OAuth 2.0 Plugin für Matrix Synapse Server

Guten Tag,

wir würden unserer Community gerne einen Synapse Server für das Matrix Protokoll neben unserem Woltlab Forum anbieten. Dafür wäre es sinnvoll wenn man sich dort mit den gleichen Credentials anmelden kann wie im Board.

Das Oauth Plugin scheint dafür geeignet zu sein.

Ich hätte da im Vorfeld jedoch noch zwei Fragen:

1. Würde eine Verbindung zwischen dem Plugin und Synapse schon mal probiert?

2. Ist es möglich den Login an einen Userrang zu binden? Also das ein Login via Oauth nur möglich ist wenn der User schon eine gewissen Benutzerrang hat?

Vielen Dank im Voraus.

Danke für die schnelle Antwort.

Soviel ich weiß gibt es ja die Möglichkeit die Produkte auszuprobieren. Da könnte ich ja mal versuchen ob ich die richtigen einstellungen hinbekomme um die Services zu "verheiraten".

Benutzergruppen nutzen wir ja schon. Benutzer die eine bestimmte Beteiligung im Forum zeigen etc. werden auf diesem Wege auch für den Versand von PM's freigeschaltet. Die gleiche Mechanik kann ich dann also auch dafür nutzen um eine Authentifizierung über das Plugin zuzulassen oder halt nicht?

Okay ich habe mir mal einen Test Synapse Server angelegt und mir eine OIDC Konfiguration zusammengebaut.

Leider komme ich an ein paar stellen nicht weiter.

Versuche ich den openid scope zu laden startet Matrix garnicht richtig durch. Es geht beim Startup ein Get Request an https://demo.viecode.com/ID-der-Demoinstanz/open-id-jwks aber da kommt nur ein 404 zurück. So startet Synapse nicht.

Schalte ich die discovery ab kann ich das jedoch umgehen.

Nun komme ich so weit das ich über Element eine Anfrage an den OAuth Server stellen kann.

Erteile ich jedoch in WBB Berechtigung kann Synapse keine Daten abrufen weil es einen 404 vom open-id-user-information Endpoint gibt.

synapse-synapse-1   | 2024-01-17 14:47:58,866 - synapse.handlers.oidc - 256 - INFO - GET-7 - Received OIDC callback for IdP oidc
synapse-synapse-1   | 2024-01-17 14:47:58,995 - synapse.http.client - 418 - INFO - GET-7 - Received response to POST https://demo.viecode.com/demoinstanz/oauth2-token: 200
synapse-synapse-1   | 2024-01-17 14:47:59,025 - synapse.http.client - 418 - INFO - GET-7 - Received response to GET https://demo.viecode.com/demoinstanz/open-id-user-information: 404

Hast du vielleicht irgendeine Ahnung warum das passiert?

Und vielleicht noch eine andere frage: Gibt es eine Liste der Scopes bzw. der darin enthaltenen Claims die ja nach konfiguration des Plugins ausgeliefert werden?

Habe die Url's gerade mal angepasst der 404 ist aber immer noch da:

synapse-synapse-1   | 2024-01-17 15:27:06,119 - synapse.http.client - 418 - INFO - GET-6 - Received response to POST https://demo.viecode.com/demoinstanz/index.php?oauth2-token: 200
synapse-synapse-1   | 2024-01-17 15:27:06,164 - synapse.http.client - 418 - INFO - GET-6 - Received response to GET https://demo.viecode.com/demoinstanz/index.php?open-id-user-information: 404

Stimmt, das Schlüsselpaar habe ich vergessen. Danke für den Hinweis.

Jetzt kriege ich auf dem Endpunkt ein 401.

Meine Config in Matrix sieht folgerndermaßen aus

oidc_providers:
  - idp_id: testoidc
    idp_name: "testoidc"
    discover: false
    issuer: "https://demo.viecode.com/"
    client_id: "synapse2"
    client_secret: "bcc65a5334b319f8f87c363447fd33b44e6e9fef5649e3c4xxxxxxxxxxxxxxx"
    scopes: ["profile"]
    authorization_endpoint: "https://demo.viecode.com/demoinstanz/index.php?oauth2-authorize"
    token_endpoint: "https://demo.viecode.com/demoinstanz/index.php?oauth2-token"
    userinfo_endpoint: "https://demo.viecode.com/demoinstanz/index.php?open-id-user-information/"
    jwks_uri: "https://demo.viecode.com/demoinstanz/index.php?open-id-jwks"
    #user_profile_method: userinfo_endpoint
    user_mapping_provider:
      config:
        localpart_template: "{{ user.preferred_username }}"
        display_name_template: "{{ user.name }}"

Weiss grad nicht weiter, vielleicht mal ne Nacht drüber schlafen.

Okay heute morgen noch mal eine Testinstanz angelegt. Neuen Privaten und öffentlichen Schlüssel angelegt, sowie die Oauth Anwendung erstellt.

Discovery musste ich abschalten, mit hängt sich die OIDC Implementierung von Matrix weg.

Leider kriege ich nachdem ich Element versuche auf der Testinstanz freizugeben ein Invalid Token Fehler, danach krieg ich vom Open ID User Information Endpoint nur noch ne 401, wahrscheinlich weil versuch wird sich mit dem falschen Token anzumelden.

Ich sehe aber auch keine Möglichkeit diesen Token zu löschen etc.

Okay kein Problem.

Ich bin mir wirklich nicht sicher ob die Probleme nicht mit der Demoinstanz, den URL Umschreibung etc. zusammenhängen. ggf. werden wir einfach mal eine Lizenz kaufen und schauen ob wir damit weiter kommen.

So nach knapp zwei Tagen rumprobieren habe ich es geschafft das ganze zum laufen zu bekommen.

Knackpunkt war wohl das Synapse signierte ID Token erwartet, diese aber vom Plugin scheinbar nicht so geliefert werden.

Nachdem ich die Prüfung in Synapse rausgepatched habe läuft die Authentifizierung durch.

https://github.com/matrix-org/synapse/issues/9250

Das ist die Issue auf Github dazu. Ist es möglich dieses Signing im Plugin einzufügen?