Umstellung Matrix Authentication Service - Revision history

S3lph: /* Weiterführende Informationen */

2025-12-17T23:53:25Z

Weiterführende Informationen

← Older revision		Revision as of 23:53, 17 December 2025
Line 30:		Line 30:
	Mit dieser Änderung werden wir die Login- und Sitzungsverwaltung von Synapse auf den Matrix Authentication Service umstellen.		Mit dieser Änderung werden wir die Login- und Sitzungsverwaltung von Synapse auf den Matrix Authentication Service umstellen.
	Dabei werden wir auch versuchen, alle bestehenden Sitzungen von Synapse in den Matrix Authentication Service zu importieren.		Dabei werden wir auch versuchen, alle bestehenden Sitzungen von Synapse in den Matrix Authentication Service zu importieren.


	=== Wie betrifft mich diese Änderung? ===		=== Wie betrifft mich diese Änderung? ===

S3lph: /* Wichtig: Recovery-Key einrichten und testen */

2025-12-17T23:50:02Z

Wichtig: Recovery-Key einrichten und testen

← Older revision		Revision as of 23:50, 17 December 2025
Line 10:		Line 10:
	* Falls du mehrere Clients verwendest, musst du den Recovery-Key nur mit einem deiner Clients erzeugen resp. testen.		* Falls du mehrere Clients verwendest, musst du den Recovery-Key nur mit einem deiner Clients erzeugen resp. testen.

	Wende dich bei Problemen oder Fragen bitte an [~~@s3lph:kabelsalat.ch](~~https://mto.kabelsalat.to/#/@s3lph:kabelsalat.ch).		Wende dich bei Problemen oder Fragen bitte an [https://mto.kabelsalat.to/#/@s3lph:kabelsalat.ch @s3lph:kabelsalat.ch].

	Das ist grundsätzlich alles, was du für die anstehende Änderung wissen und tun musst.		Das ist grundsätzlich alles, was du für die anstehende Änderung wissen und tun musst.

S3lph at 23:49, 17 December 2025

2025-12-17T23:49:48Z

← Older revision		Revision as of 23:49, 17 December 2025
Line 21:		Line 21:
	Wir verwenden als Matrix-Homeserver die Software Synapse, die auch die Referenzimplementierung der Matrix-Spezifikation darstellt.		Wir verwenden als Matrix-Homeserver die Software Synapse, die auch die Referenzimplementierung der Matrix-Spezifikation darstellt.
	Bisher hatte sich Synapse vollständig selbst um die Anmeldung und Sitzungsverwaltung gekümmert.		Bisher hatte sich Synapse vollständig selbst um die Anmeldung und Sitzungsverwaltung gekümmert.
	Um diese Aufgaben vom eigentlichen Matrix-Homeserver zu entkoppeln, wurden die separate Server-Komponente "Matrix Authentication Service" ins Leben gerufen.		Um diese Aufgaben vom eigentlichen Matrix-Homeserver zu entkoppeln, wurden die separate Server-Komponente [https://element-hq.github.io/matrix-authentication-service/ Matrix Authentication Service] ins Leben gerufen.
	Neue oder überarbeitete Anmeldeverfahren werden nun nicht mehr in Synapse selbst implementiert, sonderen nur noch im Matrix Authentication Service.		Neue oder überarbeitete Anmeldeverfahren werden nun nicht mehr in Synapse selbst implementiert, sonderen nur noch im Matrix Authentication Service.

	Das betrifft uns insbesondere, da bei unserem Homeserver der Login via OpenID Connect gegen unser SSO abläuft:		Das betrifft uns insbesondere, da bei unserem Homeserver der Login via OpenID Connect gegen unser SSO abläuft:
	Der Login-Flow für Anmeldungen via OIDC wurde in der Matrix-Spezifikation überarbeitet, und die überarbeitete Version wird nur im Matrix Authentication Service implementiert.		Der Login-Flow für Anmeldungen via OIDC wurde in der Matrix-Spezifikation [https://spec.matrix.org/v1.16/client-server-api/#oauth-20-api überarbeitet], und die überarbeitete Version wird nur im Matrix Authentication Service implementiert.
	Da einige neuere Clients (insb. Element X) nur diese neue Version des OIDC-Flows unterstützen, können diese aktuell noch nicht mit unserem Homeserver verwendet werden.		Da einige neuere Clients (insb. [https://matrix.org/ecosystem/clients/element-x/ Element X]) nur diese neue Version des OIDC-Flows unterstützen, können diese aktuell noch nicht mit unserem Homeserver verwendet werden.

	Mit dieser Änderung werden wir die Login- und Sitzungsverwaltung von Synapse auf den Matrix Authentication Service umstellen.		Mit dieser Änderung werden wir die Login- und Sitzungsverwaltung von Synapse auf den Matrix Authentication Service umstellen.

S3lph: Protected "Umstellung Matrix Authentication Service" ([Edit=Allow only administrators] (expires 23:41, 17 January 2026 (UTC)) [Move=Allow only administrators] (expires 23:41, 17 January 2026 (UTC)))

2025-12-17T23:41:48Z

Protected "Umstellung Matrix Authentication Service" ([Edit=Allow only administrators] (expires 23:41, 17 January 2026 (UTC)) [Move=Allow only administrators] (expires 23:41, 17 January 2026 (UTC)))

← Older revision	Revision as of 23:41, 17 December 2025
(No difference)

S3lph: Created page with "Am zweiten Januar-Wochenende (10.-11.01.2026) werden wir auf den neuen Login- und Sitzungsverwaltungs-Dienst für Matrix-Homeserver umstellen. Dabei kann es schlimmstenfalls passieren, dass alle bestehenden Matrix-Sitzungen ausgeloggt werden, und dein Zugang zu verschlüsselten Räumen nur mit einem Recovery-Key wiederhergestellt werden kann. == Wichtig: Recovery-Key einrichten und testen == '''Bitte stelle daher bis zum 10.01.2026 sicher, dass du einen Recovery-Key ei..."

