„VIKWiki:Wiki gyűlés 2006-05-15” változatai közötti eltérés

A VIK Wikiből
Új oldal, tartalma: „{{GlobalTemplate|_Siteszerk|SingleSignOnElsoGyules}} ==Paraméterek== * 1319-es szoba * 2006.05.15. 18:00 * Kapcsolódó dokumentum: SingleSignOn terv; [https://…”
 
Szikszayl (vitalap | szerkesztései)
aNincs szerkesztési összefoglaló
 
(2 közbenső módosítás ugyanattól a felhasználótól nincs mutatva)
1. sor: 1. sor:
{{GlobalTemplate|_Siteszerk|SingleSignOnElsoGyules}}
==Paraméterek==
==Paraméterek==
* 1319-es szoba  
* 1319-es szoba  
* 2006.05.15. 18:00  
* 2006.05.15. 18:00  
* Kapcsolódó dokumentum: [[SingleSignOn]] terv; [https://kszk.sch.bme.hu/twiki/bin/view/Webproj/SsoDemo SsoDemo]


==Jelenlévők==
==Jelenlévők==
29. sor: 26. sor:
-- [[SomodiTibor|SoTi]] - 2006.05.15.
-- [[SomodiTibor|SoTi]] - 2006.05.15.


==Single Sign On==
Cél: egyszeri bejelentkeztetés több független weboldalra - infosite, vir, wiki...
===Az elképzelés===
Ma beágy előadáson közelebb kerültünk fél lépéssel a megvalóstáshoz Marcellal, hiszen elkezdtünk gondolkozni.
Felrajzoltunk egy elképzelt struktúrát, átgondoltuk az egyes elemek felelősségeit és nagyjából az interfész dolgokat. A részletes specifikáció elkésztése is folyamatban van.
===Komponensek===
* SingelSignOn Szerver (SSO)
** Tárolja a user infokat (User, pass, egyéb személyes adatok)
** Tárolja a user profilokat, ami lerja, mit enged látni a User saját adataiból a partnereknek.
** Tárolja a partneroldalak userekkel kapcsolatos információi (Publikus, nem publikus). Pl jogok, tevékenységek stb.
* Partneroldalak
** Igényekkel rendelkeznek User információk tárolására
* Interfész
** WebService a partneroldalak felé, az authentikációhoz
** SSO szerveren futó admin oldalak
===Működés===
====Bejelentkezés====
A partneroldalon van egy bejelentkezés link (vagy megnyitáskor egyből átirányít). Erre kattinva átirányít a sso weblapra, urlben átadva egy visszahívási urlt.
Az sso weblap a közetkezőket teszi:
* Ha a user még nem jeletktezett be, bekéri a jelszót, siker esetén letol egy session cookiet (sso weblaphoz), generál egy, a partnerhez tartozó usertokent, és visszahívja a partnert az átadott url-en, átadva a usertokent.
* Ha a user már bejelenetkezett a gépen, akkor az sso weblap a session cookie alapján jelszókérés nélkül behitelesít.
Ezek után a partneroldal a usertoken alapján az sso-tól webservice-en keresztül lekérdezi a bejelentkezett user adatait.
-- [[SzatmariZoltan|Zee]] - 2006.04.19.
====mindenféle backendes dolog====
* sql db helyett Kerberos és LDAP? (SCH acc mintájára/együtt vele)
** authorizáció: Kerberos5 (biztonságos jellegű)
** authentikáció: LDAP (sémakiegészítéssel, enterspájz szabvány)
** signed-on információ: a kiszolgáló appban (iinfosite-authd) -- LDAP queryk, ticketellenőrzés stb.
** (saját) tapasztalatok alapján klienshakkolál nélkül nem igazán lehet egyszerűen SSO-t csinálni, az appszerver támogatása kell hozzá
* a SCH acc vs. virauth pro-con dolgokkal kapcsolatos threadet próbáltam megkeresni a sysadmin listán, de egyelőre sikertelenül, Voidot mint kollektív memóriát lenne érdemes megkérdezni :)
-- [[MezeiTamas|Tamás]] - 2006.05.14.
====Aadaam & Void beszélgetéseinek röpke kivonata====
[Aadaam leveléből webre vágta Bandita]
<tt>
Az utolso hetekben Voiddal beszelgettunk egy Single Sign-On megoldasrol. Ez a Liberty rendszert hasznalta volna, leven az van a Sun altal tamogatva.
http://lasso.entrouvert.org/
Ezt a mi kis LDAP/kerberos alapu rendszerunkre tok jol tudjuk alkalmazni, maszat meg balu ossze tudna vele mukodni, leven sun vasokon Identify Service-kent van agyonreklamozva, es nem mellesleg a fenti project egyik alapnyelve a PHP.
(Igaz, bizonyos SSO-t a kerberos is tamogat, megse latok sehol ilyet az SchAcc kornyeken...)
Van egy masik rendszer, amit pl. a drupal motor hasznal:
http://openxri.org
Meg van ilyen:
http://www.sxip.com
Asszem ez is tud drupalul.
</tt>
====Fejes Jocó SSO-modulja====
Egyszerű webes vir auth alapú megoldás, sch.bme.hu cookie-val, 3 függvénnyel (login, logout, check) és közös adatbázisban tárolt session cookie-kkal megoldva a bejelentkezés-kijelentkezés. Kizárólag HTTPS-t enged, különben (vagy cookie lejárta vagy http kapcsolódás miatt) kijelentkeztet.
-- [[SzellAndras|Bandita]] - 2006.05.15.


