Accéder au contenu.
Menu Sympa

libreassociation - Re: [LibreAsso] question sur LDAP/SSO

Objet : Liste de discussion pour le groupe logiciel libre et monde associatif (liste à inscription publique)

Archives de la liste

Re: [LibreAsso] question sur LDAP/SSO


Chronologique Discussions 
  • From: jeanluc.mahe AT laposte.net
  • To: libreassociation AT april.org
  • Subject: Re: [LibreAsso] question sur LDAP/SSO
  • Date: Mon, 21 Dec 2020 09:51:35 +0100 (CET)
  • Authentication-results: vip.april.org; dkim=pass (2048-bit key; unprotected) header.d=laposte.net header.i= AT laposte.net header.b="K1BoNTpQ"; dkim-atps=neutral
  • Message-context: email-message

 
Merci Laurent, j'ai oublié les vœux à tous. 
Comme toi, je souhaite de bonnes fêtes à tout le monde. Plein de bonnes choses pour 2021.

Et pour ‌être graphique, je joins la cible de notre architecture. Si certains ont des questions ou souhaitent tout simplement partager, ils peuvent m'écrire en direct.


 
Cordialement, Jean-luc
De : "Laurent Costy"
A : libreassociation AT april.org
Envoyé: lundi 21 Décembre 2020 09:34
Objet : Re: [LibreAsso] question sur LDAP/SSO
 

Bonjour Jean-Luc,

Merci beaucoup pour ce témoignage. Les plus techniciens de la liste y trouveront sans doute des points intéressants à creuser !

Bonnes fêtes de fin d'année à toutes et tous, Prenez soin de vous et des autres :)

Le 20/12/2020 à 15:20, jeanluc.mahe (jeanluc.mahe AT laposte.net via libreassociation Mailing List) a écrit :
‌Bonjour à tous, pour vous donner mon retour d'expérience à WebAssoc,
Dans une asso, il y a grosso modo 2 besoins :
 
  • Partager des infos sensibles (mot de passe d’une adresse mail gérée à plusieurs, compte d’un service particulier…). Pour cela, on peut avoir un fichier Keepass commun, utiliser ou installer un bitwarden (mais pas à la portée de tout le monde).

    De notre côté, nous utilisons l’appli https://apps.nextcloud.com/apps/passwords , il y a les extensions pour la saisie en automatique. On indique dans « partager » qui doit accéder. Quand qq’un part, on change le mot de passe.
     
  • Gérer les comptes dans les différentes applis, cela devient lourd dès qu’un nouveau arrive, X comptes à créer à chaque fois ! Pour éviter cela, on peut utiliser un annuaire LDAP ou installer un serveur KeyCloak, (mais idem pas à la portée de tout le monde).

    Comme déjà évoqué, je pense que « OpenIDConnect » est une bonne base (le truc de « FranceConnect »). L’idée est d’utiliser NextCloud en provider OIDC. Cela a été développé mais n’a pas été plus loin https://github.com/nextcloud/server/pull/12567. C’est dommage, NextCloud est déjà serveur OAuth, manque pas grand-chose.

    De notre côté, un bénévole a adapté le plugin https://wordpress.org/plugins/daggerhart-openid-connect-generic/ pour que ça juste marche entre NextCloud et WordPress et ensuite on partage la base «wp-users » tel que décrit ici https://dok.webassoc.org/doku.php?id=l_identification.
En synthèse, chacun avec son compte NextCloud :
  1. peut retrouver des identifiants partagés à plusieurs
  2. se connecter en SSO sur certains services (RocketChat, WordPress)
  3. utiliser ses identifiants pour d’autres (en attendant que 2 soit possible avec tous).

Ceci en prenant une instance NextCloud chez qq’un d’une part (chatons ou autre)  et ses applis Web chez un hébergeur d’autre part (NB : tout peut être fait chez le même).
sans installer ni maintenir un serveur d'identité (qui certes est la solution ultime).

Cordialement, Jean-luc
De : "Laurent Costy"
A : libreassociation AT april.org
Envoyé: lundi 14 Décembre 2020 10:17
Objet : Re: [LibreAsso] Ouverture du service benevalibre.chapril.org
 

Bonjour Vincent-Xavier,

je vais chercher et reviendrai déposer* le fruit de mes recherches sur la liste mais si tu as des références pour comprendre et appréhender ce qu'est LDAP et comment ça fonctionne, je suis preneur.

Librement

* n'hésitez pas à me relancer ou mieux pour celles et ceux de la liste que ça intéresse ou mieux à nourrir de de réfs ce fil :)

Le 13/12/2020 à 20:25, Vincent-Xavier JUMEL a écrit :
20201213192553.pc4gqxleag4eftyy AT april.org">
Le 12/13/20 décembre à 15:07 Vincent Calame a écrit
Je me suis souvent posé la question sur LDAP et tous les mécanismes
d'authentification unique, à savoir si cela vaut la peine pour des
associations. Je comprends bien l'intérêt d'un annuaire unique dans le cas
de YunoHost mais quand les outils existent déjà, c'est peut-être un
investissement trop complexe par rapport à l'enjeu. Nous avons ça à Parinux
mais c'est géré par quelqu'un dont c'est le métier par ailleurs. Sauf
erreur, il n'y en a pas à l'April.

Toute expérience sur la question est la bienvenue !

Honnêtement, gérer/déployer un annuaire LDAP, c'est très courant et ça
simplifie vachement les choses.

Par exemple, avec une solution comme SambaEdu (basée sur Samba), j'en ai un
«gratuit» qui contient les comptes élèves/professeurs/administratifs, et
c'est cool : d'autres outils comme NC peuvent s'interfacer dessus pour
récupérer des groupes, …

   
--
Pour connaître la configuration de la liste, gérer votre abonnement à la liste libreassociation et vos informations personnelles :
https://listes.april.org/wws/info/libreassociation
-- 
Laurent Costy
62 rue Doudeauville
75018 PARIS



--
Pour connaître la configuration de la liste, gérer votre abonnement à la liste libreassociation et vos informations personnelles :
https://listes.april.org/wws/info/libreassociation
   
--
Pour connaître la configuration de la liste, gérer votre abonnement à la liste libreassociation et vos informations personnelles :
https://listes.april.org/wws/info/libreassociation
-- 
Laurent Costy
62 rue Doudeauville
75018 PARIS



--
Pour connaître la configuration de la liste, gérer votre abonnement à la liste libreassociation et vos informations personnelles :
https://listes.april.org/wws/info/libreassociation



Archives gérées par MHonArc 2.6.19+.

Haut de le page