SSO et identités (Kanidm)

Kanidm 🡕 est le fournisseur d’identité du réseau : une identité unique ouvre tous les services (SSO). Le service idm tourne sur le HCS (et, en option, en réplica dans chaque zone).

Comprendre le fonctionnement

Le détail des mécanismes (OIDC natif, reverse proxy authentifiant, flux de connexion) est expliqué dans Authentification et identités.

Identités et groupes

Comptes et groupes sont provisionnés dans Kanidm depuis etc/config.yaml :

etc/config.yaml

users:
  alice:
    profile: "nix-admin"
    groups: ["idm-admins", "idm-devs", "global"]

• Les groupes pilotent les accès aux services.
• Deux groupes spéciaux : idm-admins (administration), idm-devs (développement).

Connecter un service (OIDC)

Les services compatibles OIDC sont reliés au SSO automatiquement : Kanidm provisionne un client OAuth2 par service, et son secret est géré par sops. Rien à configurer à la main.

Exemples

Outline, Mealie, Vaultwarden, Grafana, Immich, Forgejo, Jellyfin, Open WebUI…

Protéger un service sans OIDC

Un service sans authentification propre (page d’accueil, site statique) se protège en plaçant une mire de connexion Kanidm devant lui (oauth2-proxy + Caddy). Pour la page d’accueil, deux réglages sur l’hôte passerelle (usr/machines/<passerelle>/) :

darkone.service.homepage.protect = true;             # exige une session Kanidm
darkone.service.homepage.protectExternalOnly = true; # interne libre, externe authentifié

Option	Défaut	Effet
protect	true	Page d’accueil réservée aux utilisateurs Kanidm (groupe users)
protectExternalOnly	false	LAN/VPN sans connexion, login requis depuis l’extérieur

Pré-requis

Le service idm doit tourner (HCS) et le service homepage être présent dans la zone : il sert d’ancre au flux de connexion. Le fonctionnement est détaillé dans Authentification et identités.

Réplication multi-zone

Pas encore fonctionnel

La réplication multi-zone est en cours de développement et n’est pas opérationnelle. Pour l’instant, déclarer idm sur le HCS uniquement.

Le mode est déduit de l’endroit où idm est déclaré :

1. idm sur le HCS seul → instance unique, pas de réplication.
2. idm sur une passerelle sans HCS → instance autonome dans la zone.
3. idm sur le HCS et des passerelles → réplication : le HCS fournit, chaque passerelle est un réplica en lecture seule.

Amorçage en deux temps (scénario 3)

1. just apply : chaque nœud génère son certificat de réplication.
2. just idm-sync-certs puis just apply : les passerelles passent en lecture seule (pull depuis le HCS).

Administration

L’administration se fait en ligne de commande sur le HCS :

just enter hcs
kanidm person credential create-reset-token <login> --name idm_admin

Voir Créer un compte utilisateur et Réinitialiser un mot de passe.