SSO 与 SAML、Keycloak 和 Nextcloud
Posted
技术标签:
【中文标题】SSO 与 SAML、Keycloak 和 Nextcloud【英文标题】:SSO with SAML, Keycloak and Nextcloud 【发布时间】:2018-07-02 05:15:49 【问题描述】:我正在尝试将 Keycloak 设置为 IdP(身份提供者)和 Nextcloud 作为服务。我想设置 Keycloak 以显示 SSO(单点登录)页面。
我正在运行具有 Intel 兼容 CPU 的 Linux 服务器。正确的配置是什么?
Keycloak 将以https://kc.domain.com 运行 Nextcloud 将以https://nc.domain.com 运行【问题讨论】:
【参考方案1】:先决条件:
要使用此答案,您需要将domain.com
替换为您拥有的实际域。另外,将email@domain.com
替换为您的工作电子邮件地址。
假设您已安装并运行 docker 和 docker-compose。
使用 Docker 设置您的服务
除了 keycloak 和 nextcloud 我还使用:
nginx 作为反向代理 letsencyrpt 为子域生成 SSL 证书。我正在使用 docker 和 docker-compose 设置所有需要的服务。这就是docker-compose.yml
的样子:
version: '2'
nginx-proxy:
image: jwilder/nginx-proxy
restart: unless-stopped
ports:
- "80:80"
- "443:443"
volumes:
- "/etc/nginx/vhost.d"
- "./proxy-default.conf:/etc/nginx/conf.d/my-proxy.default.conf:ro"
- "/usr/share/nginx/html"
- "/var/run/docker.sock:/tmp/docker.sock:ro"
- "./le-cert:/etc/nginx/certs:ro"
labels:
com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"
letsencrypt-nginx-proxy-companion:
image: jrcs/letsencrypt-nginx-proxy-companion
restart: unless-stopped
depends_on:
- nginx-proxy
container_name: le-proxy-companion
volumes:
- "/var/run/docker.sock:/var/run/docker.sock:ro"
- "./le-cert:/etc/nginx/certs:rw"
volumes_from:
- nginx-proxy
keycloak:
image: jboss/keycloak
links:
- keycloak-postgres:postgres
ports:
- 8080:8080
volumes:
- ./keycloak:/opt/jboss/keycloak
environment:
- KEYCLOAK_USER=admin
- KEYCLOAK_PASSWORD=admin
- "PROXY_ADDRESS_FORWARDING=true"
- VIRTUAL_PORT=8080
- VIRTUAL_HOST=kc.domain.com
- LETSENCRYPT_HOST=kc.domain.com
- LETSENCRYPT_EMAIL=email@domain.com
keycloak-postgres:
image: postgres
environment:
- POSTGRES_DB=keycloak
- POSTGRES_USER=keycloak
- POSTGRES_PASSWORD=keycloak
nextcloud:
image: hoellen/nextcloud
environment:
- UPLOAD_MAX_SIZE=10G
- APC_SHM_SIZE=128M
- OPCACHE_MEM_SIZE=128
- CRON_PERIOD=15m
- TZ=Europe/Berlin
- DOMAIN=nc.domain.com
- ADMIN_USER=admin
- ADMIN_PASSWORD=admin
- DB_TYPE=mysql
- DB_NAME=nextcloud
- DB_USER=nextcloud
- DB_PASSWORD=nextcloud
- DB_HOST=nc-db
volumes:
- ./nc/nc-data:/data
- ./nc/nc-config:/config
- ./nc/nc-apps:/apps2
- ./nc/nc-themes:/nextcloud/themes
environment:
- VIRTUAL_HOST=nc.domain.com
- LETSENCRYPT_HOST=nc.domain.com
- LETSENCRYPT_EMAIL=email@domain.com
nc-db:
image: mariadb
volumes:
- ./nc/nc-db:/var/lib/mysql
environment:
- MYSQL_ROOT_PASSWORD=nextcloud
- MYSQL_PASSWORD=nextcloud
- MYSQL_DATABASE=nextcloud
- MYSQL_USER=nextcloud
我将我的 docker-files 放在一个文件夹 docker
