Re: [LibreAsso] question sur LDAP/SSO

[jeanluc.mahe AT laposte.net]

‌Bonjour à tous, pour vous donner mon retour d'expérience à WebAssoc,
Dans une asso, il y a grosso modo 2 besoins :
 

• Partager des infos sensibles (mot de passe d’une adresse mail gérée à plusieurs, compte d’un service particulier…). Pour cela, on peut avoir un fichier Keepass commun, utiliser ou installer un bitwarden (mais pas à la portée de tout le monde).
  
  De notre côté, nous utilisons l’appli https://apps.nextcloud.com/apps/passwords , il y a les extensions pour la saisie en automatique. On indique dans « partager » qui doit accéder. Quand qq’un part, on change le mot de passe.
   
• Gérer les comptes dans les différentes applis, cela devient lourd dès qu’un nouveau arrive, X comptes à créer à chaque fois ! Pour éviter cela, on peut utiliser un annuaire LDAP ou installer un serveur KeyCloak, (mais idem pas à la portée de tout le monde).
  
  Comme déjà évoqué, je pense que « OpenIDConnect » est une bonne base (le truc de « FranceConnect »). L’idée est d’utiliser NextCloud en provider OIDC. Cela a été développé mais n’a pas été plus loin https://github.com/nextcloud/server/pull/12567. C’est dommage, NextCloud est déjà serveur OAuth, manque pas grand-chose.
  
  De notre côté, un bénévole a adapté le plugin https://wordpress.org/plugins/daggerhart-openid-connect-generic/ pour que ça juste marche entre NextCloud et WordPress et ensuite on partage la base «wp-users » tel que décrit ici https://dok.webassoc.org/doku.php?id=l_identification.

En synthèse, chacun avec son compte NextCloud :

1. peut retrouver des identifiants partagés à plusieurs
2. se connecter en SSO sur certains services (RocketChat, WordPress)
3. utiliser ses identifiants pour d’autres (en attendant que 2 soit possible avec tous).

Ceci en prenant une instance NextCloud chez qq’un d’une part (chatons ou autre)  et ses applis Web chez un hébergeur d’autre part (NB : tout peut être fait chez le même).
sans installer ni maintenir un serveur d'identité (qui certes est la solution ultime).

Cordialement, Jean-luc

De : "Laurent Costy"
A : libreassociation AT april.org
Envoyé: lundi 14 Décembre 2020 10:17
Objet : Re: [LibreAsso] Ouverture du service benevalibre.chapril.org
 

Bonjour Vincent-Xavier,

je vais chercher et reviendrai déposer* le fruit de mes recherches sur la liste mais si tu as des références pour comprendre et appréhender ce qu'est LDAP et comment ça fonctionne, je suis preneur.

Librement

* n'hésitez pas à me relancer ou mieux pour celles et ceux de la liste que ça intéresse ou mieux à nourrir de de réfs ce fil :)

Le 13/12/2020 à 20:25, Vincent-Xavier JUMEL a écrit :

20201213192553.pc4gqxleag4eftyy AT april.org">

Le 12/13/20 décembre à 15:07 Vincent Calame a écrit

Je me suis souvent posé la question sur LDAP et tous les mécanismes
d'authentification unique, à savoir si cela vaut la peine pour des
associations. Je comprends bien l'intérêt d'un annuaire unique dans le cas
de YunoHost mais quand les outils existent déjà, c'est peut-être un
investissement trop complexe par rapport à l'enjeu. Nous avons ça à Parinux
mais c'est géré par quelqu'un dont c'est le métier par ailleurs. Sauf
erreur, il n'y en a pas à l'April.

Toute expérience sur la question est la bienvenue !

Honnêtement, gérer/déployer un annuaire LDAP, c'est très courant et ça
simplifie vachement les choses.

Par exemple, avec une solution comme SambaEdu (basée sur Samba), j'en ai un
«gratuit» qui contient les comptes élèves/professeurs/administratifs, et
c'est cool : d'autres outils comme NC peuvent s'interfacer dessus pour
récupérer des groupes, …

   

--
Pour connaître la configuration de la liste, gérer votre abonnement à la liste libreassociation et vos informations personnelles :
https://listes.april.org/wws/info/libreassociation

-- 
Laurent Costy
62 rue Doudeauville
75018 PARIS

--
Pour connaître la configuration de la liste, gérer votre abonnement à la liste libreassociation et vos informations personnelles :
https://listes.april.org/wws/info/libreassociation