Recent searches

No recent searches

Search options

Only available when logged in.
digitalcourage.social is one of the many independent Mastodon servers you can use to participate in the fediverse.
Diese Instanz wird betrieben von Digitalcourage e.V. für die Allgemeinheit. Damit wir das nachhaltig tun können, erheben wir einen jährlichen Vorausbeitrag von 1€/Monat per SEPA-Lastschrifteinzug.

Administered by:

Server stats:

823
active users

digitalcourage.social: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.4.3

#keycloak

5 posts4 participants0 posts today
Replied in thread
jakob 🇦🇹 ✅

@dasniko @neamil

Ich hab jetzt die #idaustria auf das hin abgeklopft.

Am Smartphone mit dem selbe Yubikey.

Dort ist der Loginflow so, dass ich mich mit Username und Passwort zuerst anmelden muss, und dann mit dem Fidotoken als 2nd Factor validieren.

Ich krieg zwar USB und NFC angeboten, und NFC fragt keinen PIN ab. Jedoch lehnt die ID-Austria Website dann ab und sagt, ich muss USB verwenden.
Also einstecken, dann wird der Pin abgefragt und ich muss den Token berühren.

Es gibt sldo noch eine Sicherungsstufe beim IdP über das hinaus, was mir #keycloak derzeit bietet.
Vielleich lässt sich das ja noch konfigurieren.

Kevin Veen-Birkenbach

Infinito.Nexus: Die Zukunft von SSO & IAM für Unternehmen und Communities

Die digitale Welt wird immer komplexer. Unternehmen, Organisationen und Communities nutzen heute eine Vielzahl an Anwendungen – von Projektmanagement-Tools über Cloud-Speicher bis hin zu sozialen Plattformen. Damit steigt die Herausforderung, Identitäten, Rechte und Zugriffe effizient, sicher und benutzerfreundlich zu verwalten. Genau hier setzt Infinito.Nexus an: mit einer einzigartigen Kombination aus Single Sign-On (SSO) und Identity & Access Management (IAM), die weit über klassische Enterprise-Lösungen hinausgeht. […]

blog.infinito.nexus/blog/2025/

#activedirectoryintegration#authentifizierung#Autorisierung
jakob 🇦🇹 ✅

Hat irgendjemand von euch schon #Pixelfed mit #keycloak zum Laufen bekommen?
Ich lande mit #OIDC in einer Redirect-Loop zwischen Pixelfed und keycloak.

Auf beiden servern wird mir 302 und einer location die auf den jeweils anderen server verweist geantwortet... nach einigen malen hin und her gibt der Browser auf.

Und da keycloak mit allen anderen Services aber gut funktioniert, vermute ich, dass in Pixelfed irgendwas wieder einmal nicht sauber umgesetzt wurde.

Doku zum Thema: NULL

Mich frustriert Pixelfed zunehmend. Immer neue Features, die schlampig implementiert und alte, essentielle Bugs werden nicht behoben.
Jetzt hätt ich mich gefreut, dass ich es zumindest in Keycloak einbinden kann... aber nein... wieder nix.

Kevin Veen-Birkenbach

Infinito.Nexus: Der komplette Entwicklungs-Stack in unter zwei Stunden

Softwareentwicklungsfirmen stehen oft vor der Herausforderung, zahlreiche Systeme zur Zusammenarbeit, Versionsverwaltung, Kommunikation, Dokumentation und Sicherheit aufzusetzen. Infinito.Nexus löst dieses Problem in weniger als zwei Stunden – modular, automatisiert und vollständig integriert. […]

blog.infinito.nexus/blog/2025/

#analytics#automatisierung#baserow
Kevin Veen-Birkenbach

Infinito.Nexus und der Deutschland-Stack: Digitale Souveränität in der Praxis

Der Begriff Deutschland-Stack taucht im Koalitionsvertrag auf – allerdings ohne klare technische Ausgestaltung. Schleswig-Holstein hat diese Lücke geschlossen: Mit einem Impulspapier vom 12. August 2025 hat das Land zentrale Prinzipien formuliert und seine Unterstützung bei der Umsetzung angeboten (schleswig-holstein.de). Hier findest du das Impulspapier auf dem offiziellen Portal des Landes Schleswig-Holstein:→ Impulspapier zum Deutschland-Stack veröffentlicht – Schleswig-Holstein (12. 08. 2025) […]

blog.infinito.nexus/blog/2025/

#collabora#deutschland#deutschlandstack
*
jakob 🇦🇹 ✅

Ich habe gerade einen Designfehler als schwere #Sicherheitslücke bei Androids mit #Passkeys auf externen Token wie z.B. #Yubikeys mit #FIDO2 entdeckt...

