Anmeldeprozedur Discourse / Cloud

Thema SSO

Hi ihr. Ich bin Felix aus dem Ökodorf Sieben Linden und mache da everything-IT. @tantebootsy hat mich eingeladen, bin gerade im IT-in-Gemeinschaften-Umfeld unterwegs und wünsche mir Kräftebündelung. Sowohl in Sieben Linden als auch dem informellen Netzwerk werden wir wohl demnächst auch discourse einsetzen. Aber eigentlich wollte ich das hier mit Euch teilen:

Ein Österreicher (Florian) zeigt bei dem Video florian*nextcloud* wie sie (angeblich) SSO über nextcloud, discourse und dokuwiki via ldap und eigener Nutzer/Rechte-Admin-UI nutzen. Das Video wird im eingebettetem player nicht abgespielt, ihr müsst es runterladen. Ich werde heute oder morgen mit ihm telefonieren und näheres herausfinden, ich habe von ihm auch commits auf githab bzgl SSO und Dockerfiles gesehen. Ich könnte da noch so ein paar Worte bezüglich DevOps verlieren, soll ich dazu ein eigenes Topic öffnen?

1 Like

Hallo Felix! Herzlich Willkommen!

Schön dass ihr auch auf Discourse setzen wollt! Im Netzwerk gibts bislang sehr unterschiedliche Meinungen zu dessen brauchbarkeit. Wenn es sich an mehr Stellen durchsetzt wird dessen Benutzung aber vielleicht auch Selbstverständlicher.

Danke für die Videos. Warst du auch da? Nice die Aussies! Preschen ja auch in Punkto FairKom ganz schön nach vorne.

Klaro, wäre ein eigener Identity Service auch fürs Solawi Netzwerk fein. Da hatte ich in Richtung Keycloak gedacht. Aufgrund von Zeitmangel und der Notwendigkeit zu einer schnellen stabilen Lösung wollten wir die Authentifizierung beim Solawi Discourse jetzt mit Nexcloud Hasumitteln lösen. Ab NC 13.0.1 soll das funzen

Also, habe gerade mit sourdis (Florian) telefoniert. Netter Typ. Würde wohl auch ggfs hier mit Austausch zu betreiben (bzgl nextcloud/discourse/ldap/sso). Wenn erwünscht, schickt mir eine PM, dann schicke ich Euch zwecks Einladung seine E-Mail-Adresse.

Und ich war leider nicht in AT dabei (dafür bei dem IT-in-Gemeinschaften Treffen). Ist wer von Euch beim makers4humanitylab über pfingsten? (http://www.makers4humanity.org/m4h-lab2018.html).

Hat der Florian vielleicht auch discoursesso geschrieben? Das hatte ich letztens kurz mal ausprobiert, habs in unserem Docker setup aber nicht zum laufen bekommen. Ab NC 13 solls ja out of da box laufen… Könnten wir bei Gelegnheit auch nochmal reinschauen. Kannst ihn gerne einladen, hab dir jetzt Moderatorenrechte gegeben.

Das Makers4humanity Treffen klingt sehr spannend! Danke für den Link. Dafür würde sich aber wirklich lohnen ein neues Thema auf zu machen.

Ja, das ist der “gleiche” Florian. Ich schicke ihm eine Einladung.

Spannend zu sehen, welche Kompetenzen hier zusammenfließen. Von

weiß ich auch, dass er mit einer SoLaWi verbandelt ist.
In den verlinkten Videos gibt es auch eines zu Transformap, daher schonmal danke.

Ich bin gespannt mehr zu erfahren. Bei Ecobytes.net bauen @yova, ich und andere etwas, das wir eine computational commons (Rechnerallmende) nennen und was Nutzungs- wie Entwicklungsinfrastruktur zugleich anbieten könnte.

Wir verfolgen daher alle Entwicklungen zu IDPs und SSO mit Spannung!

Bist du mit Joy et al. schon einmal zusammengekommen? Unsere letzte Überschneidung war

https://www.transition-initiativen.de/hackathon

Seitdem haben wir uns aber nicht weiter koordiniert.

Nein, aus dem Kreis hier hab ich bisher nur Micha persönlich kennengelernt.

