SSO exceptions for specific app URL (cryptpad/vaultwarden)

What app is this about, and its version: sso, cryptpad, vaultwarden
What YunoHost version are you running: 12.1.38
What type of hardware are you using: VPS bought online

Describe your issue

FR (EN below)
Bonjour,

Je dispose d’une instance avec les apps cryptpad et vaultwarden configurées en accès “utilisateurs enregistrés” seulement (c-à-d, connexion au SSO obligatoire, puis connexion à l’app puisqu’elles n’intègrent pas le SSO directement).
Ces deux applications disposent de fonctionnalités bien pratiques de partage que je souhaite utiliser avec des anonymes ne disposant pas de comptes sur mon instance (rôle visiteur).
Exemple:

• La fonctionalité Send pour Vaultwarden qui génère un lien de partage d’un fichier ou texte (exemple: https://vaultwarden.abc/#/send/random-uid
• Le partage d’un dossier ou fichier cryptpad spécifique (exemple: https://cryptpad.abc/form/#/2/form/edit/random-uid/)

Je pourrais passer ces deux applications en accès “visiteur” (public), mais je ne trouve pas la solution convenable d’un point de vue sécurité. Je trouve plus prudent de garder mes apps derrière le SSO (peut être à tort ?).

Ma question est par conséquent la suivante:
Existe-t-il un moyen de garder ces apps en accès “utilisateurs enregistrés” seulement, mais d’autoriser des URLs spécifiques à contourner le SSO (ex https://vaultwarden.abc/#/send/\\\*)

Merci aux mainteneurs de yunohost et de ces apps, et pour vos futurs réponses.

EN

Hello,

I have an instance with the Cryptpad and Vaultwarden apps configured for “registered users” only (i.e., mandatory SSO login, then login to the app since they do not integrate SSO directly).
These two applications have very useful sharing features that I would like to use with anonymous users who do not have accounts on my instance (visitor role).
Example:

• The Send function for Vaultwarden, which generates a link to share a file or text (example: https://vaultwarden.abc/#/send/random-uid
• Sharing a specific cryptpad folder or file (example: https://cryptpad.abc/form/#/2/form/edit/random-uid/)

I could switch these two applications to “visitor” (public) access, but I don’t think this is a suitable solution from a security standpoint. I think it’s safer to keep my apps behind the yunohost SSO (maybe it’s overkill ?).

My question is therefore as follows:
Is there a way to keep these apps accessible only to “registered users,” but allow specific URLs to bypass SSO (e.g., https://vaultwarden.abc/#/send/\\\*)

Thank you to the maintainers of yunohost and these apps, and for your future responses.

Share relevant logs or error messages

/

Tu peux essayer d’éditer le fichier /etc/ssowat/conf.json.persistent de cette manière mais, au vu des chemins, il y a peu de chances que cela aboutisse.

{

"permissions": {

        "myapp.unrestricted": {
            "auth_header": false,
            "public": true, 
            "uris": [
                "mydomain.tld/p" # accès public
            ],
            "users": [
# utilisateurs
            ]
        },

        "myapp.restricted": {
            "auth_header": false,
            "public": false, # accès restreint
            "uris": [
                "mydomain.tld/" # protégé par sso
            ],
            "users": [
# utilisateurs
            ]
        },
        }



}

Merci pour la suggestion otm33. Effectivement j’ai l’impression que ça prend une URI fixe et qu’il est impossible d’utiliser un regex par exemple. Je vais donc avoir un problème avec mes uid aléatoires dans les URIs de partage.

Je vais quand même essayer et tenter le coup.

Sais-tu s’il existe une doc officielle sur l’utilisation/la gestion de ce fichier ?

Je crois que ce n’est plus très documenté et que la “surcharge” de conf.json par ce biais n’est plus encouragée (au profit de yunohost app setting…).
Je crois que le problème tient plutôt au # de l’url qui ne pourra pas être traité mais c’est à confirmer…

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.