Synology SSO - OIDC-Dienst nur https?

[mindscout]

Hallo,

ich möchte den OIDC-Dienst von Synology SSO als Security Provider für ein Docker-Image nutzen (Urlaubsverwaltung).
Allerdings sind dort alle Angaben mit "https" und ich habe aber nur ein selbstsigniertes Zertifikat, was die Dockeranwendung natürlich nicht kennt.

Kann man OIDC mit http verwenden? Oder gibt es eine unkomplizierte Möglichkeit das Zertifikat dem Dockercontainer mitzugeben?

 

[Benares]

Ich kenne OIDC nicht. Aber normalerweise macht man das über den Reverse-Proxy der DS, der sich dann auch um die Zertifikate kümmert.
Also https://oidc.example.com:443 -> http://localhost:<oidcPort>

 

[Benie]

Aber dadurch kann er doch immer noch kein http verwenden, das funktioniert doch nur mit https wenn die DNS auf die interne IP aufgelöst wird wenn https benötigt wird, oder gibt es da noch eine weitere Möglichkeit?

Edit: oder meintest Du mit http:// IP : Port aufrufen?

 

[JohneDoe]

Er kann den Reverse Proxy auch auf HTTP lauschen lassen und auf HTTPS leiten lassen.

 

[Benares]

Dann ist aber die eigentliche Verbindung unverschlüsselt, nur der letzte Teil ist https, oder?

 

[JohneDoe]

Ja das ist korrekt. Aber er wollte es ja über HTTP laufen lassen.
Ich würde IMMER und ALLES über HTTPS laufen lassen, aber das war hier ja nicht die Frage.

 

[Benares]

@Benie, ich habe einen DDNS-Dienst, der nur die IPv6 meiner DS auflöst, dazu ein passendes Wildcard-Cert. So braucht es keine Portfreigaben, wenn man nur lokal arbeitet.

 

[mindscout]

Die NAS ist nicht über das Internet erreichbar, nur per LAN oder VPN, darum halte ich http hier für vertretbar. Zumindest ist es mir bisher nicht gelungen, mein Zertifikat in den Dockercontainer zu schleusen.

An Reverse-Proxy habe ich auch gedacht, allerdings ist ja alles nur local unbd ohne Domain. Ich könnte höchstens versuchen, ob der Hostname funktioniert - reverse Proxy akzeptiert keine IP-Adressen, darum hatte ich es verworfen.

Falls es mit Hostnamen geht: Muss ich zwei Reverse Proxy einrichten von http zu https und umgekehrt, oder reicht einer und es geht automatisch in beide Richtungen?