ich evaluiere gerade Nextcloud als externe Plattform. Dafür will ich wie bei Owncloud eine SAML-Anbindung haben. Praktischerweise wird bei Nextcloud schon eine App dafür mitgeliefert.
Bei der SAML-Konfiguration von Nextcloud habe ich folgendes eingetragen:
Attribute to map the uid = uid
Identifier of the IdP entry = https://ucs-sso.top2.top1/simplesamlphp/saml2/idp/metadata.php
URL target of the IdP = https://ucs-sso.home.dg/simplesamlphp/saml2/idp/SSOService.php
Das Zertifikat habe ich natürlich auch eingetragen.
Aus der metadata.xml habe ich dann die UCS-Konfiguration konfiguriert:
Bezeicher = https://nextcloud.im.netz/nextcloud/index.php/apps/user_saml/saml/metadata
Antwort an diese URL = https://nextcloud.im.netz/nextcloud/index.php/apps/user_saml/saml/acs
Single Logout URL = https://nextcloud.im.netz/nextcloud/index.php/apps/user_saml/saml/sls
Format name id = urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Name des Attributs = uid
Der Rest ist denke ich unwichtig.
Beim Zugriff auf Nextcloud kriege ich dann aber leider folgende Fehlermeldung (ist es eigentlich möglich den SAML-Login optional zu machen?):
Das war der Zweitversuch. Beim Erstversuch war der Bezeichner nicht richtig gesetzt. Beim Zweitversuch habe ich dann vergessen das ganze auch zu aktivieren
Ich komme jetzt weiter. Momentan ist der Server leider derart lahm, daß das ganze nicht richtig testen kann. Aber ich hoffe die Einstellungen sind jetzt richtig. Sonst melde ich mich noch mal.
EDIT: Es funktioniert jetzt perfekt. Was so ein Haken alles ausrichten kann
Falls man die neue Attributübernahme (Name, E-Mail) von Nextcloud nutzen will, muß man diese auch per UCR freigeben. Beispiel mit cn und mailAlternativeAddress.
ucr set saml/idp/ldap/get_attributes='uid, mailPrimaryAddress, enabledServiceProviderIdentifier, cn, mailAlternativeAddress'
Kann man eigentlich auch ein Zertifikat im LDAP hinterlegen, mit dem Nextcloud als SP verifiziert werden kann?
wir versuchen ebenfalls gerade SSO mit Nextcloud einzurichten und kommen da nicht so recht weiter.
Wir erhalten jeweils folgende Fehlermeldung:
“Your account is not provisioned, access to this service is thus not possible.”
“Konto nicht bereitgestellt. Dein Konto wird nicht bereitgestellt. Der Zugriff ist daher nicht möglich.”
Unsere Einstellungen sehen wie bei Ihnen beschrieben aus.
UCS 4.2-3 errata256:
Nextcloud 12-0.4:
Beste Grüße und vielen Dank für Hilfe
Michel Smidt
Ich realisiere leider erst jetzt, daß die Meldung ja von Nextcloud kommt
Vielleicht ist das ja ein Bug von der Nextcloud SAML App. Denn eigentlich sollte gemäß den Einstellungen der Account erstellt werden, wenn er nicht existiert. Ich würds mal mit einen Account probieren, der in Nextcloud schon existiert bzw. einen mal manuell anlegen.