2025-12-17T23:40:47Z

Created page with "Am zweiten Januar-Wochenende (10.-11.01.2026) werden wir auf den neuen Login- und Sitzungsverwaltungs-Dienst für Matrix-Homeserver umstellen. Dabei kann es schlimmstenfalls passieren, dass alle bestehenden Matrix-Sitzungen ausgeloggt werden, und dein Zugang zu verschlüsselten Räumen nur mit einem Recovery-Key wiederhergestellt werden kann. == Wichtig: Recovery-Key einrichten und testen == '''Bitte stelle daher bis zum 10.01.2026 sicher, dass du einen Recovery-Key ei..."

New page

Am zweiten Januar-Wochenende (10.-11.01.2026) werden wir auf den neuen Login- und Sitzungsverwaltungs-Dienst für Matrix-Homeserver umstellen.
Dabei kann es schlimmstenfalls passieren, dass alle bestehenden Matrix-Sitzungen ausgeloggt werden, und dein Zugang zu verschlüsselten Räumen nur mit einem Recovery-Key wiederhergestellt werden kann.

== Wichtig: Recovery-Key einrichten und testen ==

'''Bitte stelle daher bis zum 10.01.2026 sicher, dass du einen Recovery-Key eingerichtet hast''', und (falls bereits vorhanden) überprüfe, ob dieser fuktioniert:

* Für Element findest du eine Anleitung hier: https://docs.element.io/latest/element-support/device-verification/how-to-ensure-you-have-a-recovery-key/
* Falls du andere Clients verwendest, informiere dich bitte in der Dokumentation der verwendeten Clients.
* Falls du mehrere Clients verwendest, musst du den Recovery-Key nur mit einem deiner Clients erzeugen resp. testen.

Wende dich bei Problemen oder Fragen bitte an [@s3lph:kabelsalat.ch](https://mto.kabelsalat.to/#/@s3lph:kabelsalat.ch).

Das ist grundsätzlich alles, was du für die anstehende Änderung wissen und tun musst.
Falls dich die genauen Hintergründe hinter dieser Änderung interessieren, kannst du diese im folgenden nachlesen:

== Weiterführende Informationen ==

=== Um was geht es bei dieser Änderung? ===

Wir verwenden als Matrix-Homeserver die Software Synapse, die auch die Referenzimplementierung der Matrix-Spezifikation darstellt.
Bisher hatte sich Synapse vollständig selbst um die Anmeldung und Sitzungsverwaltung gekümmert.
Um diese Aufgaben vom eigentlichen Matrix-Homeserver zu entkoppeln, wurden die separate Server-Komponente "Matrix Authentication Service" ins Leben gerufen.
Neue oder überarbeitete Anmeldeverfahren werden nun nicht mehr in Synapse selbst implementiert, sonderen nur noch im Matrix Authentication Service.

Das betrifft uns insbesondere, da bei unserem Homeserver der Login via OpenID Connect gegen unser SSO abläuft:
Der Login-Flow für Anmeldungen via OIDC wurde in der Matrix-Spezifikation überarbeitet, und die überarbeitete Version wird nur im Matrix Authentication Service implementiert.
Da einige neuere Clients (insb. Element X) nur diese neue Version des OIDC-Flows unterstützen, können diese aktuell noch nicht mit unserem Homeserver verwendet werden.

Mit dieser Änderung werden wir die Login- und Sitzungsverwaltung von Synapse auf den Matrix Authentication Service umstellen.
Dabei werden wir auch versuchen, alle bestehenden Sitzungen von Synapse in den Matrix Authentication Service zu importieren.

=== Wie betrifft mich diese Änderung? ===

Wenn alles nach Plan läuft, bekommst du davon nichts ausser einem kurzen Unterbruch mit.

Wenn bei der Umstellung allerdings etwas schief geht, kann es sein, dass alle Matrix-Sitzungen ausgeloggt werden, d.h. dass du dich auf all deinen Clients neu einloggen müsstest.
Das Problem dabei ist, dass es zu einem "Vertrauensbruch" zwischen deinen bisherigen Sitzungen und deinen neuen Sitzungen kommt, d.h. dass es dann keine bisherige Sitzung gibt, die deine neuen Sitzungen verifizieren kann und die E2EE-Schlüssel mit diesen teilen kann.
Aus diesem Grund wäre es in einem solchen Fall nötig, mindestens eine deiner neuen Sitzungen mit einem Recovery Key zu verifizieren, der in einer deiner bisherigen Sitzungen erstellt wurde.
Daher ist es wichtig, vorher sicherzustellen, dass du einen Recovery Key erstellt hast, und dass dieser auch funktioniert.

Du kannst all deine bisherigen Clients wie zuvor weiterverwenden.
Durch diese Änderung wird es neu auch möglich sein, die "neue Generation" gängiger Matrix-Clients (insb. Element X) mit unserem Homeserver zu verwenden.