infrastructure:services:keycloak
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionLast revisionBoth sides next revision | ||
infrastructure:services:keycloak [2023-08-07 23:19 UTC] – [Nutzeraccount anlegen] max | infrastructure:services:keycloak [2024-03-08 00:32 UTC] – only mention matrix channel and also describe offline flow for account creation june | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== CCCHH ID ====== | ====== CCCHH ID ====== | ||
---- dataentry service ---- | ---- dataentry service ---- | ||
- | service-urls_urls: | + | service-urls_urls |
- | other-service-fqdns: | + | other-service-fqdns |
- | host-fqdn: | + | host-fqdn |
- | netbox-link_url: | + | netbox-link_url |
- | server_page: | + | server_page |
- | maintainers: | + | maintainers |
+ | ccchh-id-integration_yesno | ||
---- | ---- | ||
+ | |||
+ | |||
+ | |||
+ | ===== Beschreibung ===== | ||
CCCHH ID ist unser SSO- und Account-System. Es ist realisiert durch eine [[https:// | CCCHH ID ist unser SSO- und Account-System. Es ist realisiert durch eine [[https:// | ||
So können wir jeder interessierten Person einen Account bieten, mit welchem diese dann je nach Rechtelevel all die verschiedenen Club-Services nutzen kann. | So können wir jeder interessierten Person einen Account bieten, mit welchem diese dann je nach Rechtelevel all die verschiedenen Club-Services nutzen kann. | ||
- | ===== Nutzeraccounts | + | ==== Nutzeraccounts ==== |
- | Um einen Nutzeraccount zu bekommen, meldet euch bitte einfach im CCCHH IRC- bzw. Matrix-Channel. | + | Um einen Nutzeraccount zu bekommen, meldet euch bitte einfach im CCCHH Matrix-Channel |
- | Der eigene Account kann dann unter folgender URL verwaltet werden: [[https:// | + | Der eigene Account kann dann unter folgender URL verwaltet werden: [[https:// |
- | ===== Angebundene Services | + | ==== Angebundene Services ==== |
Zur Zeit sind folgende Services angebunden: | Zur Zeit sind folgende Services angebunden: | ||
- | * [[infrastructure: | + | ---- datatable ---- |
+ | headers : Service, Service-URLs, | ||
+ | cols : %pageid%, service-urls_urls, | ||
+ | filter | ||
+ | and : %pageid%!=infrastructure: | ||
+ | and : ccchh-id-integration_yesno==true | ||
+ | ---- | ||
+ | |||
+ | Weitere angebundene Services: | ||
* [[infrastructure: | * [[infrastructure: | ||
+ | * [[infrastructure: | ||
Folgenden Services sollen noch angebunden werden: | Folgenden Services sollen noch angebunden werden: | ||
Line 29: | Line 44: | ||
* [[infrastructure: | * [[infrastructure: | ||
* [[https:// | * [[https:// | ||
- | * Eine geplante Nextcloud | ||
- | * Ein geplantes HedgeDoc | ||
===== Konfiguration ===== | ===== Konfiguration ===== | ||
Line 63: | Line 76: | ||
Außerdem ist wichtig, dass Keycloak allen Usern die " | Außerdem ist wichtig, dass Keycloak allen Usern die " | ||
+ | |||
+ | ==== RBAC ==== | ||
+ | |||
+ | Für alle nicht-Keycloak-internen Clients haben wir nun auch Role Based Access Control. | ||
+ | Das heißt wir haben für jeden Client eine '' | ||
+ | |||
+ | === RBAC einrichten === | ||
+ | |||
+ | Erstelle die '' | ||
+ | Dupliziere dann einen webauthn browser client auth flow (z.B.: webauthn browser cloud auth). Hier solltest du dann folgende Schritte durchführen: | ||
+ | * Passe Name und Description an | ||
+ | * Passe login sub-flow Namen an | ||
+ | * Passe forms sub-flow Namen an | ||
+ | * Passe Browser - Conditional OTP sub-flow Namen an | ||
+ | * Passe rbac allowlist Namen an | ||
+ | * Passe rbac allow Condition - user role config Namen und role an | ||
+ | * Passe rbac allow Deny access an | ||
+ | * Passe rbac denylist Namen an | ||
+ | * Passe rbac denylist Condition - user role config Namen und role an | ||
+ | * Passe rbac denylist Deny access an | ||
===== Admin How-To ===== | ===== Admin How-To ===== | ||
==== Nutzeraccount anlegen ==== | ==== Nutzeraccount anlegen ==== | ||
- | - Auf https:// | + | - Auf https:// |
- Add user | - Add user | ||
* Required user actions: Update Password, Verify Email | * Required user actions: Update Password, Verify Email |
infrastructure/services/keycloak.txt · Last modified: 2024-04-24 20:46 UTC by june