OAuth: NextCloud Login mit Hitobito ermöglichen

[kronn]

Als Hitobito-Nutzer, der auch Nextcloud nutzt
möchte ich mich bei NextCloud via hitobito einloggen
und Rolleninformationen übergeben können,
um die Berechtigung für alle meine Vereinsmitglieder konsistent verwalten zu können.

NextCloud kann mit dem OpenID User Backend die Authentication via OAuth z.B. gegen hitobito vornehmen.

Idealerweise kann man die hitobito-Rollen NextCloud so mitteilen, dass daraus NextCloud-Gruppen mit entsprechenden Berechtigungen werden.

Tech-Spec

• Ziel ist die zentrale Nutzer- und Berechtigungsverwaltung
• schöner Nebeneffekt ist, dass man nur noch seinen hitobito-Login braucht
• die initiale Verbindung (Providerconfig in hitobito und NextCloud, Gruppen in NextCloud) erfolgt manuell bis es so oft passiert, dass wir es dokumentieren und später automatisieren können.

ToDo

• NextCloud-Testinstanz bereitstellen, um Integration zu validieren
• Möglichkeit finden, um hitobito-Rollen an NextCloud weiterzugeben. (user_oidc mit PR 502)
• Rollen-Klassen erweitern, um Gruppenmapping zu unterstützen (ein bestimmte Rolle innerhalb einer bestimmten Ebene bekommt direkt Gruppenname zugewiesen)
• Gruppen erweitern, um Link zu NextCloud aufzunehmen (String nextcloud_url auf groups) (nur Layergruppen)
• OAuth-Scope hinzufügen, um die für NextCloud notwendigen Daten zurückzugeben.
• Doku hinzufügen, um tatsächliche Integration festzuhalten.
• Specs schreiben
• Mit angemessener Rolle "durchklicken"
• CHANGELOG-Eintrag unter "unreleased" unten hinzufügen

[kronn]

Dieser PR erscheint mir geeignet, einen Großteil unserer Wünsche abzudecken: nextcloud/user_oidc#502

[richardjubla]

Lieber @kronn & @ThomasEllenberger

Ich möchte das generelle "Interesse" durch die jubla anmelden.
Die FG Datenbank möchte die Story verfolgen um als Schar/Verein (Ebene/Gruppe) eine Verbindung zwischen jubla.db und einer eigenen Nextcloud Instanz (Standard Hosting) verbinden zu können. Vereinsmitglieder (db Profile) sollen sich aus der Datenbank direkt in Nextcloud anmelden können und dort sofort (oder mit minimalem Aufwand) ihre Berechtigungen vorfinden.
Der Vorstand/Leitung sollte so mit einem "Standard-Produkt" (Nextcloud) auf einfache weise für seinen Verein eine schlüsselfertige Dokumentablage/Dokumentbearbeitung und Kollaborationslösung anbieten können.
(Zeitrahmen offen, Inkrement 3/23 und 4/23 im Blick)

Bitte mit mir den Kontakt aufnehmen um ein mögliches Projekt zu besprechen/starten

[nchiapol]

@richardjubla Wir beim Cevi sind an dieser Story auch sehr interessiert. Für uns sind dabei aber nicht nur die Scharen sondern alle Ebenen relevant. Auch Kantone/Regionen und die nationale Ebene haben zum Teil eigene NextCloud-Instanzen für ihre Fachgruppen/Kurse/...

[richardjubla]

@richardjubla Wir beim Cevi sind an dieser Story auch sehr interessiert. Für uns sind dabei aber nicht nur die Scharen sondern alle Ebenen relevant. Auch Kantone/Regionen und die nationale Ebene haben zum Teil eigene NextCloud-Instanzen für ihre Fachgruppen/Kurse/...

Ich denke, wir sprechen hier vom gleichen Bedürfnis. Unsere Abgrenzung ist, dass jede Ebene (Verantwortung) für sich selbst funktioniert und es keine Ebene gibt (insbesondere nicht der Verband!), welcher die Zugriffe/Berechtigungen auf darunterliegende Gruppen/Ebenen vererbt.
Jede rechtliche Einheit (Verein) soll elbständig für seine eigene Nextcloud-Instanz zuständig sein. Der Verband wird/soll keine Infrastruktur zur Verfügung stellen, die Folgefragen und Abhängigkeiten hervorbringen würde.