sorb/axion1337.chat-gitops
1
0
Fork 0
Code Issues 5 Pull Requests Actions Packages Projects 1 Releases 3 Wiki Activity
axion1337.chat-gitops/docs/oldwiki/authentik.md
Scrublord MacBad b1247b4720 backup old wiki
2026-05-14 23:34:59 +02:00

13 KiB
Raw Blame History

Authentik als Einladungs- und Self-Registration-Layer vor MAS in ESS Community

Kurzurteil

Ja — in deinem Setup ist Authentik technisch sinnvoll einsetzbar, aber nicht als Ersatz für den Matrix Authentication Service, sondern als Upstream-OIDC-Provider vor MAS. Das ist der sauberste Weg, weil Synapse heute eine stabile, vereinfachte Integration mit MAS hat, ESS Community zusätzliche MAS-Konfiguration ausdrücklich über matrixAuthenticationService.additional vorsieht, und MAS jede OIDC-konforme Upstream-Identitätsquelle unterstützt. Für ein ESS-Deployment mit delegierter Authentifizierung ist das deutlich kohärenter als eine Direktanbindung von Synapse an Authentik vorbei. citeturn31view0turn7view2turn14view1turn23search0

Wichtig ist aber die Abgrenzung: Wenn dein einziges Problem wirklich nur lautet „im Admin-Frontend kann ich keine Registration Tokens mehr klicken“, dann brauchst du Authentik nicht zwingend. MAS hat weiterhin eine Admin-API mit Endpunkten für User-Registration-Tokens; der fehlende Komfort liegt also eher in der Oberfläche als in der Funktion selbst. Die API ist mit urn:mas:admin abgesichert und kann sowohl interaktiv als auch automatisiert benutzt werden. citeturn19search0turn28search0turn28search1turn28search2

Warum Authentik hier die bessere Plattform sein kann

Der Mehrwert von Authentik entsteht dann, wenn du mehr als nur ein Token-Feld willst: Einladungen, Self-Service-Enrolment, E-Mail-Verifikation, Policies, Gruppen-Zuweisung, später vielleicht weitere Login-Quellen hinter derselben Oberfläche. Authentik kann selbst als OpenID Provider auftreten, aber auch als Relying Party gegenüber anderen OAuth/OIDC-Quellen arbeiten; MAS sieht dann nur noch eine saubere OIDC-Oberfläche, während Authentik die eigentliche Onboarding- und Policy-Logik kapselt. Das passt sehr gut zu MAS, weil MAS nach oben bewusst nur OIDC unterstützt und SAML/LDAP nicht selbst als Upstream sprechen will. citeturn21view0turn21view3turn14view1

Für dein Ziel „potenzielle Anwender sollen sich selbst registrieren können“ ist der entscheidende Unterschied: Bei MAS-Registration-Tokens autorisierst du eine Matrix-Registrierung; bei Authentik autorisierst du zunächst eine Identität im IdP, und MAS übernimmt diese Identität anschließend per OIDC und legt daraus den Matrix-Account an. Das ist architektonisch stärker, weil dieselbe Identität später auch für andere Dienste nutzbar wird. MAS kann beim Upstream-Login den Matrix-Localpart, Display Name und E-Mail aus Claims übernehmen; für neue Nutzer gibt es dabei sogar einen expliziten Bestätigungs- bzw. Attribut-Import-Schritt. citeturn24search0turn14view0

Wann Authentik nicht nötig ist

Wenn du ausschließlich einen „Einladungs-Code“ für Matrix brauchst und keinerlei separates Identitätsmanagement, dann ist die schlankere Lösung wahrscheinlich: bei MAS bleiben und die Registration-Tokens per Admin-API verwalten. Dafür brauchst du keinen zusätzlichen Dienst, keine zweite Postgres-Anwendung und keine zweite Policy-Oberfläche. Das ist betriebsärmer und passt gut zu kleinen Community-Setups. citeturn19search0turn28search0turn28search2

Sobald du aber Dinge wie diese willst, kippt die Bewertung klar zugunsten von Authentik: verschiedene Onboarding-Flows, Einladungs-Links statt nackter Codes, E-Mail-Verifikation, Domain-Allow-Lists, Gruppen-Zuweisung, zentrale MFA-Politik oder später externe Identity-Sources. Authentik bringt dafür sowohl vorgefertigte Einladungs-Blueprints als auch Enrolment-Flows mit und kann bei Bedarf eigene Expression Policies für restriktivere Zulassungslogik einsetzen. citeturn21view1turn21view2turn30search3

Empfohlene Zielarchitektur

Die von mir empfohlene Zielarchitektur ist:

Element Web / Clients → MAS → Authentik → Benutzerquelle(n)

