📝 Zusammenfassung
openai-gpt-4o-mini
## HAUPTTHEMA
Im Video wird eine Open-Source Single Sign-On-Lösung namens Authentik vorgestellt, die es ermöglicht, verschiedene Software-Plattformen unter einer gemeinsamen Authentifizierung zu vereinen.
## KERNPUNKTE
• **Authentik** ist eine Open-Source-Lösung für Single Sign-On, die sowohl externe als auch interne Benutzer unter einem Dach zusammenfasst.
• Die Installation erfolgt auf Synology-Plattformen über die Kommandozeile und Docker, wobei ein Skript zur Konfiguration verwendet wird.
• Authentik unterstützt verschiedene Authentifizierungsprotokolle wie OpenID, SAML und kann mit verschiedenen Softwarelösungen integriert werden (z.B. Portainer, Synology DSM).
• Für die Integration ist es wichtig, separate DNS-Einträge und Reverse Proxy-Konfigurationen einzurichten, um eine SSL-gesicherte Verbindung zu gewährleisten.
• Benutzer können sich einmal anmelden und auf verschiedene Anwendungen zugreifen, ohne sich erneut anmelden zu müssen.
• Die richtige Konfiguration von Benutzern und Gruppen in Authentik wird als entscheidend für die Sicherheit und den einfachen Zugriff hervorgehoben.
## FAZIT/POSITION
Das Video bietet eine umfassende Anleitung zur Installation und Konfiguration von Authentik, um eine vereinfachte Benutzerverwaltung über ein zentralisiertes Authentifizierungssystem zu ermöglichen. Der Kanalbetreiber ermutigt die Zuschauer, das Video zu liken und den Kanal zu abonnieren, um weitere ähnliche Inhalte nicht zu verpassen.
hallo liebe Freunde meines Kanals im heutigen Video schauen wir uns was ganz interessantes an nämlich eine Single sign on Lösung namens authentic wir haben ja uns schon zahlreiche Stacks installiert andere Software und jetzt ist es Zeit das ganze mal unter einem Dach zusammenzufassen und dafür zu sorgen dass wir uns nicht an jedem Stück Software extra anmelden müssen das ist das eine und das andere ist der andere Vorteil ist dass wir in der Lage sind auch Software die gar kein vernünftiges B Management hat ebenfalls mit einer Authentifizierung zu versehen authentic ist wirklich cool es ist Open Source es gibt natürlich auch kommerzielle Varianten die Leute wollen auch irgendwo ihr Geld verdienen ist jaöig verständlich aber wir können es komplett unter unserer Regie installieren und natürlich auch konfigurieren wie W ganze machen natürlich nach meinem üblichen Rezept wir werden mcvelans verwenden und gleich vorab wer sich mit wv noch gar nicht auskennt wem das noch völlig fremd ist bitte dieses Video hier anschauen das ist mein ultimativer lefahen dazu wenn das angeschaut habt dann seid ihr nicht wirklich Experten für mvelance aber ihr versteht genau das was ich hier mache das nächste was wir verwenden werden ist natürlich die Kommandozeile ich habe versucht das das ganze mit pororter zu installieren ging überhaupt nicht und das das liegt wahrscheinlich eher an pororttainer und vielleicht auch an Synology an paar Ecken denn wir werden das eben auf unser bewerten syology Plattform installieren klar man könnte das auch auf einem raspberry P machen aber ich habe das jetzt natürlich auch mit meinen ganzen vorigen Videos immer auf gemacht also machen wir es hier auch gleich wieder so gut im nächsten Abschnitt schauen wir uns ein bisschen genauer an was das ganze ist auf der Webseite was es für Integrationen gibt und installieren das ganze und wir werden dann auch ein paar Applikationen unter authentic dann als Single Signer on Lösung konfigurieren bevor ich starte noch ein kleines Wort über meinen Kanal wenn euch dieses Video unterwegs gefällt oder wenn es euch was bringt dann wäre es ganz große klasse wenn ihr mir ein Like da lassen würdet denn das hilft dem Kanal ganz außerordentlich genauso wäre es auch nett wenn ihr mir ein Kommentar schreiben würdet denn auch das hilft mir zu verstehen wo es was euch interessiert wo der schuhrückt und so weiter aber da kann auch profitiert auch ein bisschen davon nicht finanziell aber eben in in Form von views Klicks und YouTube wird das dann auch weiter empfehlen natürlich wäre es auch wenn ihr es noch nicht habt sehr sehr schön wenn ihr jetzt die Chance nutzen wirürd auf Abonnieren zu klicken das kanalab kostet euch kein Cent ist vollkommen kostenlos und wenn ihr dann auch noch die Glocke aktiviert dann verpasst ihr keins von meinen zukünftigen Videos dann gibt es außerdem noch patreon Mitgliedschaften für die absoluten Fans meines Kanals schaut es euch an unten in der Videobeschreibung ist der entsprechende Link und natürlich ihr könnt mich buchen wenn ihr z.B authentic bei euch installiert haben möchtet oder ein anderes Stück Software ich habe für ja privat Personen aber auch für kleine Unternehmen bereits sehr sehr erfolgreich paperless implementiert auch andere interessante Software wie wwen haben wir installiert und konfiguriert und nutzbar gemacht auch in mittelgroßen Umgebungen also wer sich dafür interessiert da gibt's ebenfalls einen Buchungslink unten in der Videobeschreibung schaut euch an jetzt geht's aber zum ersten Abschnitt dieses Videos authentic nämlich was ist es was kannst und was sind die Grundvoraussetzungen viel Spaß dabei wie gerade gesagt schauen wir uns jetzt an was authentic eigentlich ist dafür gehen wir auf die Webseite von den Entwicklern und ist natürlich auf Englisch aber ihr seid ja schon mittlerweile Profis was das betrifft authentic ist eine Plattform mit der man externe und interne User unter einem Dach zusammenfassen kann und hier ist so ganz kurz Abriss auf von den von den Vorteilen aber im Wesentlichen wird's hier erklärt what ist authentic das ist sozusagen also das strotz natürlich von von fachworter Wörtern es ist ein identity Provider das heißt wenn ich mich da in authentic ein wenn ich in Authentik einen einen Anwender ein User erzeugt habe dann ist das sozusagen Identität und ich kann mit diesem einzelnen User wenn ich das entsprechend konfiguriert habe mich an allen möglichen plformen anmelden das muss man natürlich einrichten und dabei wenn man das macht dann stehen dann so solche auf der authentic Weboberfläche entstehen solche Kacheln und die kann man anklicken und dann wird man wenn man noch nicht angemeldet ist eben angemeldet einmal ein einziges Mal pro Sitzung und das ist dann gültig für alle Applikationen die Applikation selber die erschein dann eben so dass sie hier sieht man eben diese diese Kacheln das da chein dann eben da erscheint dann eben eine eine anmeldeoberfläche viele Applikationen geben immer noch die Möglichkeit sich klassisch anzumelden mit deren eigener useridentifizierung aber dann gibt es eben auch dann Anmeldung mit eben open ID oder sammel oder Wasmer schauen wir noch ganz kurz an was authentic so im Vergleich zu anderen Stücken Software so so kann und natürlich ist es ein bisschen na ja beeinflusst ich würde es ja auch machen aber wenn man das hier so ein bisschen vergleicht ist authentic natürlich der der absolute Brenner im Vergleich zu anderen open Sense open Sense sage ich schon Open Source [Musik] ID Providern z.B Keylock ist ziemlich verbreitet oder Octa oder eben authalia die anderen sind kommerziell Microsoft natürlich und du genau so und da seht ihr eben was hier in der Matrix was die einzelnen Stücke dann und ich finde das hier eben ziemlich interessant dass wir eben z. auch SAML haben und oidc