Nextcloud SAML extern

german
nextcloud
#1

Hallo,

ich evaluiere gerade Nextcloud als externe Plattform. Dafür will ich wie bei Owncloud eine SAML-Anbindung haben. Praktischerweise wird bei Nextcloud schon eine App dafür mitgeliefert.

Bei der SAML-Konfiguration von Nextcloud habe ich folgendes eingetragen:

Attribute to map the uid = uid
Identifier of the IdP entry = https://ucs-sso.top2.top1/simplesamlphp/saml2/idp/metadata.php
URL target of the IdP = https://ucs-sso.home.dg/simplesamlphp/saml2/idp/SSOService.php

Das Zertifikat habe ich natürlich auch eingetragen.

Aus der metadata.xml habe ich dann die UCS-Konfiguration konfiguriert:

Bezeicher = https://nextcloud.im.netz/nextcloud/index.php/apps/user_saml/saml/metadata
Antwort an diese URL = https://nextcloud.im.netz/nextcloud/index.php/apps/user_saml/saml/acs
Single Logout URL = https://nextcloud.im.netz/nextcloud/index.php/apps/user_saml/saml/sls
Format name id = urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Name des Attributs = uid

Der Rest ist denke ich unwichtig.

Beim Zugriff auf Nextcloud kriege ich dann aber leider folgende Fehlermeldung (ist es eigentlich möglich den SAML-Login optional zu machen?):

SimpleSAML_Error_MetadataNotFound: METADATANOTFOUND('%ENTITYID%' => '\'https://nextcloud.im.netz/nextcloud/index.php/apps/user_saml/saml/metadata\'')

Backtrace:
3 /usr/share/simplesamlphp/lib/SimpleSAML/Metadata/MetaDataStorageHandler.php:301 (SimpleSAML_Metadata_MetaDataStorageHandler::getMetaData)
2 /usr/share/simplesamlphp/lib/SimpleSAML/Metadata/MetaDataStorageHandler.php:318 (SimpleSAML_Metadata_MetaDataStorageHandler::getMetaDataConfig)
1 /usr/share/simplesamlphp/modules/saml/lib/IdP/SAML2.php:303 (sspmod_saml_IdP_SAML2::receiveAuthnRequest)
0 /usr/share/simplesamlphp/www/saml2/idp/SSOService.php:18 (N/A)
SAML für Nextcloud 13 konfigurieren
#2

Das war der Zweitversuch. Beim Erstversuch war der Bezeichner nicht richtig gesetzt. Beim Zweitversuch habe ich dann vergessen das ganze auch zu aktivieren :wink:

Ich komme jetzt weiter. Momentan ist der Server leider derart lahm, daß das ganze nicht richtig testen kann. Aber ich hoffe die Einstellungen sind jetzt richtig. Sonst melde ich mich noch mal.

EDIT: Es funktioniert jetzt perfekt. Was so ein Haken alles ausrichten kann :wink:

#3

Da jemand nachgefragt hat: Ja die ANbindung funktioniert (steht ja auch oben!). Auch mit dem neuen Nextcloud 11.

EDIT: Falls derjenige das liest: Weitere Fragen hierzu bitte hier im Forum stellen!

#4

Falls man die neue Attributübernahme (Name, E-Mail) von Nextcloud nutzen will, muß man diese auch per UCR freigeben. Beispiel mit cn und mailAlternativeAddress.

ucr set saml/idp/ldap/get_attributes='uid, mailPrimaryAddress, enabledServiceProviderIdentifier, cn, mailAlternativeAddress'

Kann man eigentlich auch ein Zertifikat im LDAP hinterlegen, mit dem Nextcloud als SP verifiziert werden kann?

#5

Hallo,

wir versuchen ebenfalls gerade SSO mit Nextcloud einzurichten und kommen da nicht so recht weiter.
Wir erhalten jeweils folgende Fehlermeldung:
“Your account is not provisioned, access to this service is thus not possible.”
“Konto nicht bereitgestellt. Dein Konto wird nicht bereitgestellt. Der Zugriff ist daher nicht möglich.”

grafik

Unsere Einstellungen sehen wie bei Ihnen beschrieben aus.
UCS 4.2-3 errata256:

grafik
grafik.png654x569 83.5 KB

grafik
grafik.png659x576 62.8 KB

Nextcloud 12-0.4:

grafik
grafik.png859x573 106 KB

Beste Grüße und vielen Dank für Hilfe
Michel Smidt

#6

Der Service muß am Benutzerkonto freigegeben werden.

#7

Hallo SirTux,

das hatten wir gemacht aber leider tut sich da nichts.

Gruß
Michel

#8

Ich realisiere leider erst jetzt, daß die Meldung ja von Nextcloud kommt :wink:

Vielleicht ist das ja ein Bug von der Nextcloud SAML App. Denn eigentlich sollte gemäß den Einstellungen der Account erstellt werden, wenn er nicht existiert. Ich würds mal mit einen Account probieren, der in Nextcloud schon existiert bzw. einen mal manuell anlegen.