Anmeldeprozedur Discourse / Cloud

Eigentlich brauchen wir eine SSO Lösung für die Anmeldung bei cloud.solawi.allmende.io und diesem discourse.

Im Moment wickeln wir die Email Kommunikation dafür mit unseren Privat Adressen ab. Ich fände es ganz gut wenn wir dazu die email Adresse web-support@solidarische-landwirtschaft.org nutzen könnten. Im Moment haben dazu Marc und Micha wohl zugriff drauf.

Kannst du mir dazu die nötigen Zugangsdaten schicken @tantebootsy? Hat noch jemand Bock diese Mailadresse nutzen zu können?

Hallo Johannes, sind dies wmgl. zwei Topics in einem? Das E-Mailthema irritiert mich unter der Überschrift.

Hattest du dir

https://apps.nextcloud.com/apps/discoursesso

angesehen?

Edith: Ah, das wird an anderer Stelle auch diskutiert:

@tantebootsy erwähnte dort auch den LDAP Weg - vielleicht ließe sich auch beides verbinden: LDAP ist kein SSO Protokoll und erwartet separate Anmeldung (Login). Tatsächlich ließen sich Registrierung/Anmeldung (Signup) und Passwortverwaltung damit zentralisieren. Ecobytes verfügt über umfangreiche Recherchen, wie damit weiter zu verfahren wäre.

Die E-Mailkommunikation wofür genau? Die Mailadresse, welche auf https://discourse.solawi.allmende.io/login uneingeloggt erscheint, ist deine private Riseupadresse. Aber ich erinnere mich auch gelesen zu haben, dass ihr diesen Text ändern wolltet.

Erstellt doch einfach eine versteckte Kategorie in die ihr Mails an anmeldung@discourse.solawi.allmende.io routet. Dann hätten die User:innen nur keine Wahl des Benutzernamens, da automatisch Shadow User für sie erstellt würden. Aber das ist wohl verkraftbar?

Tatsächlich würde dies ja einem subscribe Workflow ähneln: Ich schicke eine Nachricht rein, und bekomme nach Bestätigung der Anfrage durch eine Moderator:in einen Anmeldelink zurück.

1 Like

Schön dich mal hier zu sehen yala! Ich hab den Titel so gewählt da wir ja im Moment die Anmeldeprozedur manuell tätigen, davon wegkommen wollen und daher nach einer SSO Lösung suchen. Hast schon recht, sind im Prinzip zwei verschiedene Sachen, aber ich denke schon daß wir es fürs erste zusammen diskutieren können.

Das “Discourse SSO” nextcloud plugin sieht ja recht vielversprechend aus. Kann ich mal austesten. Wenns läuft kann ich ja dafür einen Thread erstellen.

Die verstecke Kategorie für die Anmeldungsadresse finde ich eine gute Idee. Die WebCrew support Adresse könnten wir bei gefallen evtl. auch so managen. Eigentlich würde nur eine Adresse reichen, da die web-support Adresse im Moment wohl nur ganz wenig Aktivität hat.

discoursesso hat nicht so gut gefunzt, aber soudis will ja das Problem demnächst beheben, dann kann ich es nochmal probieren.

Thema SSO

Hi ihr. Ich bin Felix aus dem Ökodorf Sieben Linden und mache da everything-IT. @tantebootsy hat mich eingeladen, bin gerade im IT-in-Gemeinschaften-Umfeld unterwegs und wünsche mir Kräftebündelung. Sowohl in Sieben Linden als auch dem informellen Netzwerk werden wir wohl demnächst auch discourse einsetzen. Aber eigentlich wollte ich das hier mit Euch teilen:

Ein Österreicher (Florian) zeigt bei dem Video florian*nextcloud* wie sie (angeblich) SSO über nextcloud, discourse und dokuwiki via ldap und eigener Nutzer/Rechte-Admin-UI nutzen. Das Video wird im eingebettetem player nicht abgespielt, ihr müsst es runterladen. Ich werde heute oder morgen mit ihm telefonieren und näheres herausfinden, ich habe von ihm auch commits auf githab bzgl SSO und Dockerfiles gesehen. Ich könnte da noch so ein paar Worte bezüglich DevOps verlieren, soll ich dazu ein eigenes Topic öffnen?

1 Like

Hallo Felix! Herzlich Willkommen!

Schön dass ihr auch auf Discourse setzen wollt! Im Netzwerk gibts bislang sehr unterschiedliche Meinungen zu dessen brauchbarkeit. Wenn es sich an mehr Stellen durchsetzt wird dessen Benutzung aber vielleicht auch Selbstverständlicher.