und dann natürlich auch das sind so diejenigen die am meisten eigentlich so vorkommen die die meisten Stücke Software auch mitbringen z.B auch syology oder portainer und das schauen wir uns natürlich auch genau an gut hier seht ihr eben diese Matrix und ja schaut euch auch mal an hier ist eben auch die die entsprechende Webadresse ich lasse euch das natürlich auch alles äh Adressen und Script und so weiter wie üblich unten in der Videobeschreibung zum Download bzw zum eben auch ansteuern gut also was brauchen wir was was ist denn hier eigentlich zu für von unserer Seite zu tun hier gibt es zwei interessante Abschnitte schauen wir zunächst mal auf integrations denn das ist ja auch der Punkt wo wir dann lernen welche anderen oder welche Software wir anbinden können das B Teilen ich hier recht interessant auf in was für in gewisse Kategorien fangen wir mal hier oben an bei Chat communication collaboration da seht ihr da gibt es verschiedene Stacks und Wikis die man anwenden kann dann natürlich nextcoud für manchen einen interessant dann sehr wichtig pepperless NGX und noch ein paar andere dannaub Provider natürlich ich kann meinen Amazon Account anbinden z.B Azure fehlt jetzt noch dann gibt es noch Dashboards da ist momentan nur eines drin dann hyperweises und orchestrators da haben wir z.B portainer da gehen wir dann auch gleich hinein und werden das Anwenden dann Infrastruktursysteme das ist schon eine ganze Menge was hier was ich hier tummelt z.B auch open Sense die können wir praktisch dann auch einbenden und mit Single sign on uns dann drauf auch durchhangeln und hier unten haben wir syology nämlich unser DSM und wenn man DSM natürlich hat d hat man die ganze Spektrum von Synology eigenen Apps natürlich auch abgedeckt und das ist mega cool dann haben wir noch verschiedene andere Software hier seht ihr es das sind im Wesentlichen so Sachen wie wie Download Manager und so weiter aber auch beispielsweise home assistant W also eine home ass Umgebung für sich aufgebaut hat der kann das hier auch einhängen dann Monitoring Plattformen da gibt's auch einiges gfana beispielsweise aber auch uptimeim Kuma und viele von euch haben ja schon gesagt was mache ich denn da uptimeim Kuma hat keine vernünftige userauthentifizierung das praktisch ist hier die Lösung dafür dann kann man hier auch noch verschiedene Plattformen anbinden hier haben wir z.B body Base da gibt's auch ein Video von mir dazu könnt ihr hier anschauen und wer mag kann es dann auch und no nutzt kann auch hier mit authentic dann verknüpfen versionskontrollsysteme das ist im Wesentlichen giitub und gitlab und wer da aktiv ist der kann natürlich auch authenti dafür nutzen gut das war jetzt der Abstecher in die Integration jetzt natürlich interessiert uns was müss wir tun um das ganze zu installieren und authentic will gerne in Docker hinein und oder Benes in dem Fall und dafür gibt's einen recht gut beschriebenen installationsleitfaden ihr habt das schon und Doc compose Installation ist hier gemacht da gibt sogar ein Video dazu ist halt auf Englisch aber kein Thema wir ich zeige euch jetzt im einzelnen wie das hier funktioniert hier ist das Script das wir verwenden werden wir installieren uns wieder mal eine postgql Datenbank wir legen wert das das hier auf Version 16 ist damit wir auch hier langfristig Spaß dran haben und dann was ihr hier drin anpassen müsst das sind natürlich die volumes ganz klarer Fall und die IP-Adressen die IP-Adressen natürlich gemäß dem mcven das ihr angelegt habt und das ist natürlich hier bei postgrisql zu machen dann haben wir ein redescontainer das ist im Prinzip unser Cash aber wir persistieren die cashden also auch hier müsst den modiums entsprechend anlegen und die IP-Adresse anpassen und dann haben wir die serverkponente das habe ich jetzt mal gepintnt auf die 2422 Version weil ich keinen keine Überraschung erleben will dass man das aus Versehen upgradet denn es ist natürlich wichtig gerade wenn man eben so eine single time on Geschichte hat dass sie stabil ist und deswegen ist es besser die manuell zu zu pinnen wie man das so so schön sagt und in dem Fall eben auf diese Version wer es dann entsprechend upgraden will der kriegt das mit entweder über so Tools wie Dion Video hier oder eben hier auf der authentic Webseite da sieht gibt's nämlich so einen Abschnitt News und wenn man hier sieht okay ich habe hier neues Release kann man hier reinschauen und dann ist es ganz wichtig eben zu zu schauen was hat sich denn verändert ja es ist den habe ich hier mit Inkompatibilitäten oder neuen Features zu rechnen die mich überraschen würden und wenn es eben damit zu rechnen ist dass es Überraschungen gibt sollte man sich auf jeden Fall eine Testplattform installieren und das erstmal durchprobieren bevor man dann die produktive Seite dann upgradet okay aber gehen wir zurück zum Skript hier haben wir eben die Serverkomponente wie gesagt gepintt dann haben wir hier das Thema environment am besten so lassen wie es ist dann hier die volume Mappings wiederum Anpassen an eure Gegebenheiten bzw anlegen und hier die IP-Adressen ebenfalls entsprechend anpassen dann gibt es einen worker das ist im Prinzip das Ding was die ganze Arbeit verrichtet aber das bleibt im back im im Hintergrund das hat keine keine Weboberfläche oder sonst irgendwas wir arbeiten mit dem Server und der worker der schafft praktisch im Hintergrund auch hier wieder bitte entsprechend dafür sorgen dass ihr die volumes volume Mapping anpasst und gegebenenfalls auch anlegt IP-Adresse nicht vergessen und hier unten natürlich den Namen eures mercvin entsprechend auch korrigieren dann das heißt bei euch wahrscheinlich nicht MVL b210 gut jetzt gibt's noch eine stackdatei wie wir mit der umgehen das seht ihr gleich denn ich referenziere hier Punkt enf ich habe schon gesagt wir können das nicht mit portainer deployen wir müssen es die Kommandozeile machen und wie das im einzelen geht ist keine Hexerei kriegen wir alles hin so jetzt hier stack.nf hier ist sie und auch hier auch hier müsst ihr ein paar Kleinigkeiten anpassen hier eben die IP-Adresse von eurem redish Host und hier die IP-Adresse von eurem Datenbank jetzt noch eine Kleinigkeit hier zum authentic secret da legen die ganz großen Wert drauf dass man das richtig macht und dafür gibt's dann auch hier eine entsprechende Beschreibung wie das geht nämlich unter Installation do compose Installation und das ist im Prinzip super super einfach ihr könnt im Prinzip sobald ihr meldet seid auf eurer syi dieses diesen Befehl ausführen und ich zeige euch sofort wie das geht und jetzt natürlich wieder in die fil Station reingehen in das dockerverzeichnis und wie immer das dockerverzeichnis entsteht automatisch sobald ihr den containermanager auf syology installiert jetzt geht ihr auf erstellen Ordner erstellen vi üblich und dann gibt ihr einfach den Namen authentic ein dann rein in dieses Verzeichnis und jetzt könnt ihr natürlich im entsprechenden compos File nachschauen was brauche ich denn hier also fangen wir mal bei der Datenbank an wir brauchen ein Verzeichnis für database also erstellen Ordner erstellen database wieder zurück dann für Redis brauchen wir ein Unterverzeichnis heißt redes erstellen ordn erstellen redes und dann eins für Media und eins für custom templates nicht vertippen sonst funktioniert nachher