Und ganz im Ernst: Ich verstehe noch nicht wie/wo/ob allemende.io und ecobytes zusammengehören und was die (kurzfristige) Vision ist.

Wir sind gerade dabei die Struktur von Ecobytes und Allmende.io zusammenzuführen und dabei gründlich zu überarbeiten. Allmende.io soll dann Services (nextcloud, pads, discourse,…) als computational commons für den Enduser bereit stellen, ein bischen als Showcase für die Möglichkeiten die die Ecobytes Infrastruktur Organisationen bieten kann.

“Ecobytes” an sich möchte gerne nur mit technisch versierten Einzelpersonen oder Ansprechpartnern von Gruppen zusammen arbeiten und mit diesen gemeinsam IT Infrastruktur anbieten und pflegen. Ecobytes möchte auch Raum sein für die weitere Entwicklung von digital commons und die damit einhergehende Grundlagenforschung wie z.B. im Rahmen von Transformaps oder SolidBase.

Wir sind diese Struktur noch am ausarbeiten, nach der Ecobytes Mitgliederversammlung am 3.3. in Berlin werden wir sie öffentlich verbreiten.

3 posts were merged into an existing topic: (meta.)allmende.io / discourse für andere Gruppen

Das hört sich doch eigentlich nach einem guten Weg an. Der Austausch der Userdaten & Anmeldungen ist auch für das interagieren der verschiedenen FLOSS Lösungen innerhalb einer SoLaWi entscheidend. Wenn wir da eine Referenzimplementierung hinbekommen könnten und das user Management als service anbieten könnten wäre vielen SoLaWis mega geholfen glaube ich.

Da hat @florian.humer mal lemonldap.org ins spiel gebracht (ldap + sso gedöns). Sicher hoch-interessant.
Während zentrale Authentifizierung sicher vergleichsweise einfach umzusetzen ist (fast alle größeren Applikationen lassen lassen eine Authentifizierung via LDAP/AD zu) ist die ganze Authorisierung (Rechte-vergabe und Modellierung) eine andere Hausnummer. Da wir es i.d.R. mit persönlichen Daten zu tun haben ist wichtig, das richtig und gut umzusetzen. Ich weiß nicht genau welche Hausmittelchen django da mitbringt. Fazit: Ich bin skeptisch, dass man mit vertretbarem Zeitaufwand “zentrale” Authorisierung Applikations-unabhängig sauber implementieren kann.

Yippie yeah! Tatsächlich läuft die discourse nextcloud oauth integration wie geschmiert mit NC 13.0.1. Hab hier ein paar Notizen zum Setup gemacht: https://hack.allmende.io/discourse_nextcloud_oauth#

Ganz nett für jetzt, Gruppenzugehörigkeiten werden damit aber nicht synchron gehalten. Dafür führt wahrscheinlich kein Weg an LDAP vorbei.

Um das SSO zum laufen zu bekommen musste ich invite_only ausstellen. Eigentlich fwäre es logisch jetzt must approve users zu setzen. Das geht aber im nachhinein quasi nicht mehr.
Hab schon länger überlegt den SolidBase Bereich öffentlich zu machen. Für den Solawi Bereich kann man Mitgliedschaftsanfragen an die Gruppeneigentümer senden.

Hat wer was dagegen das so beizubehalten, also das gesamte Forum öffentlich zu halten, und nur Teile privat?

Schön zu hören, dass der SSO (zumindest bei dir) funzt! :slight_smile:

Ist es möglich Nutzer, die bereits in Discourse bestehenden mit NextCloud zu verdrahten oder brauche ich tatsächlich einen neuen DC-Nutzer wie es aktuell den Anschein hat? Bei mir möchte er jedenfalls beim Versuch der Anmeldung via NextCloud einen neuen DC-Nutzer erstellen, den bestehenden mag er nicht “überschreiben”/verwenden.

Um das SSO zum laufen zu bekommen musste ich invite_only ausstellen. Eigentlich fwäre es logisch jetzt must approve users zu setzen. Das geht aber im nachhinein quasi nicht mehr.
Hab schon länger überlegt den SolidBase Bereich öffentlich zu machen. Für den Solawi Bereich kann man Mitgliedschaftsanfragen an die Gruppeneigentümer senden.