Danke für die Videos. Warst du auch da? Nice die Aussies! Preschen ja auch in Punkto FairKom ganz schön nach vorne.

Klaro, wäre ein eigener Identity Service auch fürs Solawi Netzwerk fein. Da hatte ich in Richtung Keycloak gedacht. Aufgrund von Zeitmangel und der Notwendigkeit zu einer schnellen stabilen Lösung wollten wir die Authentifizierung beim Solawi Discourse jetzt mit Nexcloud Hasumitteln lösen. Ab NC 13.0.1 soll das funzen

Also, habe gerade mit sourdis (Florian) telefoniert. Netter Typ. Würde wohl auch ggfs hier mit Austausch zu betreiben (bzgl nextcloud/discourse/ldap/sso). Wenn erwünscht, schickt mir eine PM, dann schicke ich Euch zwecks Einladung seine E-Mail-Adresse.

Und ich war leider nicht in AT dabei (dafür bei dem IT-in-Gemeinschaften Treffen). Ist wer von Euch beim makers4humanitylab über pfingsten? (http://www.makers4humanity.org/m4h-lab2018.html).

Hat der Florian vielleicht auch discoursesso geschrieben? Das hatte ich letztens kurz mal ausprobiert, habs in unserem Docker setup aber nicht zum laufen bekommen. Ab NC 13 solls ja out of da box laufen… Könnten wir bei Gelegnheit auch nochmal reinschauen. Kannst ihn gerne einladen, hab dir jetzt Moderatorenrechte gegeben.

Das Makers4humanity Treffen klingt sehr spannend! Danke für den Link. Dafür würde sich aber wirklich lohnen ein neues Thema auf zu machen.

Ja, das ist der “gleiche” Florian. Ich schicke ihm eine Einladung.

Spannend zu sehen, welche Kompetenzen hier zusammenfließen. Von

weiß ich auch, dass er mit einer SoLaWi verbandelt ist.
In den verlinkten Videos gibt es auch eines zu Transformap, daher schonmal danke.

Ich bin gespannt mehr zu erfahren. Bei Ecobytes.net bauen @yova, ich und andere etwas, das wir eine computational commons (Rechnerallmende) nennen und was Nutzungs- wie Entwicklungsinfrastruktur zugleich anbieten könnte.

Wir verfolgen daher alle Entwicklungen zu IDPs und SSO mit Spannung!

Bist du mit Joy et al. schon einmal zusammengekommen? Unsere letzte Überschneidung war

https://www.transition-initiativen.de/hackathon

Seitdem haben wir uns aber nicht weiter koordiniert.

Nein, aus dem Kreis hier hab ich bisher nur Micha persönlich kennengelernt.

Und ganz im Ernst: Ich verstehe noch nicht wie/wo/ob allemende.io und ecobytes zusammengehören und was die (kurzfristige) Vision ist.

Wir sind gerade dabei die Struktur von Ecobytes und Allmende.io zusammenzuführen und dabei gründlich zu überarbeiten. Allmende.io soll dann Services (nextcloud, pads, discourse,…) als computational commons für den Enduser bereit stellen, ein bischen als Showcase für die Möglichkeiten die die Ecobytes Infrastruktur Organisationen bieten kann.

“Ecobytes” an sich möchte gerne nur mit technisch versierten Einzelpersonen oder Ansprechpartnern von Gruppen zusammen arbeiten und mit diesen gemeinsam IT Infrastruktur anbieten und pflegen. Ecobytes möchte auch Raum sein für die weitere Entwicklung von digital commons und die damit einhergehende Grundlagenforschung wie z.B. im Rahmen von Transformaps oder SolidBase.

Wir sind diese Struktur noch am ausarbeiten, nach der Ecobytes Mitgliederversammlung am 3.3. in Berlin werden wir sie öffentlich verbreiten.

3 posts were merged into an existing topic: (meta.)allmende.io / discourse für andere Gruppen

Das hört sich doch eigentlich nach einem guten Weg an. Der Austausch der Userdaten & Anmeldungen ist auch für das interagieren der verschiedenen FLOSS Lösungen innerhalb einer SoLaWi entscheidend. Wenn wir da eine Referenzimplementierung hinbekommen könnten und das user Management als service anbieten könnten wäre vielen SoLaWis mega geholfen glaube ich.

Da hat @florian.humer mal lemonldap.org ins spiel gebracht (ldap + sso gedöns). Sicher hoch-interessant.
Während zentrale Authentifizierung sicher vergleichsweise einfach umzusetzen ist (fast alle größeren Applikationen lassen lassen eine Authentifizierung via LDAP/AD zu) ist die ganze Authorisierung (Rechte-vergabe und Modellierung) eine andere Hausnummer. Da wir es i.d.R. mit persönlichen Daten zu tun haben ist wichtig, das richtig und gut umzusetzen. Ich weiß nicht genau welche Hausmittelchen django da mitbringt. Fazit: Ich bin skeptisch, dass man mit vertretbarem Zeitaufwand “zentrale” Authorisierung Applikations-unabhängig sauber implementieren kann.