中,并在这个文件夹中放置一个项目特定的文件夹。这里keycloak
。创建它们:
mkdir -p ~/docker/keycloak
在此文件夹中使用您喜欢的编辑器创建docker-compose.yml
-文件。启动服务:
cd ~/docker/keycloak
docker-compose up -d
稍等片刻,让服务下载并启动。检查一切是否正在运行:
docker-compose ps
如果服务没有运行。发出第二个docker-compose up -d
并再次检查。
配置 Keycloak,添加一个新的 Realm
打开浏览器并转到 https://kc.domain.com 。点击管理控制台。正如您在docker-compose.yml
中指定的那样,用户名和密码为admin
。
在页面的左上角,你需要创建一个新的Realm。点击Add
。输入 my-realm 作为名称。点击Save
。
单击Keys
-选项卡。查看RSA
条目。我们将需要复制该行的证书。点击Certificate
并将内容复制粘贴到文本编辑器以供以后使用。
为 Nextcloud 准备私钥和证书
打开终端并发出:
openssl req -nodes -new -x509 -keyout private.key -out public.cert
这会创建两个文件:private.key
和 public.cert
,我们稍后将需要它们用于 nextcloud 服务。
配置 Nextcloud
打开浏览器并转到 https://nc.domain.com 。正如您在docker-compose.yml
中指定的那样,用户名和密码为admin
。
您需要激活默认禁用的SSO & Saml Authenticate
。
重要提示从这里开始不要关闭您的当前浏览器窗口,直到设置经过测试和运行。如果您在一切正常之前关闭浏览器,您可能无法再更改 nextcloud 中的设置。在这种情况下,您需要停止 nextcloud- 和 nextcloud-db-container,删除它们各自的文件夹,重新创建它们并重新开始。
点击右上角的齿轮符号,然后点击+ Apps
-符号。现在在左侧看到一个带有条目Security
的菜单栏。点击它。您现在可以看到所有与安全相关的应用程序。点击SSO & SAML authentication
应用下方的Activate
按钮。
再次单击右上角的齿轮符号,然后单击Admin
。点击SSO & SAML authentication
。
使用以下值:
将 UID 映射到的属性:用户名 启用“对 Nextcloud 桌面客户端使用 SAML 身份验证(需要用户重新身份验证)” 将public.cert
的内容复制到“X.509 证书”字段中
将private.key
的内容复制到“服务提供商的私钥”字段中。
IdP 的标识符:https://kc.domain.com/auth/realms/my-realm
SP 将发送身份验证请求消息的 IdP 的 URL 目标:https://kc.domain.com/auth/realms/my-realm/protocol/saml
SP 将发送 SLO 请求的 IdP 的 URL 位置:https://kc.domain.com/auth/realms/my-realm/protocol/saml
IdP 的公共 X.509 证书:从 my-realm
的 Keys
选项卡从 Keycloak 复制证书。您需要在密钥前面添加 '-----BEGIN CERTIFICATE-----' 并在其末尾添加 '-----END CERTIFICATE-----'。
服务提供商数据:
属性,显示名称:用户名
属性,电子邮件地址:email
安全设置,启用以下选项:
指示是否将对该 SP 发送的 samlp:AuthnRequest 消息进行签名。 [SP 的元数据将提供此信息]
表示是否会对该 SP 发送的 samlp:logoutRequest 消息进行签名。
表示是否会对该 SP 发送的 samlp:logoutResponse 消息进行签名。
表示要求对此 SP 接收到的 samlp:Response、samlp:LogoutRequest 和 samlp:LogoutResponse 元素进行签名。
表示要求对此 SP 接收到的 saml:Assertion 元素进行签名。 [SP 的元数据将提供此信息]
检查Download metadata XML
按钮旁边是否有Metadata valid
单击Download metadata XML
-按钮。这会生成并发送一个 XML 文件。保存以供下一步使用。
配置 Keycloak,客户端
再次访问管理员控制台。点击Clients
,然后点击右上角的Create
-按钮。
在导入旁边,单击Select File
-按钮。选择您在 Nextcloud 的最后一步中创建的 XML 文件。
变化:
客户端 SAML 端点:https://kc.domain.com/auth/realms/my-realm然后点击Save
。
您将看到一个新屏幕。更改以下字段:
名称:Nextcloud 有效的重定向 URI:https://nc.domain.com/ * 点击Save
在标签Mappers
:
role list
(如果存在)上单击Delete
-按钮
点击Create
姓名:用户名
映射器类型:用户属性
属性:用户名
SAML 属性名称:用户名
SAML 属性名称格式:基本
点击Save
点击Create
姓名:电子邮件
映射器类型:用户属性
属性:电子邮件
SAML 属性名称:电子邮件
SAML 属性名称格式:基本
点击Save
点击Create
名称:角色
映射器类型:角色列表
角色属性名称:角色
友好名称:角色