[[Category:_Siteszerk]]
btw: szándékosan hagytátok twikiguest számára írhatóan a webet?

A lap jelenlegi, 2014. február 27., 22:26-kori változata

Paraméterek

  • 1319-es szoba
  • 2006.05.15. 18:00

Jelenlévők

Borsi, Bandita, Hege, Jenő, Marvel, Palacsint, SoTi, SzaMa, Totesz, Void, Zee

Történtek

  • Void beszélt a Liberty Alliance-ról, ami egy egységes specifikáció Single Sign On rendszerhez. Ez azért is jó, mert a követelmények egyharmada már megvan a kszkban. Ez csak webes alkalmázasokhoz jó, de nekünk pont az kell.
  • Schacc. Össze lehet-e egyeztetni az SSO profillal? Void válasza: Nem szerencsés a kettőt egyesíteni, mert egyik halmaz sem foglalja magába a másikat. A rendszerben a két profil együtt is létezhet, azokat a felhasználó "összefederálhatja".
  • Szükség lesz a viren https azonosításra, mert kellhet az SSO-hoz. SzaMa felvetette, hogy vehetnénk (nyerhetnénk) certificate-t, de ez nem a legszerencsésebb, mert a kszk tervei között van digitális aláírás szolgáltatása, és ezzel ütközne.
  • Zee felvetette, hogy valahogy kezelni kéne az adatbiztonság problémáját. A felhasználóknak legyen lehetősége megadni, hogy melyik partneroldal mit láthasson róla. (később kialakult a kép egy mátrixról, amelyben partneroldalak és felhasználói adatok szerepelnek, és pl pirossal jelölve vannak azok az adatok, amik az adott partner szolgáltatásának igénybevételéhez szükséges) Adatbiztonság szempontjából fontos lenne még, hogy a felhasználó által feltöltött dolgokért ő maga vállalja a felelősséget (pl szerzői jogokat sértő anyag az IS-en). A probléma itt az, hogy nem tudjuk biztosítani, hogy a felhasználó a saját adatait adja meg.
  • Zee másik megjegyzése, hogy oktatók is regisztrálhassanak. Ennek senki semmi akadályát nem látta.
  • Marvel javasolta, hogy a kolifelvételi is mehetne automatikusan, digitálisan, akár schacc-on keresztül. Ezzel az a baj, hogy schacc-hoz kötné a kolifelvételit, és bár nem lenne kötelező regisztrálni, rákényszerülnének az emberek.
  • Bandita: Az SSO szép és jó, de kell egy központi hely, ami mindent tárol. Ki kezelje azt? Bizalmi kérdés, de a jelek szerint ez megoldható, a kszk-val senkinek sincs gondja.
  • SzaMa szeretné, ha a Neptunból ki tudnánk nyerni adatokat (pl.: egy hallgató felvett tantárgyai). Ez technikailag menne, de a neptun fejlesztőkkel nehéz szót érteni, másrészt kérdéses az egyetem motiváltsága.
  • Kik lehessenek partnerek? VIR, wiki, pizzás, qpa... bárki? Kérdéses a bizalom. Ha akárki lehet, az emberek nem biztos, hogy szívesen megadják az adataikat. Egy rosszul megírt oldal könnyen feltörhető, és lehetővé válik a userek adatainak loggolása. A partnerek elfogadását felügyelhetné az RVT.
  • Marvel szerint, az egyes partneroldalaknak külön-külön kell megadni, mit láthatnak a felhasználó adataiból.
  • SzaMa említette, hogy "visszafelé" is kellene ellenőrizni, vagyis hogy ne mondhassa akárki azt, hogy hallgató, vagy hogy tanár. Ebben is segíthetne a neptun.
  • Zee: Hosszútávon mindenképp open source projektekben gondolkodunk. Hosszútávon szeretnénk ha egy egységes portál jönne létre, amelyet más karokon is könnyen be lehet vezetni.
  • Zee mondataiba belekerült a Levlista szó, amely felkeltette Void figyelmét. Lehet-e a Sympa loginja is partnere az SSO szervernek? Vannak olyan emberek akik több mailcímmel vannak regisztrálva. Velük nem nagyon lehet mit kezdeni, mert az SSO-ban mindenképp az kell hogy a felhasználók egyediek legyenek. A levlistával kapcsolatban elhangzott még, hogy az egész most egy kicsit kaotikus és lehetne valami szebb megoldást helyette (pl.: mindenki csak azokkal a tárgyakkal kapcsolatos leveleket kapja meg, amiket felvett)
  • Mit tud az SSO szerver a felhasználó partneroldali jogosultságairól, adatairól? Elvileg attól függetlennek kellene lennie.
  • *Rövidtávú terv*: Pilot-ként kell egy próba SSO szerver és két próbaalkalmazás, hogy lássuk hogy is működik a dolog. Ha megvan egy működő technika, akkor el kell kezdeni gyűjteni a partneroldalak követelményeit.
  • A VIR SSO-t Zee és Hege három-négy héten belül megoldja, míg a szervert Void telepíti. 3-4 héten belül újabb gyűlés várható.

