Paperless NGX + 2FA (Authelia) mit App nutzen?

hollester · 12. September 2024 um 14:40

Hi zusammen,

ich habe mehr oder minder Authelia zum Laufen bekommen (er leitet mich noch zur Anmeldeseite von Paperless weiter und nicht zu Authelia. Weiß jemand warum?) und frage mich nun, ob ich damit auch entsprechende iOS-Apps nutzen kann, wie Paperparrot oder Swift Paperless? Hat da jemand Erfahrungen?

Stefan · 13. September 2024 um 06:03

Bevor wir uns mit den Apps beschäftigen: Wenn du noch nicht zu Authelia weitergeleitet wirst, dann hast du es noch nicht korrekt installiert. Bitte dazu am besten ein neues Thema öffnen, sonst wird es schnell unübersichtlich.

Wieso_denn_bloss · 13. September 2024 um 06:10

Guten Morgen,

bei mir läuft Authelia wie es soll, aber die Frage mit den Apps hätte ich auch.

Viele Grüße
Steffen

janwidmer · 13. September 2024 um 19:32

Mich würde das ebenfalls interessieren, ich nutze Android und die App „Paperless mobile“.

hollester · 14. September 2024 um 13:55

Hi zusammen,

ich habe folgendes dazu bei Reddit gefunden. Durch diese Befehle umgeht die API einer App den 2FA, während die Weboberfläche den zweiten Faktor benötigt. Vielleicht kann ja jemand etwas zu dem Thema Sicherheit sagen.

access_control:
  default_policy: bypass
  rules:
    - domain: "*.mydomain.com"
      resources:
        - "^/api([/?].*)?$"
      policy: bypass
    - domain: paperless.mydomain.com
      policy: two_factor

Ich habe es bei mir ausprobiert und es hat auf anhieb geklappt. Evtl. könnte man die API auf spezifische Apps limitieren, da hier scheinbar jede API durchgelassen wird.

Stefan · 17. September 2024 um 05:35

Es ist tatsächlich nicht ganz so einfach, denn dieser Ansatz hier würde paperless-ngx wieder für das ganze Internet freigeben ohne 2FA. Zwar nur über die API, aber die API ist genau das, was Hacker wollen. Würde ich also nicht empfehlen.

Ich bin noch am Überlegen, wie man das umsetzen könnte, vermutlich geht es irgendwie über Custom Headers, die in paperparrot konfiguriert werden können. Bevor ich da aber eine Aussage mache, möchte ich es validiert wissen

hollester · 17. September 2024 um 06:18

Danke für deine Rückmeldung.

Das habe ich mir schon gedacht, daher habe ich den Teil auch wieder rausgenommen. Aktuell löse ich es über einen VPN, der sich automatisch einschaltet, wenn ich die App öffne (via Siri Kurzbefehl-Automation).

Wenn du da eine bessere Lösung hast, würde ich mich sehr freuen, davon zu hören.

redberry94 · 21. November 2024 um 19:22

Hallo zusammen,

ich bin heute u.a. dafür von Authelia auf Authentik umgestiegen. Hier wird eine native OpenID Connect Authentifizierung unterstützt. So sind die User aktiv synchronisiert und unter dem eigenen Profil in Paperless kann man ein API Token für die Anmeldung in der App nutzen. Mir ist klar, dass eine VPN Verbindung vergleichsweise sicherer wäre, das ist jedoch absoluter Industrie-Standard.

Links zum einrichten:

Viele Grüße
Florian