SAML 属性名称格式:基本
单角色属性:开启
点击Save
配置Keycloak,添加用户
在左侧,点击Users
点击右上角Add users
设置以下值:
用户名:用户
电子邮件:user@domain.com
点击Save
在标签Credentials
:
新密码:用户
密码确认:用户
临时:关闭
点击Reset Password
会弹出一个窗口:
点击Change Password
试运行
以隐身/私密模式打开一个新的浏览器窗口。例如。对于 google-chrome,请按 Ctrl-Shift-N
,在 Firefox 中按 Ctrl-Shift-P
。 保持另一个浏览器窗口与 nextcloud 设置页面打开。否则你可能会把自己锁在外面。
使用隐身/私人浏览器窗口访问https://nc.domain.com。您将看到 keycloak 用户名/密码页面。输入user
作为名称和密码。您应该会看到 nextcloud 欢迎屏幕。
致谢
如果没有精彩的 http://int128.hatenablog.com/entry/2018/01/16/194048 博客条目,本指南就不可能完成。我用英文读过google-translator。 也感谢RMM。他的wiki entry 允许我为 nextcloud 创建正确的密钥并启用消息签名,从而改进了这个答案。【讨论】:
感谢您的精彩教程。不过,有一件事要提一下:如果您勾选"Enable "Use SAML auth for the Nextcloud desktop clients (requires user re-authentication)
,那么 Nextcloud 桌面客户端对我不起作用(卡在“重定向”屏幕上)。使用 ownCloud 客户端解决了这个问题,但给我们留下了另一个问题:用户每次退出客户端都必须重新进行身份验证,这真的很烦人。在 Windows 和 Ubuntu 18.04 上都会发生。 解决这个问题的方法就是不打勾。
@MadMike 您是如何将 Nextcloud 与 OIDC 连接起来的?
@srnjak 我还没有……还没有。我每天都在使用 nextcloud 和 keycloak+oidc 这两种技术。只是我在工作中私下使用nextcloud和keycloak+oidc。我在这里使用了 nextcloud+keycloak+saml 来获得一个完整的工作示例。那时我在工作中有更多的时间专注于sso的事情。不幸的是,从那以后这种情况发生了变化。它仍然是一个优先事项......以及一些新的优先事项:-|如果我可以建议:打开一个新问题并列出您的要求。我敢肯定,我不是唯一在这件事上有想法和专业知识的人。我保证会看一看。
Keycloak 4 和 nextcloud 17 beta:我没有预先指定的“角色列表”,我必须单击“添加内置”来添加“角色列表”。然后对其进行编辑并将“单一角色属性”切换为 TRUE。我猜默认情况下无论如何都会添加角色映射但不会显示。
不是专家,但您指定的 openssl cli 会创建一个在 1 个月后过期的证书。我添加了“-days 3650”以使其有效期为 10 年 openssl req -nodes -new -x509 -days 3650 -keyout private.key -out public.cert
【参考方案2】:
这里是 nextcloud 15/16 的略微更新版本:
打开浏览器并转到 https://kc.domain.com 。单击管理控制台。正如您在 docker-compose.yml 中指定的那样,用户名和密码是 admin。
在页面的左上角,您需要创建一个新领域。单击添加。输入 my-realm 作为名称。点击保存。
单击“键”选项卡。查看 RSA 条目。我们将需要复制该行的证书。单击证书并将内容复制粘贴到文本编辑器以供以后使用。 为 Nextcloud 准备私钥和证书
打开终端并发出:
openssl req -nodes -new -x509 -keyout private.key -out public.cert
这将创建两个文件:private.key 和 public.cert,我们稍后将需要它们用于 nextcloud 服务。 配置 Nextcloud
打开浏览器并转到 https://nc.domain.com 。正如您在 docker-compose.yml 中指定的那样,用户名和密码是 admin。
您需要激活默认禁用的 SSO 和 Saml Authenticate。
重要提示 从这里开始,在测试并运行设置之前不要关闭当前的浏览器窗口。如果您在一切正常之前关闭浏览器,您可能无法再更改 nextcloud 中的设置。在这种情况下,您需要停止 nextcloud- 和 nextcloud-db-container,删除它们各自的文件夹,重新创建它们并重新开始。
单击右上角的齿轮符号,然后单击 + 应用程序符号。现在在左侧看到一个带有条目安全性的菜单栏。点击它。您现在可以看到所有安全相关的应用程序。单击 SSO 和 SAML 身份验证应用下方的激活按钮。
再次单击右上角的齿轮符号,然后单击管理员。单击 SSO 和 SAML 身份验证。
使用以下值:
Attribute to map UID to:username
Enable "Use SAML auth for the Nextcloud desktop clients (requires user re-authentication)"
Copy the content ofpublic.cert into the 'X.509 Certificate'-field
Copy the content ofprivate.key into the 'Private key of Service Provider'-field.