nicht gut und jetzt gehen wir noch zum worker runter und schauen ob wir da noch was zusätzliches genau wir brauchen noch ein Verzeichnis heißt zZ von die für die Zertifikate gut damit haben wir das wenn ihr den genauen Pfad braucht um das zu überschreiben in dem in dem entsprechenden compost File jetzt dann geht ihr z.B jetzt auf das zertifikatsverzeichnis geht auf Eigenschaften und dann findet ihr den absoluten Pfad hier unter Ort das kopiert ihr einfach in die Zwischenablage und dann geht markiert praktisch bis zum Doppelpunkt und pastet das da drüber links vom Doppelpunkt das können wir beeinflussen rechts vom Doppelpunkt das ist wie es im Container aussieht später und da haben wir keinen Einfluss drauf oder nur sehr sehr wenig jetzt das ganze bitte speichern damit die schöne Arbeit nicht verloren geht und jetzt gehen wir zurück auf das unsere in V Datei und gehen noch durch den Rest durch wir haben hier noch einen ab Schnitt für E-Mail den Versand von E-Mails das ist ganz wichtig das brauchen wir nämlich unter Umständen oder brauchen wir natürlich um z.B Passwort rücksetzungs E-Mails und sonstige Sachen zu verschicken und deswegen würde ich empfehlen tragt das ein was ihr hier von eurem Provider E-Mail Provider bekommen habt ist an sich keine Hexerei und jeder der schon mal E-Mail klein konfiguriert hat weiß genau was wo einzutragen ist wirklich nicht schwierig gut das ganze muss jetzt natürlich irgendwie auf die Synology rüber und ich würde vorschlagen ihr schnappt euch euren Explorer oder euren Finder und zieht praktisch dann einfach aus eurem Verzeichnis diese Sachen in das authentic Verzeichnis hinein und da von da aus werden wir das Ganze gleich dann installieren so jetzt nehmt ihr einfach dieses Docker compose. yml und zieht das hier rüber das gleiche macht jetzt mit der stack.env Datei einfach auch da drüben ablegen und jetzt müsste die stack. ENV Datei umbenennen rechter Mausklick auf den Namen dann umbenennen auswählen und einfach Stack vor dem Punkt wegnehmen so wie ich es gerade gemacht habe und auf okay klicken jetzt habt ihr das ganze hier auf eurer Maschine jetzt gehen wir zurück auf die Kommandozeile dann CD ls- jetzt brauchen wir natürlich noch diesen secret key und den bekommen wir über diese Zeile hier und ich markiere das mal hier einfach nur bis zu dem letzten Hochkommas tu das in meine Zwischenablage rein und dann gehen wir zurück auf die Kommandozeile und Pasten das einfach mal rein und hier ist unser authentic secret key den markieren wir jetzt z so wie ich gerade und ab in die Zwischenablage damit jetzt geht ihr zurück auf eure Synology so jetzt wie kriegen wir das hier in unsere ENV Datei rein dafür öffnet ihr euren euren Texteditor der ist bei mir hier manchmal muss man die Sachen einfach ein bisschen Suchen wer den noch nicht installiert hat der Krieg geht einfach über die das Paketzentrum klickt auf alle Pakete und dann einfach über auf Editor enter hier oben und dann könnt ihr den schon installieren hier ist er jetzt und um unsere Datei zu editieren geht ihr einfach hier in die in die fil Station rein und zieht das rüber und dann ist es schon offen jetzt geht ihr hier auf authentic secret key markiert das Ganze bis hinter das ist Gleichzeichen und jetzt einfach aus der Zwischenablage reinpasten und schon ist es da eine Kleinigkeit zur Länge dieses Keys die was die hier schreiben das ist praktisch die Länge 36 wenn man das jetzt installiert meckert das äh merard authentic dann rum beim Start dass dieser secret Key nicht lang genug ist also zeige ich euch jetzt ein Trick wie man wie man das ä wie man das hier eine längere äh Kombination rausholt dafür geben wir einfach diesen Befehl noch mal ein und dann ersetzt ihr 36 einfach durch 50 dann ist es Ding glücklich einfach wieder Enter drücken und jetzt seht ihr hier jetzt geht das über zwei Zeilen warum ist mir ein Rätsel aber das ist in dem Fall halt so das mag auch jetzt nur auf dem Mac so sein aber auch wieder das ganze markieren und in die Zwischenablage tun dann geht ihr wieder zurück auf eure syology und Paste das hier oben drüber jetzt habt ihr natürlich wieder dieses return da drin aber einfach an an den Anfang dieser Zeile setzen Backspace also löschen Taste drücken und schon passt das Ganze also hier habt ihr dann diesen secret key drin also bitte dran denken dieser secret Key ist enorm wichtig und muss immer für eure Installation neu erzeugt werden denn da werden praktisch mit die ganzen passwörte und die ganzen vertraulichen Sachen innerhalb von Authentic mit verschlüsselt okay also dann das ganze speichern und wir haben es erledigt ihr seht das hier am Timestamp dass wir hier aktuell sind jetzt muss das ganze natürlich noch auf unserer Maschine installiert werden und dafür benutz wir wieder unsere Kommandozeile ich drück mal die Kombination control l das macht den Bildschirm frei damit ihr auch wirklich seht was hier jetzt gerade passiert die Sache mit Docker auf syology ist die dass wir Docker immer oder den containermanager immer mit rout bedienen müssen also mit höchsten auutentifizierungsrechten und das holen wir uns mit dem sudo Befehl und das ganze ist dann folgendermaßen zu machen ihr müsst also sicherstellen dass ihr im authentic Verzeichnis drin seid sonst funktioniert das Ganze was ich Euch jetzt zeige nicht und dann gibt ihr ein sudo Docker bcose ab - D was macht das Ganze und was ist hier komisch also komisch ist zumindest mal dass wir bei syy noch dieses B diesen Bindestrich hier brauchen auf allen anderen Plattformen wo man neuere und fehlerfrei Docker Installationen vorfindet braucht man das nicht mehr wieder hier ein Appell an syology bitte sorgt endlich dafür dass wir eine aktuelle Version von Docker bekommen denn das was ihr uns hier ausliefert ist steinalt und das macht Probleme allmählich gut vorbei jetzt geht's weiter also auf braucht wir diesen Bindestrich wenn ihr auf einem Linux seid z.B auf Ubuntu oder sonstige braucht ihr diesen windstrich nicht was macht es bringt praktisch den diesen Stack hoch es Stör diesen Stck und D heißt detach das heißt wir bleiben nicht auf dieser kommandozeahile festgefressen sondern der do compost geht in Hintergrund und lässt uns praktisch wieder freie Hand mit unserer Kommandozeile wenn ihr das jetzt auf dem Weg schickt ist es wahrscheinlich bei euch so dass zunächst mal sämtliche images Docker images geladen werden da wird also praktisch PostgreSQL Version 16 runtergeladen es wird Redis runtergeladen es und es wird authentic runtergeladen und es sind alles ziemlich dicke Brocken und deswegen kann das eine Weile dauern aber schick mir das ganze mal ab ab und schauen was passiert wir müssen also zunächst mal unser Passwort eingeben das unser eigenes und da ich das dann natürlich schon mal probiert habe sind die ganzen images schon auf meiner Maschine drauf deswegen ging das gerade so schnell und ihr seht hier ihr seht habt gerade gesehen da kam eine Meldung von von von dem containermanager dass hier irgendwas nicht stimmt und das können wir uns natürlich jetzt genau anschauen und wie geht das das geht über sudo Docker compose Logs - F und hier seht ihr wie das Ganze vor sich hin wkelt und das dauert eine ganze Weile also ihr könnt euch jetzt hier zurücklehen und euch diese Sachen hier in Ruhe anschauen ich ma das mal bisschen breiter