Werde Teil unseres Teams und sorge für mehr Digitale Souveränität!
- Teamleiter IT – Kundenprojekte (m/w/d)
- IT Consultant (m/w/d)
- Senior Backend / Software Developer Python (m/w/d)
- u.v.m.

Einmal anmelden und automatisch Zugriff auf alle Programme und Dienste erhalten – Single Sign-On (SSO) ist ein bewährtes Mittel gegen die Passwort-Müdigkeit, die sich bei immer mehr Anwendern bemerkbar macht. Viele Unternehmen und Bildungseinrichtungen ermöglichen daher die einmalige, zentrale Anmeldung der Benutzerinnen und Benutzer.
Auch mit UCS ist es leicht, Single Sign-On einzurichten (siehe Links am Ende des Artikels). In diesem Artikel möchte ich Ihnen zeigen, wie Sie Nextcloud mit dem SSO-Mechanismus von UCS verknüpfen.
Bevor es an die Konfiguration von Nextcloud und UCS geht, stellen Sie sicher, dass Single Sign-On mit SAML in Ihrer UCS-Umgebung funktioniert. Dazu können Sie z. B. folgende URL im Browser aufrufen:
https://<Hostname des Domaincontroller Master>/univention/saml
Hierdurch gelangen Sie entweder zum SAML-Login oder Ihnen wird eine Fehlermeldung angezeigt. Weitere Informationen zu SAML finden Sie in unserer Dokumentation.
Genau wie für UCS gibt es auch für Nextcloud eine Fülle von so genannten Apps, die zusätzliche Funktionen und Features bereitstellen. Die App SSO & SAML authentication bindet Nextcloud in eine vorhandene SSO-Lösung ein. Sie ist in der Nextcloud-Variante aus dem Univention App Center bereits vorinstalliert, und Sie müssen sie lediglich aktivieren.
Dazu melden Sie sich als Administrator in Ihrer Nextcloud-Instanz an und wechseln über das Menü rechts oben in die Abteilung Apps. Wechseln Sie auf der linken Seite zum Punkt Einbindung und aktivieren Sie die App durch einen Klick auf die gleichnamige Schaltfläche.
Wechseln Sie danach über das Menü rechts oben in die Nextcloud-Einstellungen. Blättern Sie auf der linken Seite bis zum neuen Menüpunkt SSO & SAML-Autorisierung. Klicken Sie rechts auf die Schaltfläche Integrierte SAML-Autorisierung benutzen. Es öffnet sich eine Konfigurationsmaske (siehe Screenshot weiter unten), in der Sie die folgenden Einstellungen vornehmen:
uid
ein. https://ucs-sso.ucs.demo/simplesamlphp/saml2/idp/metadata.php
ein und ersetzen dabei ucs-sso.ucs.demo
durch den Hostnamen, unter dem Ihr IdP erreichbar ist. Tipp: Den Hostnamen ermitteln Sie mit dem Befehl ucr
, den Sie in ein Terminalfenster auf dem Domaincontroller Master eingeben: $ ucr get saml/idp/entityID
https://ucs-sso.ucs.demo/simplesamlphp/saml2/idp/metadata.php
https://ucs-sso.ucs.demo/simplesamlphp/saml2/idp/SSOService.php
ein; ersetzen Sie wiederum ucs-sso.ucs.demo
durch den richtigen Hostnamen.Klicken Sie auf Zeige optionale Autorisierungsdienst-Einstellungen, um zwei weitere Felder auszuklappen.
https://ucs-sso.ucs.demo/simplesamlphp/saml2/idp/SingleLogoutService.php
(mit dem passenden Hostnamen anstelle von ucs-sso.ucs.demo
).Das Zertifikat finden Sie, wenn Sie im Webbrowser die Metadaten des IdP betrachten. Die URL verrät wiederum der Befehl ucr get saml/idp/entityID
, den Sie in ein Terminalfenster eingeben. Wenn Sie die Adresse im Browser öffnen, sehen Sie eine XML-Datei. Im Feld ds:X509Certificate steht das Zertifikat, das Sie per Copy & Paste in die Nextcloud-Konfiguration übertragen.
So sehen die Einstellungen der Nextcloud-App auf unserem Testrechner aus:
Auf UCS-Seite erstellen Sie nun noch einen Service Provider (SP) für Nextcloud, damit das Single Sign-On für die Cloud gelingt. Melden Sie sich als Administrator an und öffnen Sie die Univention Management Console. Wechseln Sie zur Kategorie Domäne (blau hinterlegt) und öffnen Sie dort das Modul SAML identity provider. Per Klick auf Hinzufügen erstellen Sie einen neuen Service-Provider-Eintrag, in dem Sie nun folgende Einstellungen vornehmen:
https://master.ucs.demo/nextcloud/apps/user_saml/saml/metadata ein und ersetzen master.ucs.demo
durch den richtigen Hostnamen.https://master.ucs.demo/nextcloud/apps/user_saml/saml/acs
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
uid
.So sehen die Einstellungen auf unserem Testrechner aus:
Klicken Sie links auf Weitere Einstellungen und aktivieren Sie rechts die Option Erlaube die Übertragung von LDAP Attributen an den Service Provider. Klicken Sie abschließend auf Speichern, um die Einstellungen zu sichern.
Damit die UCS-Benutzer das SSO für Nextcloud verwenden können, schalten Sie Accounts für den Service Provider frei. Dazu wechseln in der Univention Management Console ins Modul Benutzer (gelb). Wählen Sie nun eines oder mehrere Konten aus, die Sie bearbeiten möchten, wechseln auf der linken Seite zum Tab Konto und scrollen bis zum Punkt SAML Einstellungen herunter. Klicken Sie auf Hinzufügen, um Service Provider für die Benutzer freischalten. Wählen Sie den eben erstellten Nextcloud-Service-Provider aus, klicken dann auf Hinzufügen und Speichern im oberen Bereich der Seite.
Einmalige Anmeldung für alle Dienste und Netzwerke per Single Sign-on
Hier erfahren Sie, wie Single Sign-On (SSO) zu einem effizienteren und sichereren Arbeiten verhilft. SSO heißt für Anwender eine einmalige Anmeldung und die anschließende Nutzung verschiedener Programme, ohne sich wiederholt persönlich anmelden zu müssen.
Open Source Software Consultant & Engineer im Professional Service Team bei Univention.
Ist es auch möglich Benutzer über eine LDAP-Gruppe für die Nutzung eines SAML-SP freizuschalten? Heißt, das Nutzungsrecht an die Gruppenzugehörigkeit zu koppeln?
AntwortenHallo Fabian, die Nutzung eines Service Providers kann aktuell nicht an Gruppen konfiguriert werden. Seit dem UCS 4.4 Erratalevel 216 kann man aber immerhin im Modul „Benutzer“ die User nach ihrer Gruppenmitgliedschaft filtern. Somit erhält man eine Liste aller User einer Gruppe. Diese kann man dann mit einem Klick alle auswählen und in einem Multi-Edit den Service Provider hinzufügen.
Man kann den Service Provider aber auch über projektspezifische Wege automatisch setzen, z.B. über eine Hook im Benutzer-Import oder ähnliches.
Es gibt für das Feature auch einen Request in unserem Bugtracker: https://forge.univention.org/bugzilla/show_bug.cgi?id=47567
AntwortenKlasse Artikel mit vielen neuen Infos. Wir nutzen bei uns nextfiles.de, da die Server in Deutschland stehen. Wir sind mit dem DSGVO konformen Dienst sehr zufrieden. Basiert auch auf Nextcloud.
Antworten