Im letzten Post habe ich einen Reverse Proxy mit OneLogin aufgebaut.
In dem Setup hat jeder eingeloggte Benutzer Zugriff auf alle privaten Seiten.
Jetzt wird das Setup erweitert, so dass es Seiten gibt, die für eingeloggte Benutzer verfügbar sind und Seiten, die nur für Administratoren verfügbar sind.
In OneLogin gibt es, soweit ich das sehen konnte, keine einzelnen Rechte, sondern nur Rollen.
Rollen anlegen
In OneLogin zwei Rollen anlegen:
- user
- admin
Dazu in der OneLogin Administration auf Users -> Roles -> New Role gehen und dort die Rollen anlegen, dabei direkt der App zuweisen.
Unter Users -> Users -> User auswählen, dort unter Applications die Rollen hinzufügen:
Zu meiner Überraschung werden die Rollen von OneLogin nicht mit übergeben:
Auf Applications, Application auswählen, dort auf Access und role-specivic policy:
TBD
Das hat noch nicht weiter geholfen.
Frage auf Stack Overflow gestellt: apache - Role based authorization with mod_auth_openidc and OneLogin - Stack Overflow
UPDATE: Es geht nicht
Wie ich inzwischen erfahren durfte, ist es gar nicht in OneLogin vorgesehen, dass die Anwendungs-Rollen in OneLogin gepflegt werden.
Die Authorisierung muss also (vorerst) innerhalb der Anwendung erfolgen.
One reply on “Reverse Proxy mit rechtebasiertem Zugriff”
[…] haben ja noch die Rolle “user”, der die App zugeordnet ist, aus einem vorhergehendem Versuch. Die sollten wir nehmen […]