Single Sign on für Familie

    Hallöchen,


    ein paar kennen das bestimmt - vom Hörensagen natürlich nur. So wie bei mir, von einem Freund eines Freundes oder so, er ein totaler Nerd ist... üüüüberhaupt keine Ahnung wie man auf die Idee kommen könnte, ist auch alles rein hypotetisch und betrifft natürlich garnicht mich, weil ich ja so nerdig nicht bin. Vielleicht. Ach, egal.


    Nehmen wir an, eine Person/Familie benutzt diverse Online-Dienste, z. B. eine Domain mit dem Familiennamen und E-Mail-Adressen dazu, irgendwie läuft eine Nextcloud-Instanz, irgendwo ein Dokuwiki, dann gibt es noch so etwas wie eine interne Webseite (Wordpress), usw. Wenn jetzt die Frau des besagten Freundes des Freundes das Passwort ändert, was sie natürlich angehalten ist regelmäßig zu tun, muss sie das pro Service individuell tun - und findet das recht nervig. Genauso wenn der Freund des Freundes einen neuen Service aufbaut (z.B. eine Jellyfin-Instanz für die Medien-Sammlung, oder Home Assistant, etc...), muss mseine Frau immer wieder neue Accounts angelegt bekommen anstatt einfach einen irgendwo vorhandenen Account nutzen zu können.


    Praktischerweise gibt es da an sich eine einfache Lösung für: Single Sign On. Wenn man jetzt aber danach sucht findet man hauptsächlich Enterprise-Grade Services, angefangen bei auth0 und Konsorten, eventuell stolpert man über die Möglichkeit für ein self-hosted Fusion-Auth mit Mandantenfähigkeit, etc, Keycloak, FreeIPA, LemonLDAP::ng, und so weiter.


    Möglichkeiten gibt es viele, aber alle wirken (oder sind, soweit ausprobiert) unglaublich kompliziert in der Einrichtung - und zu 99% schlichtweg absolut oversized für eine Familie. Jetzt könnte man diskutieren ob sich dies z.B. über vorhandene Infrastrukturen wie Google einrichten ließe, aber das hat halt den faden Beigeschmack der externen Abhängigkeit.


    Habt ihr Erfahrungen, Ideen, konkrete Vorschläge für eine Lösung, die man ein Familien-Grade Single Sign On realisieren könnte? Bestenfalls self-hosted, irgendeine Art von Web-basierter Authentifizierung sollte eigentlich reichen (OpenID, SAML; LDAP muss es nicht unbedingt sein), 2FA wäre wiederum eher ein must have... Oder gibt es vielleicht Erfahrungen mit, z. B., einem Wordpress-Plugin, was eine solche Funktionalität bereitstellt? (Darf auch ein DokuWiki-Plugin sein, oder was ganz anderes, muss ja nicht zwangsläufig n eigens dafür laufender Dienst sein...). Hat da jemand Erfahrungen dazu und würde sie teilen? Danke!!!


    Liebe Grüße
    Matthias

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

    Früher habe ich dafür ein zentrales LDAP verwendet, mit dem die Accounts verwaltet und die Services für auth angebunden wurden.


    Mittlerweile löse ich das mit authentik: https://goauthentik.io/


    Das ist wirklich ein netter kleiner Dienst, der unter anderem auth über LDAP, OpenID, SAML, ... anbieten kann. Gibt es mal einen webbasierten Dienst, der keine der zur Verfügung stehenden auth backends spricht, so kann authentik auch selbst als kleiner reverse proxy für solche Dienste einen Zugriffsschutz realisieren.


    Ich empfehle dir deshalb, dir mal authentik anzuschauen. Das ist im Vergleich zu anderen (Keycloak etc.) relativ einfach einzurichten.