ich hatte Euch vor Wochen eine "kleine Überraschung" angekündigt und heute ist es nun soweit, wir kündigen nun ein neues Leistungsmerkmal an, das man eigentlich nicht groß bemerkt, weil es im Hintergrund wirkt und trotzdem wird es die Arbeit und den Wechsel zwischen verschiedenen Oberflächen der eingesetzten Produkte ganz wesentlich vereinfachen. Wir freuen uns Euch folgendes zu präsentieren:
Neues Leistungsmerkmal: Single Sign On & Authentication Proxy
Aufgabenstellung:
Es hat uns in der Vergangenheit alle ein wenig genervt, dass sowohl der Timberwolf Server als auch Grafana zwar das selbe Anmeldekonto "admin" benutzt haben, aber die Passwörter unterschiedlich waren. Das führte dazu, dass der Browser sich unter der URL nur eines der Passwörter merken konnte aber nicht das andere. Das hat dann nicht nur dazu geführt, dass man entweder das eine oder das andere Passwort eingeben musste sondern auch der Browser das liebevoll mit einem "willst Du das neue Passwort nicht doch lieber speichern?" Dialog unterstützte.
Grundsätzliche technische Lösung:
Ein Single-Sign-On musste her, bedeutet auf Deutsch "Einmalige-Anmeldung-geht-danach-auch-für-anderes". Das klingt einfach ist es aber gar nicht, denn jetzt müssen alle Teilprogramme einer zentralen Instanz und deren Anmeldeprüfung vertrauen.
Es hat uns drei Mannwochen gekostet, aber wir haben es nun umgesetzt. Grafana und der Proxy-Server vertrauen nun der Anmeldung am Timberwolf Server für den eingestellten Zeitraum.
Beim Portainer haben wir das noch nicht geschafft, wird aber noch nachgeliefert.
Benutzung:
Die Benutzung ist völlig unspektakulär. Man meldet sich - wie gewohnt - am Timberwolf Server an und wenn man nun einen der vielen Grafana Links drückt, dann geht eben das Grafana Fenster auf, ohne nochmal nachzufragen. Für alles was sonst noch über den Proxy-Server eingestellt ist, kann man dies, zumindest hinsichtlich des Proxy, einstellen.
Das ist ein "leises" Feature das man nicht bemerkt (man spürt nur wenn es nicht da ist, so wie jetzt). Ich hoffe trotzdem dass Ihr das honoriert und zu würdigen wisst. Ihr habt Euch das gewünscht und wir haben zugehört.
Einstellungen:
Es gibt dafür nun ein paar Einstellungen, die ich Euch kurz erklären möchte:
Unter -> Einstellungen -> Editieren gibt es nun eine neue Auswahl, hier stellt man die Gültigkeitsdauer der SSO-Anmeldung ein:
Diese Einstellungen stehen für die Lebensdauer der Anmeldung zur Verfügung und werden in einem Cookie gespeichert:
Im Authentication Reverse Proxy kann nun für jeden Eintrag bestimmt werden, ob der SSO vom Cookie übernommen werden soll.
Bedeutung: Bei dem Reverse Proxy kann man nun - für jeden Forward getrennt - einstellen, dass nur noch am Timberwolf angemeldete Benutzer auf diesen Proxy zugreifen können, anstatt jeder im Netz.
Grenzen des Leistungsmerkmales:
Das Leistungsmerkmal funktioniert für:
- Timberwolf Server Anmeldung
- Grafana Anmeldung
- Authentication Reverse Proxy Anmeldung
- Für sonstige Anwendungen die NACH dem Authenication Reverse Proxy kommen und deren eigene Anwenderverwaltung haben
- Damit funktioniert es derzeit auch noch nicht mit dem Portainer, weil hier müssen wir erst auf eine neue Version gehen und diese dann anpassen, das kommt also später.
Verfügbarkeit des neuen Leistungsmerkmales:
- Mit der nächsten Version, also der V1.5 RC10
- Diese erscheint voraussichtlich heute oder morgen, spätestens nächste Woche
Bitte sagt uns, wie Euch das neue Leistungsmerkmal gefällt.
lg
Stefan