damit wir auch noch ein bisschen Freude an der ganzen Geschichte haben und ihr seht hier da ist eine ganze Menge unterwegs und also nach meiner Erfahrung dauert es bis zu 5 Minuten bis man hier dann die Meldung bekommt dass hier alles in Ordnung ist und natürlich ist der authentic Server jetzt ein bisschen unglücklich ja der ist muss warten bis der authentic worker seine Arbeiten hier erledigt hat und das ist ein bisschen tricky aber mit Geduld ist das natürlich alles soweit okay jetzt komm meldet sich zwischendrin der Server natürlich auch und da werden praktisch die ganzen datenbankchemat werden alle samt angelegt und die Grundlagen Daten werden in das System reingeheft wir können ja mal zwischenzeitlich nachschauen ob unsere in was fürm Status sich unsere einzelnen Container befinden dafür gehe ich mit control C aus diesem aus diesem logvwer raus und jetzt gebe ich den Befehl sudo Docker PS ein und jetzt sehe ich im Prinzip alle meine Docker Container wie sie laufen und wir haben hier unser unsere Datenbank die ist im Status healthy dann haben wir Redis das ist auch healthy dann haben wir ja authentic unsere beiden Prozesse einmal den worker das ist der hier der steht auch momentan auf healthy und den Server ebenfalls gut jetzt können wir es wagen so ermählich uns Authentik zu nähern aber jetzt würde ich noch ein paar Sachen vorher schicken nämlich einen lokalen DNS aufzusetzen das Thema DNS habe ich ja schon in einigen Videos behandelt das ist eine ganze Reihe von von Videos wo es drum geht phole unbound und den syology DNS ans Leben zu bekommen und zu konfigurieren da erkläre ich auch die ganzen Hintergründe und das erste Video findet ihr hier bitte anschauen falls euch das noch nicht sagt ich habe schon den lokalen DNS für syology installiert den findet ihr ebenfalls im Paketzentrum einfach hier das Wort DNS eingeben und da findet ihr das dann hier bei mir kommt jetzt natürlich der Button öffnen wenn ihr noch nicht installiert habt ist es natürlich erstmal installieren oder install je nachdem und da muss eben müssen eben so ein paar Sachen hinein und das habe ich hier für uns schon mal vorbereit ich habe hier ein Rekord für meinen authentic Container bzw für für mein authentic angelegt und zwar verweist der und das seht ihr hier lustigerweise auf meine Synology denn ich habe dann hier auch sofort noch einen alles zumachchen ein Reverse Proxy angelegt den findet ihr hier im anmeldportal unter Erweitert Reverse Proxy und hier haben wir authentic Demo habt ihr vorhin gesehen das ist ja im Prinzip meine mein neuer Container den ich gerade erzeugt habe und der kommt mit diesem Hostnamen auf unsere syology ich will das mit https machen also kommt auf Port 443 rein und wird weitergeleit auf meinen entsprechenden Container das findet ihr unter dem Abschnitt Server in eurem docer compose jammelfile und der Port ist 9443 damit haben wir im Prinzip eine saubbere interne Weiterleitung auf unseren auf unseren authentic Server das hat nämlich den riesen Vorteil dass wir nämlich die SSL Zertifikate von unserer bzw von unserem Reverse Proxy benutzen können und falls ihr euch da nicht sicher seid ob das tatsächlich der Fall ist da geht ihr eben hier auf das Thema Sicherheit geht auf Zertifikat und dann auf Einstellungen und dann sucht ihr euch euren Reverse Proxy raus hier ist authentic Demo und der verwendet das Zertifikat von navigio.io und das ist dieses hier das habe ich mit dem Script sh.sh konfiguriert da auch dafür gibt's ein Video nämlich hier und wenn ihr das so nicht machen wollt könnt ihr natürlich das ganze über synology.me machen da gibt's eine ganz komfortable wer ein ganz komfortablen Weg sich eben auch KZP Zertifikate zu erzeugen das ganze über. me zu machen aber ich habe euch jetzt mal gezeigt diese Geschichte mit dem Reverse Proxy das brauchen wir jetzt auch gleich damit wir hier gescheit mit Hostnamen um uns werfen können und nicht mit IP-Adressen und das wird IP-Adressen führen jetzt nur noch ins Chaos ja diese Geschichte mit Single signon funktioniert am besten mit Hostnamen und hier habe ich euch eben einen Anstoß gegeben wie ihr das intern für euch umsetzen könnt gut wer den son DNS nicht verwenden möchte der kann das natürlich auch mit der DNS Variante von Pho machen der bietet nämlich auch lokalen DNS an und da kann man auch seine a Records und seine CNES also seine seine ja Host Records und seine Aliase so heißt es glaube ich bei den entsprechend einrichten auch super einfach aber nach wie vor empfehle ich den Weg dann über ein Reverse Proxy damit ihr auch authentifiziert mit SSL auf Auen authentic dann zugreift weil was bringt mir die beste SSO Software wenn ich keine Verschlüsselung hab gut das habt haben wir jetzt also auch im Griff und wir können uns jetzt im Prinzip der Konfiguration von Authentic zuwenden und uns umschauen wie es da auf dem User Interface zugeht und das machen wir im nächsten Abschnitt die ganzen Vorbereitungen sind jetzt abgeschlossen wie gesagt können wir jetzt den nächsten Schritt gehen und uns an authentick erstmal anmelden da gibt's eine kine eine Angelegenheit nämlich schauen wir rüber auf die Installationsanleitung wenn man hier nach unten scrollt bis zum Punkt Startup dann das haben wir ja gemacht hier dann müssen wir hier diese Zeile hier berücksichtigen start the initial Setup navigate to und so weiter und so weiter hier wandel ich das ein bisschen ab wir haben ja das ganze schon mit unserem Reverse Proxy entsprechend eingerichtet wir haben https und so weiter schon erledigt damit ist im Prinzip auch dieser Port nicht ganz korrekt nämlich das wäre 9443 und da vorne müsste halbs hin aber wichtig ist hier der schon hinterlegte hintere Teil nämlich der Link zum initial Setup machen uns also hier mal schnell einen weiteren Tab auf und gehen hier auf das entsprechende auf den entsprech auf die entsprechende Seite und hier müssen wir praktisch unseren Admin User erstmal mit einem Passwort versehen und einer E-Mailadresse das was dahinter sich verbirgt das ist im Prinzip hier kurz erklärt to set password for the AK Admin User also diesen AK Admin den gibt's den gibt's schon und jetzt müssen wir eben entsprechend den mit einem Passwort versehen und das mache ich jetzt einfach mal mit einer hypothetischen E-Mailadresse die ist jetzt erstmal egal da will ich ja auch nichts hinschicken erstmal wenn ihr das dann in Produktion umsetzt muss es natürlich eine E-Mailadresse sein die tatsächlich existiert demo@navigio.ioo da können ihr nichts hinschicken die Adresse gibt es tatsächlich nicht dann das Passwort so und dann könnt ihr auf continue klicken und schon geht die Sache auf die Reise ihr könnt das Passwort natürlich jetzt speichern oder auch nicht das ist euch überlassen ich mache mal mit Safe password weiter und hier ist im Prinzip das Userinterface von authentic wir haben keine Applikationen und so weiter und so weiter ist jetzt auch tatsächlich so aber schauen wir uns doch mal hier ein bisschen um hier gibt es nämlich dieses admin interface und hier habt ihr so eine Art Dashboard da sieht man auch wie so der Status der ganzen Applikation ist hier seht ihr was ich gerade so gemacht habe das ist ja ein paar Sekunden her erst und wo ich herkomme und hier dann auch eine Statistik mit den Logins und so weiter und so weiter jetzt natürlich noch