Yippie yeah! Tatsächlich läuft die discourse nextcloud oauth integration wie geschmiert mit NC 13.0.1. Hab hier ein paar Notizen zum Setup gemacht: https://hack.allmende.io/discourse_nextcloud_oauth#

Ganz nett für jetzt, Gruppenzugehörigkeiten werden damit aber nicht synchron gehalten. Dafür führt wahrscheinlich kein Weg an LDAP vorbei.

Um das SSO zum laufen zu bekommen musste ich invite_only ausstellen. Eigentlich fwäre es logisch jetzt must approve users zu setzen. Das geht aber im nachhinein quasi nicht mehr.
Hab schon länger überlegt den SolidBase Bereich öffentlich zu machen. Für den Solawi Bereich kann man Mitgliedschaftsanfragen an die Gruppeneigentümer senden.

Hat wer was dagegen das so beizubehalten, also das gesamte Forum öffentlich zu halten, und nur Teile privat?

Schön zu hören, dass der SSO (zumindest bei dir) funzt! :slight_smile:

Ist es möglich Nutzer, die bereits in Discourse bestehenden mit NextCloud zu verdrahten oder brauche ich tatsächlich einen neuen DC-Nutzer wie es aktuell den Anschein hat? Bei mir möchte er jedenfalls beim Versuch der Anmeldung via NextCloud einen neuen DC-Nutzer erstellen, den bestehenden mag er nicht “überschreiben”/verwenden.

Um das SSO zum laufen zu bekommen musste ich invite_only ausstellen. Eigentlich fwäre es logisch jetzt must approve users zu setzen. Das geht aber im nachhinein quasi nicht mehr.
Hab schon länger überlegt den SolidBase Bereich öffentlich zu machen. Für den Solawi Bereich kann man Mitgliedschaftsanfragen an die Gruppeneigentümer senden.

Also sofern wir letztlich zu der Lösung kommen, dass wir (z.B. aus administrativen oder Ressourcen-Gründen) lediglich eine Discourse-Instanz für alle Solawis + das Netzwerk haben wollen/müssen muss “must approve users” meiner Ansicht nach nicht gesetzt werden – im Gegenteil: ich hatte mir eig. schon gewünscht, dass wir irgendwann zumindest vom Netzwerk aus ein Forum haben, welches untersch. öffentliche Kategorien bietet und bei dem sich die Nutzer – wie ja bei fast allen andren Foren im Netz auch – selbst registrieren und freischalten können. Aktuell gibt es ja eine solche Plattform für den Austausch unter den Solawi-Interessierten nicht aber genau das ist für mich u.a. der Sinn des Netzwerks – den Austausch und die Vernetzung zu fördern. Voraussetzung wäre dann für den Live-Betrieb lediglich, dass es verlässliche Moderatoren gibt, die auf die Stimmung etc. in den Threads achten.

Hat wer was dagegen das so beizubehalten, also das gesamte Forum öffentlich zu halten, und nur Teile privat?

Da es der o.a. Lösung ein Stück näher kommt ist das öffentlich machen einer der nächst-logischen Schritte zum weiteren Testen. Da du ja nun dankenswerter Weise den standardmäßig aktivierten Mailinglisten-Modus vor ein paar Monaten ausgeschaltet hast bin ich dafür, nun auch die Web Crew-Gruppe öffentlich zu machen, sofern das möglich ist. Lediglich die Kategorie “Rat” muss dann privat sein.

Ja supi! Dann sind wir in Punkto öffentlichem Forum ja einer Meinung.

Nee, dass ist leider nicht so ohne weiteres möglich. Wir bräuchten auch ein zentrales Gruppenmanagement. Leute die schon einen DC Account haben (oder ihn sich jetzt erstellen) , sollten den einfach erstmal weiter benutzen. Das SSO ist nur praktisch für Nutzer die eine Einladung zur Cloud bekommen haben. Die können sich dann ohne weiteres PW bei DC anmelden.

Ich hab das discourse jetzt weitestgehend world-readable gemacht. Eigentlich wollte ich die Kategorie ‘Netzwerk’ auch nur der Gruppe ‘solawi’ zugänglich machen, da wir aber ja auch die Webcrew öffentlich machen wollten ging das nicht. Ich finde aber schon dass wir jetzt noch eine Kategorie Netzwerk intern, oder so brauchen.