg
    • FS bisher keine eigene IDM

TOPs[Bearbeiten]

Begriffe[Bearbeiten]

  • SSO: Single Sign On
    • Login über externe Seite
    • Man kann sich damit über mehrere Seiten hinweg über einen SSO-Provider anmelden
  • OIDC: OpenID Connect
    • Bietet SSO
    • Kann Einige Attribute mitgeben
  • OAuth 2.0
    • Subset von OIDC
  • SAML: Security Assertion Markup Language
    • Ähnlich zu OIDC
    • deutlich feinere Kontrolle über mitgegebene Attribute
    • Etwas komplexer einzurichten
  • LDAP: Lightweight Directory Access Protocol
    • Baumstruktur für Nutzerverwaltung
    • Kann Login, kann aber auch Nutzersynchronation ohne neuen Login
  • SCIM: System for Cross-domain Identity Management
    • Meist genutzt für Business-to-Business Dinge\
    • Soll 2 Server aktiv synchron halten
    • Funktioniert mittels RestApi

Authentik[Bearbeiten]

Kjell stellt authentik vor:

  • Zeigt flows, stages
    • Flows sind actions wie Einloggen, OIDC Login, invitation account erstellen
    • stages sind einzelne schritte in flows
    • if; then; else; für auswählen der nächsten stage ist leider etwas unschön, geht aber
  • Viele Tutorials für Anbindung an Dienste
  • ACHTUNG: Beispiel invitation-flow hat keine Beschränkung wer sich einen account erstellen darf.
  • Es gibt Applications, das sind zb. externe Dienste
  • transitive Gruppenzuguhörigkeiten funktionieren nur innerhalb von authentik
    • außerhalb geht, ist aber teils hacky
  • User Login auf Linux Systemen braucht eigene Implementation zb. via PAM/SSSD
  • Kann viele andere Backends verwenden


Kanidm[Bearbeiten]

  • Kann Webauthn, OIDC, SAML, LDAPS, SSH/UNIX Access, complete CLI
  • Server + CLI jeweils eine Binary
  • in den meisten Distros bereits pakettiert
  • Ist deutlich einfacher einzurichten als FreeIPA, was ein ähnlich großes Featureset hat
  • LDAP bind pw ist das posix pw, was nicht das reguläre PW sein muss.

Keycloak[Bearbeiten]

  • Kann Kerberos, OIDC und SAML
  • Soll mit LDAP als Backend benutzt werden
  • Kann mit Plugins um vieles erweitert werden
  • Zurück zu LDAP schreiben deutlich einfacher als bei Authentik

Free Ipa[Bearbeiten]

  • Spricht SAML, Kerberos
  • Integriert extrem gut in Linux Systeme und Netzwerke
    • Nutzt dafür eine größere Menge an vorkonfigurierten Diensten, die integriert sind
  • Riesig viel Dokumentation (hinter einem redhat account)
  • alles in LDAP gespeichert
  • Deployment recht einfach
  • Zertifikatdinge wenn nicht intern, kompliziert
  • intransparent viel maintanance, wenn nicht tief in Materie

Fazit[Bearbeiten]

Alle IDPs haben je nach Use-Case Vor- oder Nachteile. Sie haben aber alle in vielen Use-Cases viele Dinge, die nicht gebraucht werden.

Abgerufen von „https://wiki.kif.rocks/w/index.php?title=KIF530:Austausch_Nutzerverwaltung&oldid=54111