alles leer weil noch nichts passiert ist okay dann haben wir hier drüben unsere verschiedenen unsere verschiedenen Menüs wichtig ist natürlich dass wir jetzt erstmal diesen AK Admin User ergänzen um einen vernünftigen Admin User dass wir dann genau wie es authentic die Entwickler von Authentic empfehlen dass man diesen AK ADM dann auch mal stilllegen deswegen machen wir das am besten gleich dafür gehen wir auf Directory und hier auf Users hier sehen wir den der existiert und wir fangen jetzt einfach damit an einen weiteren User anzulegen nämlich mit create und dann vergeben wir hier einfach einen Usernamen ja das werde ich sein dann brauchen wir natürlich hier irgendeine E-Mail das ist ganz klar das kann wie gesagt kann jetzt natürlich eine spielail sein ich muss sie noch nichtmals angeben aber das Login besteht entweder aus diesem Usernamen oder einer E-Mail und manche Applikationen die verlangen eben wenn man SSO aktiviert auch eine E-Mailadresse statt eben dem Usernamen deswegen ist es immer eine gute Idee das anzulegen und ähm ich mache das jetzt einfach mal mit Demo äh/jbnavideo.io alles in Ordnung und das können wir im Prinzip alles so lassen jetzt klicke ich auf create und wie ihr sehen könnt haben wir jetzt hier einen aktiven User mit dem können wir jetzt allerdings noch nicht so arg viel anfangen denn der hatte noch nichtmals ein Passwort also vergeben wir jetzt erstmal ein Passwort für diesen User über Set password so Update jetzt ist das erstmal gesetzt jetzt kann man sich als dieser User schon mal anlegen anlegen anmelden aber wir können immer noch nicht viel damit machen weil er noch gar nichtms Admin ist um den jetzt zu einem Administrator zu machen müssen wir den in eine bestimmte Gruppe befördern und dafür klicken wir mal auf diesen Usernamen drauf und ihr seht hier Superuser no um das hinzubekommen habe ich eben gesagt der muss in eine bestimmte Gruppe rein jetzt klicken wir hier oben in dieser Reihe hier auf groups und add to existing group auf das Plus und jetzt gibt's hier nur eine momentan die heißt authentic Admins die wählen wir aus hier kommt schon die Warnung na ja das ist genau das was wir wollen und dann klicke ich auf Add und schon sind wir da noch mal auf AD und jetzt ist es tatsächlich geschehen jetzt können wir uns hier abmelden denn wir sind ja momentan dieser AA User dieser AK Admin und jetzt können wir uns als der neue Jürgen anmelden Jürgen log und das Passwort jetzt gehen wir rüber ins admin interface hier ist es und auch wieder hier rüber ins Directory denn wir wollen jetzt natürlich dafür sorgen dass dieser AK Admin User deaktiviert wird also können wir hier auf dieses Dropdown klicken und dann setzen wir diesen Status auf die activate und jetzt ist der praktisch stillgelegt und wir arbeiten mit unserem eigenen admenuser weiter dadurch ist natürlich ein schönes Stück Sicherheit wieder gewährleistet so jetzt haben wir im Prinzip alles soweit an der richtigen Stelle jetzt können wir anfangen unsere erste Applikation rüberzuhen in authentic wie Eingang schon angekündigt D als allererstes portainer mit authentic verknüpfen damit wir solche Meldungen wie diese hier disconnection ist und private und so weiter endgültig loswerden dafür müssen wir natürlich ein bisschen Vorarbeiten leisten nichts ist ohne Aufwand hinzubekommen so ist es einfach nur mal und zunächst müssen wir uns dafür darum kümmern dass wir in unserem eigenen DNS einen Hostnamen einen FQDN ein fully qualified domain name für unseren pororttainer erzeugen das geht ganz einfach wir gehen auf die syology die unseren DNS Server betreibt und da gehen wir halt hier da drauf rufen das Ding auf dann gehen wir auf unsere Zone und ihr habt ja schon einen Hostnamen für authentic eingerichtet entsprechend und bei mir gibt es auch schon einen Hostnamen mit IPAdresse für für meine Test Synology wir könnten jetzt für Porter natürlich genau diesen Hostnamen auch nehmen aber das vergisst mir dann irgendwann mal vielleicht ist es viel einfacher wenn wir tatsächlich einen eigenen FQDN für portainer bekommen und da erzeugen wir dann einen neuen resource record für DNS das wird ein CNAME type sein also ein Alias auf unseren arekord von Packer das ganze wird also heißen pororttainer B Demo das wandt ihr natürlich ab ihrre euren euren entsprechenden Anforderungen entsprechend und dann der Canonical Name der da drunter steckt also der eigentliche Name das ist in dem Fall woodpckernavigio.io was hier passiert ist im Prinzip wir erzeugen einen Verweis im Prinzip wenn nämlich der DNS die Anfrage erhält hey was ist denn die IP-Adresse von pororttainer bdemo.navigio.eo dann sagt ja ja okay das ist ein Alias aber die eigentlich der auf woodpecker.navigo.io zeigt aber die eigentliche IP-Adresse ist 192 168 0.10 so funktioniert diese ganze Geschichte jetzt das ganze sichern und wir sind im grünen Bereich damit sind wir hier auf dieser Seite erstmal fertig jetzt gehen wir zurück auf unsere eigentliche auf meine eigentliche demomaschine wenn es bei euch natürlich eine syology ist dann müsst ihr nich nicht hin und her springen ist ja ganz klar jetzt brauchen wir noch eine Kleinigkeit nämlich wir wollen ja das Zertifikat das SSL Zertifikat von unserer Synology verwenden damit wir endlich diesen SSL diese SSL Meldung hier diese da endlich mal loskriegen denn die voraussetzung ist dafür natürlich zum einen ein FQDN und ein SSL Zertifikat für die entsprechende domaine und das haben wir ja das habe ich ja in diesem Video hier mit dieser Wildcard Geschichte schon erzeugt und wenn ihr euch erinnert da gibt's hier nämlich im Bereich Sicherheit Zertifikat eben unsere zertifikatseinstellungen und da passiert im Prinzip die ganze Zuordnung wir gehen jetzt aber zunächst mal auf den Reverse Proxy wieder zurück auf dieser Maschine und wir erzeugen hier einen Eintrag für pororttainer erstellen ich nen das wie üblich portainer und dann eben Demo damit ich weiß was es ist wir wollen natürlich über https mit der ganzen Geschichte reden und der Hostname ist portainer bdemogo.io das haben wir ja vorhin angelegt der Port ist ganz klar 443 wer mag kann hsts aktivieren dann das Ziel ist jetzt ganz einfach unsere die IP-Adresse von unserem von unserer Maschine auf der portainer läuft denn ihr wisst ja wir haben ja da kein portainer nicht mit nicht mit mven installiert das geht nicht deswegen Ferd ja praktisch hugepack auf den Ports von unserer von unserer eigentlichen syology deswegen können wir hier ganz locker den den htpsort von Porter nehmen aber die IP-Adresse ist eben die von unserer Syno das ist 12.168.0.10 und der Port ist 9443 alles tiptop speichern wir das Ganze und mit ein bisschen Glück können wir das schon so aufrufen nämlich hier oben statt dieser IP-Adresse machen wir https/port er [Musik] bdemo.navigio.io und jetzt müsste das na wenn ich das richtig getippt hätte müsste das natürlich auch funktionieren so da sind wir und ihr seht schon wir haben keine Warnmeldung von über SSL Zertifikate und sowas bekommen das ist unser erster Schritt zum glücklich sein jetzt können wir das ganze natürlich auch ganz super so wie es ist in integrieren dafür würde ich ganz gerne auf die Dokumentation erstmal verweisen da wird relativ gut erklärt wie man das ganze vornimmt und wir finden die Struktur oder die Struktur sage ich schon die Anleitung wie