Identifier of the IdP: https://kc.domain.com/auth/realms/my-realm
URL Target of the IdP where the SP will send the Authentication Request Message: https://kc.domain.com/auth/realms/my-realm/protocol/saml
URL Location of IdP where the SP will send the SLO Request: https://kc.domain.com/auth/realms/my-realm/protocol/saml
Public X.509 certificate of the IdP: Copy the certificate from Keycloak from the Keys-tab of my-realm. You will need to add '-----BEGIN CERTIFICATE-----' in front of the key and '-----END CERTIFICATE-----' to the end of it.
In Identity Provider Data:
Attribute, displayname: username
Attribute, email adress: email
Attribute, Quota: nextcloudquota
Click Download metadata XML and save the file for the next step.
Security Settings, enable the following options:
Indicates whether the messages sent by this SP will be signed. [Metadata of the SP will offer this info]
Indicates whether the messages sent by this SP will be signed.
Indicates whether the messages sent by this SP will be signed.
Indicates a requirement for the , and elements received by this SP to be signed.
Indicates a requirement for the elements received by this SP to be signed. [Metadata of the SP will offer this info]
Check there is a Metadata valid beside the Download metadata XML-Button
Click the Download metadata XML-Button. This generate and send a XML file. Save it.
配置 Keycloak,客户端
再次访问管理员控制台。单击客户端,然后单击右上角的创建按钮。
在导入旁边,单击选择文件按钮。选择您在 Nextcloud 的最后一步中创建的 XML 文件。
变化:
Client SAML Endpoint: https://kc.domain.com/auth/realms/my-realm
然后点击保存。
您将看到一个新屏幕。更改以下字段:
Name: Nextcloud
Valid Redirect URIs: https://nc.domain.com/ *
Click Save
在选项卡上很重要:
Click Delete-Button on the preassigned role list
Click Create
Name: username
Mapper Type: User Property
Property: username
SAML Attribute Name: username
SAML Attribute NameFormat: Basic
Click Save
Click Create
Name: email
Mapper Type: User Property
Property: email
SAML Attribute Name: email
SAML Attribute NameFormat: Basic
Click Save
点击创建
Name: Roles
Mapper Type: Role List
Role attribute name: Roles
Friendly Name: roles
SAML Attribute NameFormat: Basic
Single Role Attrubute: On
Click Save
点击创建
Name: nextcloudquota
Mapper Type: User Property
Property: nextcloudquota
SAML Attribute Name: nextcloudquota
SAML Attribute NameFormat: Basic
Click Save
配置Keycloak,添加用户
On the left side, click on Users
On the top-right, click Add users
Set the following values:
Username: user
Email: user@domain.com
Click Save
On the tab Credentials:
New Password: user
Password Confirmation: user
Temporary: Off
Click Reset Password
A Window pops up:
Click Change Password
【讨论】:
唯一的编辑是角色,对吗?我建议将其作为主帖的编辑。以上是关于SSO 与 SAML、Keycloak 和 Nextcloud的主要内容,如果未能解决你的问题,请参考以下文章
是否可以通过 KeyCloak 为一组 webapp 配置 2 个不同的 SSO (AD)?