Synapse bleibt dabei an MAS delegiert. Das ist genau der Pfad, den die Synapse- und MAS-Dokumentation heute unterstützen: Synapse integriert stabil mit MAS, und MAS kann wiederum Upstream-OIDC-Provider sprechen. Eine direkte Synapse-OIDC-Integration mit Authentik ist zwar technisch dokumentiert, wäre in deinem ESS/MAS-Setup aber die weniger saubere Variante, weil du damit an der in ESS bereits vorgesehenen Delegationsschicht vorbeikonfigurierst. citeturn31view0turn14view2turn14view1turn7view2

Für Authentik selbst ist das Standardmaterial: auf Kubernetes per Helm deployen, in Produktion ein echtes PostgreSQL verwenden statt der Demo-Datenbank, und E-Mail konfigurieren, wenn du Einladungen oder Verifikations-Mails nutzen willst. Das ist wichtig, weil Authentik-Einladungen und E-Mail-basierte Enrolment-Flows ohne Mailtransport ihren eigentlichen Nutzen verlieren. citeturn34view0turn25search1

Ein entscheidender UX-Punkt: Wenn in MAS genau ein Upstream-Provider konfiguriert ist und die lokale Passwortdatenbank deaktiviert wird, startet MAS den Upstream-Authentifizierungsfluss automatisch. Damit verhält sich das System für Endnutzer fast so, als wäre Authentik „direkt“ integriert, obwohl MAS weiterhin die Matrix-native Auth-Schicht bleibt. citeturn26view0

Konkrete Integration in ESS und FluxCD

Der erste praktische Schritt ist, Authentik als eigene GitOps-Anwendung in Kubernetes einzuführen. Offiziell ist dafür das Helm-Chart vorgesehen; produktiv sollte die Datenbank extern bzw. operator-basiert laufen, und Mail sollte von Anfang an mitgedacht werden. Danach erzeugst du in Authentik eine Application + OAuth2/OIDC Provider-Kombination. Das ist der von Authentik empfohlene Weg zur Erstellung eines OIDC-Providers. citeturn34view0turn35view0

Für den OIDC-Provider in Authentik verwendest du als Redirect-URI nicht die Synapse-Callback-URL aus der direkten Synapse-Dokumentation, sondern die von MAS erwartete Upstream-Callback-URL. MAS verlangt für Upstream-Provider eine stabile ULID als Provider-ID und verwendet daraus die Callback-URL https://<auth-service-domain>/upstream/callback/<id>. Optional kannst du zusätzlich die Backchannel-Logout-URL https://<auth-service-domain>/upstream/backchannel-logout/<id> hinterlegen. Authentik unterstützt für OIDC-Anwendungen Front- und Back-Channel-Logout, sofern der Provider entsprechend konfiguriert ist. citeturn14view1turn26view3turn35view1

In ESS selbst musst du dafür keinen Chart forken. Die vorgesehene Stelle ist matrixAuthenticationService.additional. Dort gibst du MAS die Upstream-OIDC-Konfiguration und schaltest die lokale Passwortdatenbank ab, wenn Authentik der alleinige Eintrittspunkt werden soll. Genau dafür ist die ESS-Advanced-Dokumentation da. citeturn7view2

Ein praktikabler MAS-Werteblock für deine GitOps-Struktur sieht so aus:

matrixAuthenticationService:
  additional:
    10-authentik-upstream.yaml:
      config: |
        passwords:
          enabled: false

        account:
          password_registration_enabled: false

        upstream_oauth2:
          providers:
            - id: 01JVXXXXXXXXXXXXXXXAUTHN
              issuer: "https://auth.example.com/application/o/matrix-mas/"
              human_name: "Community Login"
              client_id: "mas-community"
              client_secret: "AUS_SOPS_SECRET"
              token_endpoint_auth_method: client_secret_post
              scope: "openid profile email"
              fetch_userinfo: true
              on_backchannel_logout: logout_browser_only

              claims_imports:
                localpart:
                  action: require
                  template: "{{ user.preferred_username }}"
                  # Nur für Bestandskonten und nur nach Pilotphase:
                  # on_conflict: set

                displayname:
                  action: force
                  template: "{{ user.name }}"

                email:
                  action: force
                  template: "{{ user.email }}"

Die inhaltliche Grundlage dafür kommt direkt aus den MAS-Upstream-OIDC-Dokumenten: Provider-id als ULID, issuer, client_id, client_secret, Scope, optionale UserInfo-Nutzung und Claim-Mapping für localpart, displayname und email. ESS injiziert genau solche zusätzlichen MAS-Dateien über matrixAuthenticationService.additional. citeturn14view1turn14view0turn13view5turn7view2

Für das eigentliche Onboarding in Authentik hast du zwei gute Varianten. Wenn du das MAS-Token-Modell möglichst ähnlich nachbauen willst, nimmst du Invitations. Authentik kann Einladungs-URLs an konkrete Empfänger senden oder generische Einladungslinks bereitstellen, bei denen Benutzer ihre Credentials selbst festlegen. Wenn du eher echte Self-Service-Registrierung willst, nimmst du einen Enrolment-Flow, optional mit E-Mail-Verifikation. Beide Muster sind offiziell dokumentiert; es gibt sogar vorgefertigte Blueprints für invitation-based enrollment und Beispiel-Flows für Enrolment mit oder ohne E-Mail-Verifikation. citeturn21view1turn21view2

