OIDC-Einrichtung mit Pocket ID für Nextcloud
OIDC-Setup mit Pocket ID
Einfaches Single Sign-On mit OpenID Connect
Pocket ID ist ein moderner, schlanker OpenID-Connect-Provider, der sich hervorragend eignet, um externe Dienste zentral zu authentifizieren. In dieser Anleitung zeige ich dir, wie du Pocket ID als OIDC-Provider einsetzt.
Jetzt klären wir erst mal ein paar Begriffe, danach richten wir Nextcloud als OIDC-Client ein.
Ein kurzer Überblick über die Technologien
Was ist Pocket ID?
Pocket ID ist ein einfacher OIDC-Provider, der es Nutzerinnen und Nutzern ermöglicht, sich mit ihren Passkeys bei deinen Diensten zu authentifizieren.
Das Ziel von Pocket ID ist es, eine einfache und leicht zu bedienende Lösung zu bieten.
Es gibt zwar andere selbstgehostete OIDC-Provider wie Keycloak oder ORY Hydra, doch diese sind oft zu komplex für einfache Anwendungsfälle.
Das Besondere an Pocket ID ist, dass es ausschließlich Passkey-Authentifizierung unterstützt – das bedeutet, du benötigst kein Passwort.
Pocket ID ist ein selbst gehosteter OpenID-Connect-Identity-Provider mit Fokus auf Einfachheit und Sicherheit. Er stellt dir eine zentrale Benutzerverwaltung zur Verfügung, die du für verschiedene Dienste nutzen kannst – ganz ohne jeden Dienst einzeln mit Benutzern und Passwörtern zu pflegen.
Kurz gesagt:
- Ein Login
- Viele Dienste
- OIDC-Standard
- Self-Hosted
Was ist OAuth2?
OAuth2 (Open Authorization 2.0) ist ein branchenweit etablierter Standard für Autorisierung.
Er ermöglicht Anwendungen (Clients), eingeschränkten Zugriff auf Benutzerkonten eines HTTP-Dienstes zu erhalten, ohne die Zugangsdaten direkt weiterzugeben.
Stattdessen werden sogenannte Access Tokens (Zugriffstoken) verwendet, um sichere Interaktionen zu ermöglichen.
OAuth2 wird häufig eingesetzt, wenn sich Benutzer über Drittanbieter-Services anmelden oder autorisieren sollen.
Was ist OpenID Connect (OIDC)?
OIDC (OpenID Connect) ist eine Identitätsschicht, die auf OAuth2 aufbaut.
Während OAuth2 in erster Linie die Autorisierung regelt, erweitert OIDC das Protokoll um die Authentifizierung.
Damit können Anwendungen die Identität eines Benutzers verifizieren und Profilinformationen abrufen.
OIDC eignet sich hervorragend für Single-Sign-On (SSO)-Lösungen, bei denen die Benutzeridentität eine zentrale Rolle im Zugriffsmanagement spielt.
Voraussetzungen
Bevor wir loslegen, solltest du Folgendes haben:
- Eine laufende Pocket-ID-Instanz
- Eine Domain oder URL, unter der Pocket ID erreichbar ist
- Admin-Zugriff auf Pocket ID
- Einen Dienst, der OpenID Connect unterstützt (in unserem Fall später: Nextcloud)
Wie funktioniert OIDC mit Pocket ID?
Pocket ID fungiert als Identity Provider (IdP).
Die Anwendung (z. B. Nextcloud) ist der Client.
Der Ablauf ist immer gleich:
- Der Benutzer möchte sich bei einer Anwendung anmelden
- Die Anwendung leitet ihn zu Pocket ID weiter
- Pocket ID authentifiziert den Benutzer
- Pocket ID schickt ein Token zurück
- Die Anwendung meldet den Benutzer an
1. OIDC-Client in Pocket ID anlegen
- Melde dich als Administrator bei Pocket ID an.
- Gehe zu OIDC Clients.
- Klicke auf „Add Client“.
Client-Einstellungen
| Feld | Wert |
|---|---|
| Name | Nextcloud |
| Redirect / Callback URL | https://cloud.gloetter.net/apps/user_oidc/code |
| Logout Redirect URL (optional) | https://cloud.gloetter.net |
| Confidential Client | aktiviert |
| E-Mail verified required | aktiviert |
Nach dem Speichern bekommst du:
- Client ID
- Client Secret
👉 Beides sicher speichern, du brauchst es gleich in Nextcloud.
2. OpenID-Connect-App in Nextcloud installieren
- Melde dich als Admin bei https://cloud.gloetter.net an
- Öffne Apps
- Suche nach „OpenID Connect user backend“
- Installiere die App
Diese App macht Nextcloud OIDC-fähig.
3. Pocket ID in Nextcloud konfigurieren
- Gehe zu Einstellungen → Verwaltung → OpenID Connect
- Klicke auf „Neuen Provider hinzufügen“
Provider-Konfiguration
| Feld | Wert |
|---|---|
| Identifier | pocketid |
| Client ID | (aus Pocket ID) |
| Client Secret | (aus Pocket ID) |
| Discovery Endpoint | https://<DEINE-POCKET-ID-URL>/.well-known/openid-configuration |
| Scope | openid email profile |
| Auto create users | aktiviert |
| Use email as UID | aktiviert |
💡 Der Discovery-Endpoint sorgt dafür, dass Nextcloud automatisch alle benötigten OIDC-URLs findet.
4. Login testen
- Öffne https://cloud.gloetter.net
- Auf der Login-Seite erscheint nun „Login with pocketid“
- Anklicken → Weiterleitung zu Pocket ID
- Einloggen → zurück zu Nextcloud
Beim ersten Login wird der Benutzer automatisch angelegt.
Optional: Klassischen Login deaktivieren
Wenn Nextcloud nur noch über Pocket ID erreichbar sein soll:
occ config:app:set user_oidc allow_multiple_user_backends --value=0
Danach gibt es keinen lokalen Login mehr – nur noch OIDC.
Fazit
Mit Pocket ID und OpenID Connect bekommst du:
- Zentrale Benutzerverwaltung
- Weniger Passwörter
- Sauberes Single Sign-On
- Eine Lösung, die perfekt zu Self-Hosting passt
Nextcloud lässt sich damit problemlos in eine bestehende Auth-Infrastruktur integrieren – und das ohne komplizierte Umbauten.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!