Kollaborieren statt Koordinieren
Im Diskurs mit dem schweizerischen Kanuverband, Swiss Canoe, stellte sich heraus, dass ihre Datenablage und die Zusammenarbeit an Dokumenten nur suboptimal funktioniert. Damit ist Swiss Canoe aber nicht alleine. Auch andere Vereine und Verbände kennen das Problem. Häufig führt die Nutzung von Cloudspeichern in verschiedenen Teams nicht zu einer produktiven Zusammenarbeit an Dokumenten, sondern zu mühsamer Koordination verschiedener Fileversionen. So war der Austausch mit dem Kanuverband unser Startschuss für die Entwicklung einer Schnittstelle zwischen Nextcloud und Hitobito. Unser Ziel war, die Nutzung beider Tools reibungslos zu gestalten und eine Grundlage zu schaffen, um ihre Qualitäten optimal auszuschöpfen.
Schluss mit der Passwortflut dank Hitobito SSO
Ein Vorteil ist, dass Hitobito die Möglichkeit bietet, als SSO-Applikation (Single Sign-on) zu agieren. Damit können Personen, die bereits über ein Hitobito-Konto verfügen, sich direkt bei der entsprechenden Nextcloud-Instanz anmelden, ohne ein separates Nextcloud-Login erstellen zu müssen. So erscheint auf der Anmeldeseite von Nextcloud nebst den Eingabefeldern für Benutzername und Passwort ein Button mit der Aufschrift «Login with Hitobito». Wird dieser betätigt, erfolgt die Weiterleitung zur Hitobito-Anmeldeseite oder, sofern bereits eine Anmeldung erfolgt ist, zur Startseite von Nextcloud.
Automatisches Gruppenmapping
Durch die Verwendung des Hitobito-Logins konnten wir das automatische Gruppenmapping einführen. Dabei werden den Mitgliedern basierend auf ihrer Gruppen-zugehörigkeit in Hitobito direkt die entsprechenden Ordner und Dateien in Nextcloud freigegeben. So wird der Verwaltungsaufwand für die Administrator*innen reduziert. Tritt zum Beispiel eine Person aus dem Vorstand zurück und erfolgt in Hitobito eine System-anpassung, so verliert die Person auch die Berechtigungen auf der Nextcloudumgebung. Hingegen haben Neumitglieder in einem Verein automatisch Zugriff auf die geteilten Dateien in Nextcloud.
Konfiguration
Damit das Login mittels Hitobito sowie das Gruppen-mapping gelingt, müssen einige Konfigurationen vorgenommen werden. Im Wagon der Hitobito Users müssen die Funktionalitäten mittels Feature Flag freigegeben werden. Sobald dies erfolgt ist, wird zunächst Hitobito als OAuth-Provider eingerichtet. Hierfür werden bei der OAuth-App in den Einstellungen die Redirect-URIs, Scopes, Client-ID und Secret eingetragen. Optional kann in der Gruppenbeschreibung der Link zur Nextcloud-umgebung eingetragen werden. Anschliessend muss auf der Nextcloud die App «OpenID Connect user backend» installiert werden. Diese ermöglicht, dass das Single Sign-on zugelassen wird.
Als Identifier wird ein sprechender Name wie beispielsweise «Hitobito» gewählt. Client-ID, Secret, Discovery-Endpoint und Scope werden entsprechend der Hitobito Instanz eingetragen. Um sicherzustellen, dass sowohl die Authentifizierung wie auch die Autorisierung durch den Account aus Hitobito geschehen kann, muss ebenfalls das Attribute Mapping korrekt erfolgen.
Zu guter Letzt sollten folgende Optionen in den Settings freigegeben werden:
- Use group provisioning
- Check Bearer Token
- Autoprovision User when using Bearer Token
Hat dies nun alles funktioniert, so kann ab sofort das Login über Hitobito geschehen.
Erfahrungsbericht von Swiss Canoe
Die Verwendung von Nextcloud in Kombination mit Hitobito erleichtert die täglichen Abläufe für den Schweizer Kanuverband sehr. Es ist nun spielend einfach, Dokumente allen Mitgliedern oder einer bestimmten Gruppe von Mitgliedern verfügbar zu machen. Für die Personen, welche diese Dokumente erstellen oder bearbeiten, bietet insbesondere die Möglichkeit, im Browser gemeinsam dasselbe Dokument zu bearbeiten, einen grossen Mehrwert.