man das macht hier auf authentic hier unter Integration integrations und unter halbbewises orchestrators finden wir portainer hier ist es und hier wird auch schon erklärt was hier eigentlich Sache ist welcher Begriff was bedeutet und ihr seht schon die legen großen Wert drauf dass wir hier mit fully qualified domain names arbeiten und nicht mit IP-Adressen ich sag vielleicht zum wiederholten Mal ich weiß es gar nicht genau aber IP-Adressen an dieser Stelle führen einfach nur ins Chaos da weiß man zum Schluss nicht mehr was was und wohin und deswegen tut euch den Gefallen richtet euch diesen DNS ein sei es mit dem von der SY sei es über phole oder über irgendwas anderes das hilft euch wirklich eure Infrastruktur sauber zu adressieren das macht einfach viel mehr Sinn und auf einmal werden auch viele Zusammenhänge klarer gut bleiben aber dabei wir haben jetzt also Schritt ein auf Authentik zu erledigen und wir müssen unter dem Punkt Providers ein 2 open ID Provider anlegen und hier sind die Einstellungen dafür also hier sind wir jetzt in authentic und gemäß der Dokumentation gehen wir hier als allererstes hin und legen einen Provider an es gibt jetzt auch eine neue Art das Ganze zu erledigen das ist über ein Reset da wird die Application der Provider in einem Schritt angelegt aber die Dokumentation ist noch nicht soweit und macht es in zwei Schritten deswegen zeige ich es euch so wie die Dokumentation es macht aber dadurch ist es auch einfach den anderen Schritt einfach zu verstehen machen wir das also so wie die sagen zuerst fangen mit einem Provider an und wir haben jetzt natürlich noch kein jetzt können wir auf irgendeinen von diesen create Buttons drauf klicken und wir brauchen diesen to Provider hier ist er gehen wir auf Next und jetzt geben wir der ganzen Geschichte einen Namen am besten so wie es wie das Kind heißen soll pororttainer B Demo das nächste Feld können wir freilassen also füllen nur das aus was im Prinzip er mal gebraucht wird mit diesem Sternchen und das wäre als nächstes diese authorization Flow und da gibt es zweierlei Arten einmal diesen explicit consent und einmal implicit consent der Unterschied zwischen den beiden ist der wenn ich explicit consent auswähle dann erhält der Anwender einen Pop-Up indem erklärt wird du authentifizierst dich jetzt mit Authentik und diese und diese Information werd jetzt eingesammelt bei implicit consent entfällt das und wir werden einfach weitergeleitet auf ein Login prompt auch mit von Authentic welches mal auswählt ist Geschmackssache es hat keine weitere Implikation auf den weiteren Ablauf aber manche Anwender sind eben geschockt wenn sie auf einmal eben so ein anmendbild von Authentic sehen und nicht das was sie sonst gewohnt sind deswegen ist es vielleicht für manche besser das mit explicit konent zu machen und das zeige ich euch auch jetzt wie das dann aussehen wird dann kommen wir auf die wichtigen Sachen wie client id und Client secret das Kopieren uns am besten schnell raus es ist jetzt nicht so dass wir das nur einmal sehen und jetzt bei dieser Angelegenheit sondern wir können es jederzeit wieder aufrufen also es ist nichts verloren wenn wir einfach auf Finish klicken würden aber es macht die Sache einfacher wenn wir das jetzt schnell einfach wegkopieren in der Textdatei so einmal das und jetzt das Secret rein damit und jetzt haben wir das erstmal für uns zwischen gespeichert jetzt brauchen wir diese Redirect Uri die sagen zwar das System findet das selber raus aber das ist da bin ich mir nicht so ganz sicher und das ist im Prinzip einfach die URL mit der wir portainer aufrufen und nichts anderes den Rest lassen wir so wie er ist und klicken einfach auf Finish jetzt seht ihr hier eine kleine Warnung dass eben noch keine Applikation angelegt worden ist dafür das machen wir jetzt schnell im nächsten Schritt indem wir hier drauf klicken auch hier hier wieder auf einen der create Buttons klicken und der Sache einfach ein Namen geben dann können wir der Sache ein sogenannt slack vergeben das ist so im Prinzip ein komprimierter Name für das oder Titel für das was oben drüber geschrieben haben und das taucht dann auch tatsächlich in einer URL dann auf deswegen wä ich hier vorsichtig und W was ohne bestimmte Sonderzeichen eingeben damit wir es auch einfach wieder erkennen können als nächstes haben wir die Möglichkeit zu gruppieren also wenn man verschiedene gleichartige haben dann können wir die in verschiedene Gruppen dann dann zusammenfassen es wird auch im user interface entsprechend dargestellt dann haben wir den Provider den haben wir gerade eben angelegt hier ist er portainer B Demo und das können wir dann im Prinzip so lassen wie es ist jetzt gehen wir runter auf die UI Settings und da würde ich auf jeden Fall vorschlagen den schalte für open and new tab zu setzen damit praktisch das authentic Fenster oder da bleibt und nicht überschrieben wird und wir ein neues Tab für jede für diese neue App dann also in dem Fall portainer bekommen die launchurl die können wir so lassen könen wir leer lassen das wer wir gleich sehen authentic kriegt das raus sagen wir also hier create und jetzt springen wir mal kurz zurück in die authentic Dokumentation denn jetzt kommt ein interessanter Teil wir müssen ja auch paer davon informieren dass jetzt SLE te passieren soll und das ist hier in Schritt 2 beschrieben das heißt wir melden uns mal drüben auf portainer an ganz klassisch mit unserem Admin User er kennt das und jetzt gehen wir rüber auf Settings authentication und hier wäht ihr aus jetzt gibt es hier zwei interessante Optionen einmal Single sign on deswegen sind wir hier das wollen wir natürlich auch wir wollen un einmal anmelden mit authentic und dann eben diese Anmeldung intainer verwenden und jetzt gibt es dieses automatic User Provisioning das ist eine ganz interessante Sache wir können entscheiden ob wir selber unsere Userverwaltung machen oder ob wir das eben Authentik machen und im Prinzip ist es ja gerade die Idee wir wollen das ja über eine zentrale Stelle machen lassen und nicht an verschiedenen Stellen selber und deswegen ist lass wir diesen Schalter an hier bei Provider ist custom schon ausgewählt weil die anderen Business Features sind das ist alles okay so und jetzt holen wir uns im Prinzip diese Konfigurationen zusammen das ist hier in der Dokumentation sehr schön beschrieben im Prinzip ergibt sich das alles von selber wir brauchen also erstmal unsere client id und unser secret das haben wir vorhin wegkopiert in unsere Textdatei also holen uns wieder zurück in die Zwischenablage jeweils so einal das und einmal das und jetzt brauchen wir diese ganzen URLs und die finden wir hier in unserem Provider klicken wir einfach hier drauf und da sind sie schon hier seht ihr das ist im Prinzip genau das was hier drüben abgefragt wird das fängt an mit der authorization URL holen uns also diese hier schnell rüber kopieren dann die Token URL das ist sogar in der gleichen Reihenfolge wieimporttainer dann haben wir diese userino Geschichte die brauchen wir jetzt auch schnell und die Redirect URL das ist im Prinzip nichts anderes als das was wir hier oben in unserer Browserzeile haben ohne den kteradch hinten dran also einfach nur bis zum den https und fully qualified domain name was wir ja eigentlich auch im im reverse Box hier drin