Mit UCS 5.2 werden wir wie angekündigt Keycloak als Standard-Identity Provider (IDP) ausrollen. Damit stellt sich die Frage, wie lange der bisherige IDP auf Basis von SimpleSAMLphp noch in UCS unterstützt werden wird. Im Artikel erläutere ich, warum wir uns dazu entschieden haben, den Pflegezeitraum von SimpleSAMLphp mit dem des UCS Release 5.0 zu verknüpfen, und welche Schritte für bestehende UCS-Installationen notwendig sind.
Im Überblick
Das Wichtigste zusammengefasst:
- Die Unterstützung der „alten“ IDP-Implementierung auf Basis von SimpleSAMLphp wird beendet
- Bestehende UCS-Installationen können bereits heute auf Keycloak als IDP wechseln und wären so frühzeitig auf die kommenden Änderungen vorbereitet
- Mit UCS 5.2 wird nur noch Keycloak als IDP zur Verfügung stehen
- Der bisherige IDP (SimpleSAMLphp/Kopano Konnect) wird mit UCS 5.0 noch bis mindestens Ende 2024 von Univention unterstützt
Was bisher geschah
UCS unterstützt seit der Veröffentlichung von UCS 4.1 im Jahr 2015 ein webbasiertes Single Sign-on über die SAML-Implementierung „SimpleSAMLphp“, die später mit der optionalen App „Kopano Konnect“ um das Protokoll OpenID Connect erweitert wurde. Mit der Entwicklung von UCS 5.0 haben wir 2022 entschieden, zukünftig auf Keycloak als Software für das webbasierte Single Sign-on zu setzten. Keycloak wird mit UCS 5.2 SimpleSAMLphp als Standard in UCS ablösen. Seit Mitte 2023 kann Keycloak nicht nur alle Funktionen von SimpleSAMLphp ersetzen, sondern es steht auch eine ausführliche Dokumentation zur Migration zur Verfügung.
Offen war aber die Frage, wie lange Kunden SimpleSAMLphp mit Unterstützung durch Univention einsetzen können.
Maintenance für SimpleSAMLphp mindestens bis Ende 2024
SimpleSAMLphp ist fester Bestandteil von UCS 5.0 und wird mit allen kommenden Patchlevel Releases von UCS 5.0 weiter unterstützt werden. Enterprise-Kunden erhalten für UCS 5.0 Unterstützung über mindestens ein Jahr nach Erscheinen des folgenden Minor Releases UCS 5.2. Trotz fortschreitender Arbeiten an UCS 5.2 gehen wir aktuell davon aus, dass das Release erst im Laufe des Jahres 2024 veröffentlicht wird. Daher wird es auch über das gesamte Jahr 2024, oder genauer über ein Jahr nach Erscheinen von UCS 5.2, Unterstützung in Form von Security Updates und Support für UCS 5.0 für unsere Enterprise-Kunden geben.
Die laufenden Arbeiten an der Migration und an UCS 5.2 haben uns aber auch gezeigt, dass die gleichzeitige Unterstützung beider Implementierungen nicht nur zu Mehraufwänden bei Univention und bei App-Anbietern führt, sondern auch die Integrationstiefe und Funktionalität von Keycloak in UCS einschränken wird. Wir haben uns daher entschieden, in UCS 5.2 die Unterstützung für SimpleSAMLphp und das darauf aufbauende Kopano Konnect zu entfernen.
Was bedeutet das für bestehende Installationen von UCS?
Zunächst erst einmal nichts – die installierten Systeme werden von Univention bis mindestens Ende 2024 weiter unterstützt, egal ob überhaupt eine Implementierung eingesetzt wird und egal, welche Implementierung für Web Single Sign-on eingesetzt wird.
Für das Upgrade auf das nächste Minor Release UCS 5.2 wird es aber eine Voraussetzung sein, in der UCS-Domäne die Nutzung von SimpleSAMLphp und Kopano Konnect durch Keycloak zu ersetzen – Mischumgebungen mit Keycloak und aktivem SimpleSAMLphp sind nur möglich, solange noch kein System auf UCS 5.2 aktualisiert wurde. Die notwendigen Schritte für die Umstellung auf Keycloak haben wir in einem Migration Guide dokumentiert, der auch beschreibt, wie dieser Prozess für Endanwender*innen unbemerkt umgesetzt werden kann.
Unsere Empfehlung ist daher:
- Wenn Sie momentan UCS mit SimpleSAMLphp nutzen, planen Sie bitte für die nächsten Monate die Migration auf Keycloak ein.
- Wenn Sie heute neue Umgebungen mit UCS aufsetzen, nutzen Sie von vorneherein Keycloak, um Dienste per Web Single Sign-on anzubinden.
Falls Sie Fragen zur Migration haben, stehen unseren Enterprise-Kunden die Supportkanäle und allen Nutzenden unser Help-Forum zur Verfügung.