Vor wenigen Tagen hat ownCloud seinen Marketplace gestartet. Dieser gestattet die einfache und schnelle Installation von ownCloud Apps in ownCloud. Die privacyIDEA ownCloud App der NetKnights GmbH war eine der ersten verfügbaren Apps im Marketplace. Mit der privacyIDEA ownCloud App kann der Zugang zu einer ownCloud Installation um eine zentral verwaltete Mehr-Faktor-Authentifizierung erweitert werden. Die Authentisierungsgeräte der Mitarbeiter werden dabei im privacyIDEA Authentication Server verwaltet.
Installation der privacyIDEA ownCloud App
In ownCloud X erreicht der Administrator den integrierten Marketplace über der obere linke Menü.
In den Kategorien kann er nach “Security” filtern. Über den Vorteil einer zentralen 2FA-Verwaltung gegenüber der integrierten TOTP-App schrieb ich bereits im Security Insider.
Ein Klick auf den Titel der privacyIDEA ownCloud App bzw. “privacyIDEA Two Factor Authentication” zeigt die Details der App im Marketplace.
Der Administrator installiert mit Klick auf den blauen Knopf “Install” die App. Dies geht sehr schnell. Danach ist der blaue Knopf grau.
privacyIDEA ownCloud App konfigurieren
Nun muss die privacyIDEA ownCloud App noch konfiguriert werden.
Dazu geht der Administrator im rechten Menü auf Settings-> Additional und kann nun im Bereich privacyIDEA 2FA angeben, wo der privacyIDEA Server zu finden ist. Dazu gibt er die URL des privacyIDEA Servers an.
Achtung: Eventuell ist beim ersten Test der Haken bei “SSL Zertifikat überprüfen” zu entfernen. Natürlich sollte in einem produktiven Setup die SSL Zertifikate immer überprüft werden!
Dies ist nun schon alles, was der Administrator innerhalb von ownCloud tun muss.
Konfiguration in privacyIDEA
Wir gehen davon aus, dass Sie privacyIDEA entsprechend einer möglichen Installationsvariante bereits installiert haben. Im Folgenden binden wir die Benutzerverwaltung von ownCloud an privacyIDEA an, so dass der Administrator innerhalb von privacyIDEA allen Benutzern einen Token zuweisen kann.
Benutzerquelle definieren
Als erstes definiert der Administrator die ownCloud-Datenbank als Benutzerquelle. Dies macht er in Konfiguration->Benutzer.
Benutzer-Realm anlegen
Danach wird unter Konfiguration->Realm mit dieser Benutzerquelle ein Realm erzeugt. In unserem Beispiel heißt dieser “oc”.
Wenn der Administrator nun das Benutzer-Tab aufruft, sind die Benutzer aus ownCloud innerhalb von privacyIDEA sichtbar.
Token ausrollen
Nun kann der Administrator einen Benutzer auswählen, und diesem einen Token – bspw. einen TOTP/Smartphone-App – ausstellen. Alternativ können sich die Benutzer selber innerhalb von privacyIDEA anmelden und sich selber einen Token ausrollen.
privacyIDEA unterstützt viele unterschiedliche Tokentypen, so dass hier genau definiert werden kann, welchen Token jeweils ein Benutzer hat.
So kann der Administrator bzw. die IT-Abteilung an zentraler Stelle regeln, dass Benutzer für ownCloud einen zweiten Faktor verwenden müssen und welcher Faktor dies sein soll. Verloren gegangene Authentisierungs-Geräte sind ebenfalls kein Problem. privacyIDEA unterstützt viele verschiedene Möglichkeiten und Workflows, solche Szenarien abzubilden.
Anmeldung
Nun kann sich der Benutzer im ersten Schritt mit seinem ownCloud-Passwort und im zweiten Schritt mit dem von privacyIDEA verwalteten Authentisierungs-Gerät an ownCloud anmelden.
Für den produktiven Betrieb von privacyIDEA und der privacyIDEA ownCloud App benötigen Sie eine Subskriptions-Datei.
Viel Erfolg beim sicheren Anmelden!