Ich habe ein Single Sign On System, kurz SSO, für meine öffentlichen Services eingeführt und setze dafür Kanidm ein, weil mich seine Unix Kompatibilität und seine Performance überzeugen. Kanidm dient als zentrales Identity Backend und ermöglicht die Verwaltung aller Identitäten an einer Stelle. Damit lassen sich Benutzerdaten, Gruppen und Rechte konsistent verwalten und für verschiedene Frontends bereitstellen.

Für Webanwendungen nutze ich Kanidm als OAuth2 beziehungsweise OpenID Connect Provider, sodass sich Nutzer mit einer einzigen Identität bei mehreren Diensten anmelden können. Dadurch entfällt die Pflege separater Benutzerkonten in jeder Anwendung und der Anmeldevorgang wird für Nutzer und Administratoren deutlich einfacher. Zusätzlich nutze ich Kanidm zur Verwaltung von SSH Schlüsseln. So können lokale Systeme die zentral verwalteten Schlüssel zur Authentifizierung heranziehen, was die Zugriffskontrolle vereinfacht und den Verwaltungsaufwand reduziert.

Das System ist so konfiguriert, dass neue Dienste durch Anlegen eines Clients und Zuweisung der passenden Redirect URIs beziehungsweise Berechtigungen schnell angebunden werden können. Bei Bedarf lasse sich zusätzliche Authentifizierungsfaktoren ergänzen oder eine Rechtevergabe über Gruppen automatisieren.