Keycloak - Migration Nextcloud SSO

Schönen guten Abend,

UCS version is 5.0-5 errata885

ich habe die Migration auf Keycloak durchgeführt. Nun möchte ich das erste Service, in dem Fall Nextcloud dahingehende zum tun bewegen. Habe mich an die Doku gehalten.

Hab als erstes den Client in Keycloak angelegt:

univention-keycloak saml/sp create --metadata-url="https://darkdevil.osit.cc/nextcloud/apps/user_saml/saml/metadata"

Dann hab ich in der SSO Konfiguration im Webinterface Keycloak als neuen Proivder angelegt, damit die alte SAML Geschichte derweilen noch ihre Dienste tut.

Dort habe ich unter “Identifikationsmerkmal des Autorisierungsdienstes” dies eingetragen:

https://ucs-sso-ng.osit.cc/realms/ucs/protocol/saml/descriptor

Wie ich den Inhalt der nächsten Zeile “URL-Ziel des an den der Dienstanbieter dei Anmeldeanfragen…” hab ich schon nicht mehr eruieren können :crazy_face:
Beim Zertifikat hab ich das PubCA von UCS hinein kopiert. Sprich gleich wie bei Simple SamlPHP.

Wie geht man denn hier richtig vor?

Was ich auch nicht ganz kapiert habe… Die SAML Identity Provider, die bereits im UDM eingepflegt waren, sind die eigentlich noch von Belang? Weil da musst der User ja Mitglied sein, sonst funktionierte kein SAML PHP.

Vielen lieben Dank
lg

Hi Boospy,
ich habe genau das selbe gerade auch gemacht. Dazu gibt es bereits eine gute Anleitung unter
https://docs.software-univention.de/keycloak-migration/migration-examples/saml.html#nextcloud
bei mir hat das einwandfrei funktioniert.
Allerdings ersetzt es dir dabei SimpleSAML als IDP.
Wenn du aber Keycloak als zusätzlichen IDP hinzufügen willst, dann solltest du mit den Parametern dort weiterkommen.

2 Likes

Dank dir @haubi das hab ich voll übersehen. Und ja, hat sofort und perfekt funktioniert.

Weist du event. was die Option “role-mapping-single-value” tut? Weil ohne der funktioniert der Login nicht, und ich konnte in der GUI so eine Option auch nicht finden… :thinking:

hi boospy,
nein ich weiss nicht was das ist. Ich habe den Befehl einfach so abgeschrieben.
Ich kann dir auch nicht sagen ob die SAML Identity Provider, die bereits im UDM eingepflegt waren, noch von Belang sind. Ich hoffe das sich da sonst noch jemand dazu äussert.
Liebe Grüsse
Andy

Mastodon