Aber bevor ich einen Murdsbahö mache, würd ich gerne mal rückfragen, ob jene die sich mit #Security hier befassen, das auch so sehen.

Folgendes Szenario:
Ich habe #keycloak als Authentifikations-Service vor div. Services bei mir im Einsatz.
Dort habe ich einen Authentication-Flow der mir "Passwortlose" Authentifizierung erlaubt. Also der einen Passkey verwenden kann.

Als Passkey habe ich einen Yubikey 5C mit NFC im Einsatz.

Wenn ich diese Authentifikation am Laptop wähle, so muss der Yubikey eingesteckt sein. Ich gebe meinen Benutzernamen ein. Dann fragt mich der Browser nach dem PIN des Yubikeys. Den gebe ich ein, und dann werde ich aufgefordert, da drauf zu drücken, und schon bin ich angemeldet.

Genauso funktioniert das am Smartphone auch, wenn der Token per USB eingesteckt ist.

Ein Angreifer, der sich meinen Token stiehlt muss immer noch den PIN dazu wissen. Und nach 3x-iger falscher Eingabe ist der Token unbrauchbar.

Die Sicherheit ist also relativ hoch.

Aber Android (ich hab GrapheneOS im Einsatz) fragt mich auch, ob ich die Authentifizierung per NFC machen möchte. Das ist eine Google-App. Ja auch auf #GrapheneOS da diese noch nicht portiert wurde. Aber es ist egal, auf den allermeisten Androids rennt diese Google-App die für FIDO-Authentifizierung genutzt wird.

Wenn ich also NFC wähle, so muss ich nur den Token präsentieren und schon bin ich drin in meinem Account.

Es fehlt die Abfrage nach dem PIN des Token.

Ich habe in keycloak nichts gefunden, wo ich einstellen könnte, dass auch bei Authentifizierung mittels NFC der PIN abgefragt werden muss. Also scheint es die Google-App zu entscheiden, dass über USB der PIN abgefragt wird und über NFC nicht.

Und das sehe ich als gewaltige Sicherheitslücke, welche diesen Authentifizierungsflow in keycloak ad Absurdum führt.

Wenn ich einen Passkey eines Gerätes nehme, auf dem ich mich einloggen muss... ok. Es muss jemand meinen Laptop oder mein Smartphone stehlen und sich in meinen Account einloggen... dann passt es, dass kein PIN per NFC abgefragt wird.

Aber wenn ich bloß einen Yubikey stehlen muss und schon komm ich ohne dem Faktor "Wissen" in keycloak-Accounts rein... ist das NICHT GUT.

@kuketzblog @padeluun @publicvoit wie seht ihr das?

Kevin Veen-Birkenbach

🌐 Digitale Souveränität bedeutet mehr als nur Software – es heißt Verwaltung, Bildung & #Wirtschaft vernetzen. Mit #InfinitoNexus existiert eine offene Plattform, die Tools wie #Moodle, #Nextcloud, #BigBlueButton, #OpenProject, #GitLab oder #Discourse integriert – sicher, modular & unabhängig von Konzernen.

👉 Erfahre, warum das für Stakeholder entscheidend ist:
s.infinito.nexus/oeffentlichev

s.infinito.nexusInfinito.Nexus – Eine Plattform für digitale Souveränität und vernetzte Zusammenarbeit – Infinito.Nexus Blog
More from Kevin Veen-Birkenbach
#OpenSource#Digitalisierung#Verwaltung
*
Kevin Veen-Birkenbach

Infinito.Nexus – Eine Plattform für digitale Souveränität und vernetzte Zusammenarbeit

Die digitale Transformation stellt heute alle gesellschaftlichen Bereiche vor enorme Herausforderungen. Öffentliche Verwaltungen kämpfen mit komplexen IT-Landschaften, Bildungsträger suchen nach sicheren und offenen Lernumgebungen, und Unternehmen benötigen flexible Plattformen für Kollaboration und Innovation. Währenddessen wächst der Druck, digitale Souveränität zu stärken und sich nicht von wenigen globalen Konzernen abhängig zu machen. Genau hier setzt Infinito.Nexus an: ein Open-Source-Framework, das komplette digitale Infrastrukturen automatisiert bereitstellt und eine Vielzahl erprobter Anwendungen nahtlos miteinander verbindet. […]

