SSO (LDAP / EntraID)
ContextDecay unterstützt zwei SSO-Varianten. Beide werden über Umgebungsvariablen konfiguriert.
Option A: LDAP
Nutzer authentifizieren sich direkt gegen ein bestehendes LDAP-Verzeichnis (z. B. OpenLDAP oder Active Directory).
Konfiguration
Setze folgende Umgebungsvariablen:
CG_AUTH_MODE=ldap
CG_LDAP_URL=ldaps://ldap.example.com:636
CG_LDAP_BASE_DN=dc=example,dc=com
CG_LDAP_BIND_DN=cn=readonly,dc=example,dc=com
CG_LDAP_BIND_PASSWORD=geheim
CG_LDAP_USER_FILTER=(uid={{username}})| Variable | Beschreibung |
|---|---|
CG_AUTH_MODE | Auf ldap setzen |
CG_LDAP_URL | LDAP-Server-URL (LDAPS empfohlen) |
CG_LDAP_BASE_DN | Basis-DN für die Nutzersuche |
CG_LDAP_BIND_DN | DN des Service-Accounts für Bind |
CG_LDAP_BIND_PASSWORD | Passwort des Service-Accounts |
CG_LDAP_USER_FILTER | LDAP-Filter; {{username}} wird durch die Eingabe ersetzt |
Option B: Microsoft EntraID (Azure AD)
OAuth2-basiertes SSO über Microsoft EntraID mit PKCE (Proof Key for Code Exchange).
Konfiguration
Setze folgende Umgebungsvariablen:
CG_AUTH_MODE=entraid
CG_ENTRAID_CLIENT_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
CG_ENTRAID_CLIENT_SECRET=dein-client-secret
CG_ENTRAID_TENANT_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx| Variable | Beschreibung |
|---|---|
CG_AUTH_MODE | Auf entraid setzen |
CG_ENTRAID_CLIENT_ID | Application (client) ID aus der App-Registrierung |
CG_ENTRAID_CLIENT_SECRET | Client Secret der App-Registrierung |
CG_ENTRAID_TENANT_ID | Directory (tenant) ID deiner Organisation |
Automatische Nutzererstellung
Bei beiden SSO-Varianten wird ein Nutzerkonto automatisch beim ersten Login angelegt. Der Nutzer erhält zunächst die Standardrolle viewer. Rolle und Bereich können anschließend vom Administrator über die Nutzerverwaltung angepasst werden.