haben einfach rein damit gut dann brauchen wir die Logout URL die kriegen wir auch von hier drüben damit das System auch weiß wohin wir geschickt werden sollen nachdem wir uns abgemeldet haben jetzt zwei interessante Zeilen User identifier und Scopes das steht jetzt hier nicht da gucken wir rüber auf die Dokumentation was hier gemeint ist und der User identifier ist hier vorgeschlagen mit preferred Username alternativ könnte man auch E-Mail nehmen der Unterschied zwischen den beiden ist wenn ich preferred Username verwende dann wird im Prinzip der Username aus authentic verwendet z.B Jürgen in dem Fall haben wir vorhin angelegt wenn ich E-Mail nehme dann wird eben diese E-Mailadresse die wir verwendet haben dann genutzt um den User in portainer anzumelden die Konvention bei P ist ein Username und keine E-Mailadresse deswegen verwenden wir hier preferred Username das tue ich mir jetzt in die Zwischenablage PE das hier drüben rein und jetzt kommen die Scopes die holen wir uns auch aus der Dokument tion das ist hier beschrieben E-Mail open ID und Profile und im Unterschied zu dem was wir hier an als Vorlage shind sind da keine kommat drin sondern Lehrzeichen und das ist genau korrekt also unbedingt so übernehmen und nicht mit kommat dann klicken wir auf save settings und die ganze Sache ist im Prinzip erledigt jetzt melden wir uns einfach hier ab bei pororttainer Logout und ihr seht schon wir haben hier ein meldebild für o aus aber der Vollständigkeit habe mache ich einfach mal dieses terp hier zu und verwend wir verwenden das von Authentic was wir gerade angelegt haben dafür gehen wir ins Userinterface und ich klicke auf portainer B Demo und hier haben wir unser Anmeldebild keine SSL Problematiken gar nichts und wir können außerdem falls wir das unbedingt wollten die internal authentication verwenden das machen wir auch gleich oder wir können un hier uns mit OUs anmelden und und hier ist dieses explicit consent Dings da wird gesagt hier wir schicken dich jetzt weiter auf auf dein protainer Dings bist du das ja okay wir sind das und das sind die folgenden Informationen die wir von dir brauchen ich klicke hier auf continue und da ich ja bei authentic schon angemeldet bin und dann gültiges eine gültige Anmeldung habe bin ich hier gleich bei portainer reingerutscht was ihr hier sehen könnt ist was ihr nämlich nicht sehen könnt das ist nämlich genau der interessante Teil ich habe hier keine bestimmten Rechte auf irgendwas ich kann mich am environment nicht anmelden ich sehe keine Container ich habe gar nichts und das sit ganz einfach daran dass ich hier kein Admin bin und das ist natürlich bisschen ungeschickt deswegen gehen wir hier wieder raus ich melde mich hier wieder ab und ich werde hier praktisch auf meine auf meine an auf mein Anmeldebild wieder zurückgeschickt und jetzt habe ich hier drei Möglichkeiten ich kann wieder zum Überblick drüber gehen ich kann mich komplett abmelden oder ich kann wieder zurück auf portainer schwenken das mache ich jetzt mal aber ich melde mich jetzt nicht wieder neu an mit aus weil dann l ich ja wieder praktisch da drin als Jürgen wir wollen jetzt mit internal authentication uns als Admin anmelden so wie hier und dann gehen wir hier auf Users und hier ist mein User Jürgen der ist nur ein normaler User deswegen hat wir das gesehen was wir nicht sehen konnten und der hat sich über OUs angemeldet jetzt klicken wir hier drauf und wir müss jetzt mal dieses Pop-Up wegkriegen wir machen den jetzt zum Administrator ich klicke auf save und damit ist der Fall jetzt erledigt und ich kann mich hier wiederum von der Admin Geschichte abmelden und jetzt gehen wir wieder rein mit O und meinem Token von Authentic und jetzt werde ich angemeldet als Jürgen wieder wie zu erwarten und ich habe hier Zugriff auf das gesamte environment ich kann mich hier dran verbinden und habe jetzt die Möglichkeit vollständig mit porortäner zu arbeiten und wie ihr seht haben wir mehrere Fliegen mit verschiedenen klappen geschlagen einmal haben wir über die DNS Geschichte einen fully qualified Domain für portainer uns erstellt wir haben das zugeordnet zu einem Reverse Proxy um die das SSL Zertifikat auf unsere synolog zu nutzen und wir haben das ganze in authentic reingehängt um praktisch ein lückenloses Login zu schaffen und eine ja vereinfachte Nutzung von pororttainer uns zu erarbeiten um uns dar aufzuschlauen wie man das mit der syology hinbekommt gehen wir hier rüber wieder in die integrations Dokumentation wo war das denn da haben wir es hier unter infrastructure und hier haben wir es DSM und vom Prinzip her wird es genau gleich ablaufen wie wir das wie wir das schon von unserer portainer Integration kennengelernt haben wir brauchen also wieder unseren fly qualified domain name für unsere Maschine das ist jetzt hier noch die IP-Adresse aber wir haben das ja schon gesehen ich habe da Vorarbeit geleistet im DNS und wenn ihr das nicht über den Z DNS machen wollt oder könnt könnt ihr das natürlich könnt ihr das natürlich auch ohne weiteres über den PY DNS oder jeden anderen auch machen und ich habe ja hier schon meine Testmaschine eingetragen die hat ja ein a record und die heißt woodpacker.navigio.io und das heißt für uns wir können im Prinzip hier schon weitermachen den brauchen wir jetzt gerade nicht mehr und dann schauen wir hier weiter was hier notwendig ist authentic configuration das heißt wir fangen mit Schritt 1 an und wir erzeugen uns einen sogenannten Provider genau wie vorhin auch wir gehen ins admin interface applications Providers und create das ganze das schauen wir jetzt nach das soll ein O aus zwei Provider werden und hier sind so ein bisschen die die Parameter und hier merken wir uns gleich die URL können wir gleich auch schon so rauskopieren damit wir das nicht vergessen und dann wechseln wir hier hinüber o aus 2 next so das nennen wir einfach mal so wie wie ich meine nenne denn wir können ja mehr als eine haben nehmen wir das einfach mal den moodpacker dann den authorization Flow ich habe euch ja erklärt mit explicit implicit ist jetzt werden wir praktisch mal zum zur Abwechslung implicit aus und auch hier wechseln wir rüber merkt wir uns diese diese zwei Sachen client id und Client secret aber bevor ich das mache schreibe ich noch schnell die Redirect URLs rein das ist https/ [Musik] woodpacker.navigio.io und dann das den Rest den ich ja vorhin schon rauskopiert habe jetzt kümmern wir uns schnell um die Klient ID und das K secret das Kopieren wir uns hier wieder in unsere in unseren Texteditor rein und damit haben wir es im Prinzip erledigt den Rest können wir so lassen wie es ist ich klick auf Finish und jetzt haben wir hier wieder unsere Warnung wir brauchen wieder also eine appation dann gehen wir wieder auf create dann das ganze woodpacker dann und wähen wir unseren Provider aus hier ist er und auch hier bei UI Settings das wieder auf open new tab ich g mal auf create und hier ist im Prinzip schon unsere Umgebung jetzt müssen wir aber natürlich noch ein paar Vorarbeiten leisten auf das syology denn wir brauchen ja diese Informationen aus dem Provider und wie vorhin schon kriegen wir das alles hier über diese Übersicht und jetzt gehen wir hier auf der syology direkt auf die Systemsteuerung und hier gibt es diesen Punkt domain/ eldab draufkilicken und jetzt hier SSO