Also sofern wir letztlich zu der Lösung kommen, dass wir (z.B. aus administrativen oder Ressourcen-Gründen) lediglich eine Discourse-Instanz für alle Solawis + das Netzwerk haben wollen/müssen muss “must approve users” meiner Ansicht nach nicht gesetzt werden – im Gegenteil: ich hatte mir eig. schon gewünscht, dass wir irgendwann zumindest vom Netzwerk aus ein Forum haben, welches untersch. öffentliche Kategorien bietet und bei dem sich die Nutzer – wie ja bei fast allen andren Foren im Netz auch – selbst registrieren und freischalten können. Aktuell gibt es ja eine solche Plattform für den Austausch unter den Solawi-Interessierten nicht aber genau das ist für mich u.a. der Sinn des Netzwerks – den Austausch und die Vernetzung zu fördern. Voraussetzung wäre dann für den Live-Betrieb lediglich, dass es verlässliche Moderatoren gibt, die auf die Stimmung etc. in den Threads achten.

Hat wer was dagegen das so beizubehalten, also das gesamte Forum öffentlich zu halten, und nur Teile privat?

Da es der o.a. Lösung ein Stück näher kommt ist das öffentlich machen einer der nächst-logischen Schritte zum weiteren Testen. Da du ja nun dankenswerter Weise den standardmäßig aktivierten Mailinglisten-Modus vor ein paar Monaten ausgeschaltet hast bin ich dafür, nun auch die Web Crew-Gruppe öffentlich zu machen, sofern das möglich ist. Lediglich die Kategorie “Rat” muss dann privat sein.

Ja supi! Dann sind wir in Punkto öffentlichem Forum ja einer Meinung.

Nee, dass ist leider nicht so ohne weiteres möglich. Wir bräuchten auch ein zentrales Gruppenmanagement. Leute die schon einen DC Account haben (oder ihn sich jetzt erstellen) , sollten den einfach erstmal weiter benutzen. Das SSO ist nur praktisch für Nutzer die eine Einladung zur Cloud bekommen haben. Die können sich dann ohne weiteres PW bei DC anmelden.

Ich hab das discourse jetzt weitestgehend world-readable gemacht. Eigentlich wollte ich die Kategorie ‘Netzwerk’ auch nur der Gruppe ‘solawi’ zugänglich machen, da wir aber ja auch die Webcrew öffentlich machen wollten ging das nicht. Ich finde aber schon dass wir jetzt noch eine Kategorie Netzwerk intern, oder so brauchen.

Ein kurzes Update zu diesem Thema: Ich habe vor ein paar Wochen @florian.humer angeschrieben und ihn gefragt, ob es zu deren Lösung eine Dokumentation gibt. Er hat folgendes geantwortet:

Wir arbeiten an einem Release des gesamten Systems inklusive Installationsskripten, allerdings wird das noch etwas dauern (=> Ende des Jahres).

Das hört sich schonmal gut an. Wenn das System für uns geeignet scheint spräche ja einer Zusammenarbeit nichts entgegen. Ich werde ihn mal fragen, ob er Zeit und Lust hat, uns das System in einer Live-Session zu zeigen und ob er – falls das System für uns geeignet erscheint – Lust hat auf eine aktive Zusammenarbeit. Diese kann ja händischer (Unterstützung bei Dokumentation + Erweiterung des Systems) oder monetärer Art sein.

1 Like

Hallo!

Ich war leider gerade knapp 4 Wochen unterwegs und konnte leider nicht früher was schreiben. Ich kann das System gerne mal per Screencast vorführen, wenn ihr Interesse habt. Hättet ihr einen Terminvorschlag?

LG Florian

1 Like

Hi Florian,

cool, dass du dich meldest! :slight_smile: Ich denke es macht mehr Sinn, wenn du uns drei Termin-Vorschläge gibst und ich pack die dann in eine Umfrage.

Liebe Grüße,
Micha

Ich hab das Thema jetzt mal zur meta-community verschoben, da es für andere Organisationen ebenfalls interessant sein könnte.