0x01 前言

几小时前发布了一篇文章:

只要尝试过SSO的便捷之后,再也回不去手动添加用户也给用户修改密码的时代。个人和企业经常使用的nextcloud也有相应的app支持SAML。需要注意的是,SAML是一个标准,只是我使用Azure AD,还有其他厂商提供类似的服务,而且都很优质。

0x02 准备

首先需要准备一套nextcloud环境,在这里我使用docker的版本用于演示,其次还需要有一个企业级的Office 365授权以便使用Azure AD的一些功能。

docker版的nextcloud开箱即用,只需要配置好ingress即可:

在这里我使用以下域名:

  • nextcloud.dev.enginx.net

然后登入nextcloud并进入app管理页面:

在顶部的搜索栏中查找SSO,选中并安装 SSO & SAML authentication:

如果搜索不出该插件,请更换到一个稳定可靠的网络环境并多次尝试。

0x03 Azure AD

完成后来到Azure AD的管理页面,创建一个企业应用程序并填入相关的内容,具体请参考以下文章:

在基本SAML配置中填写以下信息:

  • 标识符:https://nextcloud.dev.enginx.net/apps/user_saml/saml/metadata
  • 断言URL:https://nextcloud.dev.enginx.net

然后下载联合元数据XML并记下文件内的X509证书内容,最后复制登陆URL、Azure AD标识符和注销URL备用。

紧接着单击用户属性和声明框中右上角的小笔图标,将值为 user.userprincipalname的声明名称记下备用,其实这个是通用的,具体如下:

我们还需要来到用户和组标签添加用户:

这个用户不一定需要在同一个AD域下,当添加其他域用户的时候会发出邀请邮件,被邀请的用户确认后即可通过Azure AD使用该企业应用程序。

至此,Azure的部分均已完成。

0x04 Nextcloud

确认插已启用,然后进入设置页面:

然后进入该插件的设置页面并单击使用内置SAML认证:

紧接着填充以下内容:

  • 映射到的UID属性:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  • ldP标识符:Azure AD 标识符
  • 验证请求:登录 URL
  • SLO请求:注销 URL
  • X509证书:XML内的X509证书
  • 将电子邮件映射到属性:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

至此,所有配置均已完成。

默认情况下,nextcloud会使用Office 365的账号进行认证,而不会弹出认证表单,如果需要使用原来的验证表单,比如使用admin用户登入时,需要手动添加后缀,如:

0x05 结语

使用也非常简单,首先在Azure AD中添加用户,该用户即有登入的权限。如果需要分享文件或文件夹,则需要手动输入完整的邮箱地址,即可完成分享的工作。