DokuWiki, Active Directory und Microsoft Federation Services

Viele Firmen setzen innerhalb Ihres Netzwerks auf Microsoft's Active Directory (AD), um die Nutzer in ihrem Netzwerk effektiv verwalten zu können. Da ist es nur logisch, dass man beim Einsatz von DokuWiki die Zugänge zu diesem auch über das AD verwalten zu wollen. Mit dem authad Plugin gibt es dafür bereits eine gut funktionierende Lösung. CosmoCode hat in den letzten Jahren zu diesem Plugin immerwieder Code beigesteuert um Kundenwünsche effektiver bedienen zu können. So können sich Wiki Nutzer beispielsweise bei ablaufenden Passwörtern warnen lassen und ihr AD-Passwort bei Bedarf auch direkt aus dem Wiki heraus ändern. Und auch Single-Sign-On über die Windows-Anmeldung ist kein Problem - hat man sich einmal an seinem Rechner angemeldet so ist man automatisch auch im Wiki angemeldet.

Was aber wenn man sein Wiki aus praktischen Gründen nicht im Intranet betreiben sondern von überall auf der Welt darauf Zugriff haben möchte? Zunächst einmal kein Problem. DokuWiki lässt sich sicher auf einem externen Server betreiben. Doch wie behält man den Komfort von Single-Sign-On und Active Directory ohne selbiges auch vom Internet verfügbar zu machen?

Einer unserer Kunden hatte genau diese Anforderung und die Lösung heißt Active Directory Federation Services (ADFS). ADFS erlaubt es bestimmte Informationen des Active Directories über einen Webservice verfügbar zu machen. Hierbei kann feingranular festgelegt werden welche Informationen einem Dienst zur Verfügung gestellt werden sollen. Bei DokuWiki sind das: Login, Name, E-Mail-Adresse und Gruppenzugehörigkeiten.

Die Kommunikation läuft dabei über das SAML Protokoll wie im nebenstehenden Schaubild dargestellt ab. Das Passwort wird dabei in Schritt 5 immer direkt an den Federation Server übermittelt. Ist der Nutzer bereits im an seinem Firmen-Rechner angemeldet erfolgt die Anmeldung in diesem Schritt sogar automatisch per SSO. An das Wiki wird lediglich ein Authorisationscode übermittelt mit welchem dann die benötigten Nutzerdaten abgerufen werden.

Für unseren Kunden haben wir ein entsprechendes DokuWiki Authentifizierungs-Plugin entwickelt und stellen es nun auch der DokuWiki-Community zur Verfügung. Download und Installationsanleitung finden sie unter dokuwiki.org/plugin:adfs.