Client aufrufen und hier haben wir jetzt als erstes eine sehr interessante Einstellung wenn wir dieses SSO Login bekommen dann hat der hat das zwei Reiter einmal für die klassische also direkte Anmeldung und einmal für die SSO Anmeldung und dieser Schalter sorgt dafür dass die SSO Anmeldung automatisch angeschaltet ist aber man kann immer noch auf den anderen Reiter wechseln und sich klassisch direkt anmelden so jetzt gehen wir hier auf Open ID Connect SSO Dienst an aktivieren und dann klicken wir diesen Button aufgeschaltet und da können wir jetzt unsere Sachen äh praktisch äh auswählen und hier wählen wir oidc aus Kontotyp ist Domain eldab Lokal und jetzt geben wir der Sache natürlich einen Namen wer sich hier nicht sicher ist was einzutragen ist der kann hier wieder rüber wechseln auf die auf die Dokumentation da steht das dann schon als man kann als Namen alles möglich eintragen aber ich würde eben authentic auswählen und dann kann man diese Sachen wieder reinkopieren diese wellknown URL schauen wir mal ob wir die ohne weiteres finden und da finden wir hier bei der bei in der ersten Zeile dies dieses Stichwort well knowown dann muss es wohl die sicher sein also kopieren wir uns das mal in die Zwischenablage und nehmen das hier rüber tun wir da rein dann die anwendungsid das ist unser secret lustigerweise das Kopieren wir aus unserem Texteditor hier hinein und dann haben wir das anwendungsgeheimnis diese Übersetzung ne bin ich ja großer Fan davon hier ist es und jetzt die umleitungsuri was mag das sein schauen doch einfach in der Dokumentation nach und das ist dieses Ding hier also das ist das was ich vorhin auch schon im Provider angegeben habe und das haben wir ja praktisch auch hier oben schon also so im Prinzip ist das ist das so https [Musik] woodpeker.navigo.iohsin okay ich könnte hier noch weitere umleitungsur eintragen z.B wenn ich jetzt Mail plus auch installiert habe und ich direkt diesen ma plus CLI auch hier versorgen über SSO ich kann natürlich auch alle hat ich vorhin ein sch erklärt alle syology eigenen Applikationen könnt hier auch mit ur versehen und könnte praktisch auf die Weise ein einziges SSO eine einzige SSO Konfiguration verwenden um mich an alle sy Systeme anzumelden gut jetzt haben wir hier diese diese zwei letzten Felder aus füllen was es damit auf sich hat finden wir natürlich wiederum hier einmal diesen open ID Profile eail für den scope das ist diese dieser Anwendungsbereich das können wir hier einfach reinkopieren und dann der benutzeranspruch gruselig Username claim direkt übersetzt ja das übernehmen wir hier auch auus der dokumendation nehmen hier prefer Username rein und damit ist im Prinzip hier schon alles eredigt wir können auf Speichern gehen mssen wir noch übernehmen anklicken ja haben wir gemacht also ist alles hier soweit konfiguriert bevor wir das jetzt aber ausprobieren können haben wir noch eine Kleinigkeit zu erledigen wir haben ja den dnseintrag und alle diese Sachen aber wir haben ja unsere Synology DSM läuft ja auf Port 5000 bzw 51 das heißt wir müssen jetzt noch ein Mechanismus ein bauen der uns genau dieses forword verschafft und das geht natürlich ihr habt's richtig erraten über den Reverse Proxy den Ruf wir schnell auf Proxy hier haben wir schon unsere Bekannten Kandidaten jetzt erstellen wir einen neuen den nennen wir woodpacker Quelle ist https Hostname ist woodp naavigio.io Port ist 443 wer mag kann hsts aktivieren klarer Fall und wo schicken wir es hin hier müssen wir jetzt unglücklicherweise das ganze über IP-Adresse machen ist aber leider der Tatsache geschuldet dass das sonst irgendwie eine ganz unglückliche Konstellation rutscht zwischen DSM dem der Webstation anderen Dingen es sei drum also mit der IP-Adresse funktioniert und da können wir dann Port 5001 nehmen so speichern das ganze und hier noch mal kurz vergewissern aber vom Prinzip her können wir jetzt rüber wechseln nach authentic und hier im admin interface ist ja schon unsere Kachel vorhanden jetzt können wir einfach mal drauf klicken und schauen was passiert und wie ihr sehen könnt haben wir ja hier jetzt diese SSO authentication als Default bekommen wenn ihr das nicht wollt könnt ihr immer noch hier drüben auf sign into DSM drauf klicken D bekommt eure klassische Anmeldung wir bleiben jetzt aber bei SSO und ich klick mal einfach weiter auf Weiter und jetzt müsste ich ja eigentlich als Jürgen angemeldet werden jetzt müsst ihr aufpassen manchmal ist es so dass hier ein pop-up window kommen will und das es kann sein dass ihr da geblockt werdet wenn das der Fall ist müsste ich hier oben in der Browserzeile schauen ob es da irgendwie was gibt ich habe das jetzt glücklicherweise nicht aber es hat im Prinzip soweit gleich geklappt ihr seht ich bin direkt als ich selbst als Jürgen angemeldet worden es wurde kein neuer User erzeugt das ist jetzt eben das schöne da dran weil wir vorhin authentic ja so bzw syology so installiert haben dass up Gedöns dass wir ja gesagt haben Moment wo sind wir hier sind die Einstellungen dass wir hier preferred Username genommen haben und da mein Username auf authentic der gleiche ist wie auf Synology ist es in ein zu ein Mapping geworden gut also haben wir einen riesenchritt vorwärts gemacht mit unserer Integration auch von Synology in dem Bereich was ich euch noch zeigen wollte ist wenn wir nämlich verschiedene Anwendungen haben ich zeig's hier mal in der Systemsteuerung hier im anmelddeportal dann seht ihr ja hier diese Anwendungen und die könnt ihr ja praktisch über verschiedene Ports und so weiter ansteuern und das kann man auch als in authentic verwenden und auch hier in der in der SSO Kleinsteuerung dass wir hier bei diesen umleitungsurls UIs weitere hinzufügen ich kann das kann ja beliebig viele hinzufügen das macht man einmal hier und einmal auch auf authentic nämlich ihr habt'sahnt beim Provider und da haben wir ja hier den den woodpacker Provider den nehmen wieder als Beispiel und hier könnt ihr weitere Zeilen hinzufügen wenn ihr jetzt z.B Mail Cent habt oder die Fotostation od sowas dann gibt ihr hier diese sign in URL von der Fotos von Fotos ein und dann funktioniert das auch alles praktisch reibungslos das bringt mich zum Ende dieses recht komplexen Videos ich hoffe es war nicht zu anstrengend und dass es Spaß gemacht hat zuzuschauen m klarer Fall wenn das so war wä es ganz große klasse wenn ihr mir ein Like da lassen würdet noch besser natürlich und sofern noch nicht geschehen abonniert meinen Kanal das kostet keinen Cent und ist nur gemacht einfach ganz kurz auf den abonnierenbutton unten klicken und dann geht's weiter wenn ihr dann noch die Glocke aktiviert verpasst ihr keins von meinen zukünftig Videos denk dran es gibt auch patreon Mitgliedschaften für meinen Kanal wer sich dafür interessiert dafür gibt's unten in der Videobeschreibung den entsprechenden Link und außerdem ihr könnt mich buchen für alle Fragen rund um eure it sei syology NAS sei unify perless NGX oder oder oder was ich her meinen Videos schon vorgestellt habe auch dafür gibt's einen entsprechenden Link unten in der Videobeschreibung und damit nicht vergesse bitte schaut euch meinen Lifestyle Kanal an da zeige ich euch was ich mache wenn ich hier nicht hinterm Computer sitze für heute vielen Dank fürs zuschauen und bis zum nächsten Mal [Musik] [Musik] tschüss