blog.infinito.nexus/blog/2025/

#BigBlueButton#bildung#digitalisierung
Kevin Veen-Birkenbach

Infinito.Nexus vs. OpenDesk & Microsoft 365 – der entscheidende Unterschied

Wenn Unternehmen oder Institutionen heute über digitale Arbeitsplätze sprechen, fallen meist zwei Namen: OpenDesk als Open-Source-Ansatz und Microsoft 365 als proprietäre Komplettlösung. Beide haben ihre Stärken – doch beide bleiben in einem entscheidenden Punkt zurück: Sie liefern keine vollständige, souveräne Server-Infrastruktur. Genau hier setzt Infinito.Nexus an. Fullstack statt Software-Inseln Während Microsoft 365 im Kern ein Cloud-SaaS-Paket ist und OpenDesk primär als App-Suite gedacht ist, geht Infinito.Nexus deutlich weiter. Automatisiertes Fullstack-Deployment: Vom Linux-Server über Container-Orchestrierung bis hin zu SSL-Zertifikaten, DNS-Einträgen und Reverse-Proxy wird alles automatisiert eingerichtet. Eigene Infrastruktur statt Abhängigkeit: Nutzer betreiben ihren kompletten Stack selbst – On-Premises oder in der Cloud – und behalten damit volle Datenhoheit. Nahtlose Updates & Health Checks: Systemd-Timer, Backups und Health-Monitoring sind direkt eingebaut. OpenDesk und Microsoft 365 setzen auf externe Infrastruktur – Infinito.Nexus liefert dagegen das gesamte Fundament gleich mit. […]

blog.infinito.nexus/blog/2025/

#automation#cloudinfrastructure#communitytools
Replied in thread
Kevin Veen-Birkenbach

@OSBA Gibt es noch andere ähnliche Wettbewerbe? Ich suche noch nach Möglichkeiten mein Enterprise IT-Infrastruktur Framework bewerben mit dem man den gesamten IT-Stack z.B. mit @nextcloud @moodle @openproject uvm. mit #SSO via #OIDC und #LDAP mit #keycloak full #OpenSource aufsetzt.

Code: s.infinito.nexus/code
Demo: infinito.nexus

Sind euch da Förderprogramme und Wettbewerbe bekannt um das zu bewerben? Habe das gefühl jeder fordert die Lösung aber keiner weiß das sie existiert ;D

Infinito.Nexus is a turnkey framework built on Docker, Ansible and ActivityPub for deploying a server with LDAP-based IAM and Keycloak SSO. Its unified interface lets you access infinite open-sourc...
GitHubGitHub - kevinveenbirkenbach/infinito-nexus: Infinito.Nexus is a turnkey framework built on Docker, Ansible and ActivityPub for deploying a server with LDAP-based IAM and Keycloak SSO. Its unified interface lets you access infinite open-source web apps with a single account, while built-in monitoring, automated backups and self-healing capabilities ensure your infrastructure stays healthy.Infinito.Nexus is a turnkey framework built on Docker, Ansible and ActivityPub for deploying a server with LDAP-based IAM and Keycloak SSO. Its unified interface lets you access infinite open-sourc...
Silke Meyer

As of #Keycloak 26.3 recovery codes are supported and @univention ships this version, too! Users can generate a list of recovery codes to regain access to their account if they lost their 2nd factor. While the config is not integrated with the univention-keycloak command atm, you can still activate it in Keycloak:

keycloak.org/docs/26.3.1/serve

Please remind your users to keep their recovery codes in a secure location other than the password safe containing the 1st factor. 😉

www.keycloak.orgServer Administration Guide
#2fa#mfa#otp
Martin

Dear #lazyweb, #keycloak admins,

when using security keys (such as YubiKeys) as a second factor, Keycloak will display all registered keys - but not trigger the authentication until the "Sign in with Passkey" -button is clicked.

Does anyone know if Keycloak can be configured to "auto-click" that button/automatically trigger the 2FA without user intervention?

I'm pretty sure, one could screw around with the template/skin - but surely there is a better way?

Max Maass :donor:

Currently on my way there - if you want to learn about how you can automatically check your #Keycloak configuration for security issues, come to the talk by @twwd and me on our open source tool, #kcwarden. Or hit me up here on Mastodon if you can’t make it 😉.

github.com/iteratec/kcwarden
fosstodon.org/@ahus1/115100370

GitHubGitHub - iteratec/kcwarden: Keycloak Configuration AuditorKeycloak Configuration Auditor. Contribute to iteratec/kcwarden development by creating an account on GitHub.
TrendingLive feeds
About