Wenn du bei der Benutzerführung in Element noch glatter werden willst, kannst du optional in Element Web sso_redirect_options setzen, damit Nutzer auf der Login- oder Welcome-Seite sofort in den OIDC-/SSO-Flow gehen. Das ist kein Muss — MAS kann bei einem einzigen Upstream-Provider ohnehin automatisch weiterleiten — aber es verbessert den Eindruck eines „SSO-only“-Setups. citeturn15view4turn26view0

Ein optionaler Element-Web-Block dafür wäre:

{
  "sso_redirect_options": {
    "on_login_page": true,
    "on_welcome_page": true
  }
}

Risiken und Fallstricke

Der heikelste Punkt ist die Abbildung auf bestehende Matrix-Konten. MAS kann Upstream-Identitäten an vorhandene lokale Nutzer binden, wenn der gemappte localpart passt. Standardmäßig verweigert MAS diese Verknüpfung aber; dafür gibt es claims_imports.localpart.on_conflict mit Werten wie set, add oder replace. Die Dokumentation warnt ausdrücklich davor, dass das bei unsauberem Mapping ein Account-Takeover-Risiko werden kann. In der Praxis heißt das: on_conflict nur dann einschalten, wenn du sicher garantieren kannst, dass Authentik-preferred_username oder ein anderes Attribut eindeutig und dauerhaft dem gewünschten Matrix-Localpart entspricht. citeturn26view2turn14view0

Der zweite Betriebsfallstrick ist GitOps-spezifisch: Änderungen und Ergänzungen im upstream_oauth2.providers-Block synchronisiert MAS beim Start in seine Datenbank, Entfernungen aber nicht automatisch. Wenn du einen Provider wieder herausnimmst oder umbenennst, brauchst du zusätzlich mas-cli config sync --prune. Für FluxCD ist das wichtig, weil „Config aus Git gelöscht“ hier nicht automatisch „Provider aus MAS-DB gelöscht“ bedeutet. citeturn27search1turn13view5

Der dritte Punkt betrifft Logout-Semantik. Sowohl MAS als auch Authentik können OIDC-Logout verarbeiten, aber du solltest den Modus bewusst wählen. logout_all in MAS ist am konsequentesten, kann aber auch Sessions beenden, die aus derselben Upstream-Sitzung stammen und über andere Flows erzeugt wurden. logout_browser_only ist meist die konservativere Wahl für einen ersten Rollout. Auf Authentik-Seite kannst du zusätzlich vollständiges Single Logout aktivieren, wenn Logout aus einer Anwendung auch die Authentik-Sitzung selbst und andere verbundene Anwendungen beenden soll. citeturn26view0turn35view1

Falls du Authentik doch nicht einführst und stattdessen bei MAS-Registration-Tokens bleibst, solltest du den ESS-Hinweis ernst nehmen: account.password_registration_email_required: false darf auf einem öffentlich föderierenden System nur zusammen mit Einschränkungen wie registration_token_required: true benutzt werden, sonst läufst du direkt in Missbrauch und Spam. MAS selbst dokumentiert dieselben Schalter im account-Block: Passwort-Registrierung ist standardmäßig aus, E-Mail-Pflicht standardmäßig an, Registration-Token-Pflicht standardmäßig aus. citeturn7view2turn13view0turn13view1turn13view2

Praktische Entscheidung

Wenn dein Zielbild lautet „Einladungen, Self-Service, Verifikation, Gruppen, spätere Erweiterbarkeit“, dann ist meine klare Empfehlung: Authentik vor MAS. Das ist in ESS Community sauber integrierbar, nutzt die offiziell vorgesehenen Konfigurationspfade und hält Synapse in der heute empfohlenen MAS-Architektur. citeturn7view2turn31view0turn14view1

Wenn dein Zielbild dagegen nur lautet „ich will wieder Registration Tokens vergeben können, aber ohne zweiten IdP zu betreiben“, dann ist die wirtschaftlichere Lösung sehr wahrscheinlich: MAS Admin API automatisieren statt Authentik einführen. Funktional ist das möglich; der fehlende Baustein ist nur die Bedienoberfläche, nicht die darunterliegende Token-Funktion. citeturn19search0turn28search0turn28search2

Offene Punkte und Grenzen

Die produktseitigen Integrationsfragen sind gut durch die offiziellen Dokumentationen abgedeckt. Was ich in diesem Bericht bewusst generisch gehalten habe, sind deine konkreten Datei- und Pfadnamen im GitOps-Repo sowie die genaue Secret-Aufteilung zwischen ConfigMap und SOPS-Secret. Die technische Empfehlung steht trotzdem fest: MAS bleibt die Matrix-Schicht, Authentik wird der Upstream-IdP, und die Integration erfolgt über matrixAuthenticationService.additional in ESS. citeturn7view2turn14view1