-- SoTi - 2006.05.15.

Single Sign On

Cél: egyszeri bejelentkeztetés több független weboldalra - infosite, vir, wiki...

Az elképzelés

Ma beágy előadáson közelebb kerültünk fél lépéssel a megvalóstáshoz Marcellal, hiszen elkezdtünk gondolkozni.

Felrajzoltunk egy elképzelt struktúrát, átgondoltuk az egyes elemek felelősségeit és nagyjából az interfész dolgokat. A részletes specifikáció elkésztése is folyamatban van.

Komponensek

  • SingelSignOn Szerver (SSO)
    • Tárolja a user infokat (User, pass, egyéb személyes adatok)
    • Tárolja a user profilokat, ami lerja, mit enged látni a User saját adataiból a partnereknek.
    • Tárolja a partneroldalak userekkel kapcsolatos információi (Publikus, nem publikus). Pl jogok, tevékenységek stb.
  • Partneroldalak
    • Igényekkel rendelkeznek User információk tárolására
  • Interfész
    • WebService a partneroldalak felé, az authentikációhoz
    • SSO szerveren futó admin oldalak

Működés

Bejelentkezés

A partneroldalon van egy bejelentkezés link (vagy megnyitáskor egyből átirányít). Erre kattinva átirányít a sso weblapra, urlben átadva egy visszahívási urlt. Az sso weblap a közetkezőket teszi:

  • Ha a user még nem jeletktezett be, bekéri a jelszót, siker esetén letol egy session cookiet (sso weblaphoz), generál egy, a partnerhez tartozó usertokent, és visszahívja a partnert az átadott url-en, átadva a usertokent.
  • Ha a user már bejelenetkezett a gépen, akkor az sso weblap a session cookie alapján jelszókérés nélkül behitelesít.

Ezek után a partneroldal a usertoken alapján az sso-tól webservice-en keresztül lekérdezi a bejelentkezett user adatait.

-- Zee - 2006.04.19.

mindenféle backendes dolog

  • sql db helyett Kerberos és LDAP? (SCH acc mintájára/együtt vele)
    • authorizáció: Kerberos5 (biztonságos jellegű)
    • authentikáció: LDAP (sémakiegészítéssel, enterspájz szabvány)
    • signed-on információ: a kiszolgáló appban (iinfosite-authd) -- LDAP queryk, ticketellenőrzés stb.
    • (saját) tapasztalatok alapján klienshakkolál nélkül nem igazán lehet egyszerűen SSO-t csinálni, az appszerver támogatása kell hozzá
  • a SCH acc vs. virauth pro-con dolgokkal kapcsolatos threadet próbáltam megkeresni a sysadmin listán, de egyelőre sikertelenül, Voidot mint kollektív memóriát lenne érdemes megkérdezni :)

-- Tamás - 2006.05.14.

Aadaam & Void beszélgetéseinek röpke kivonata

[Aadaam leveléből webre vágta Bandita]

Az utolso hetekben Voiddal beszelgettunk egy Single Sign-On megoldasrol. Ez a Liberty rendszert hasznalta volna, leven az van a Sun altal tamogatva.

http://lasso.entrouvert.org/

Ezt a mi kis LDAP/kerberos alapu rendszerunkre tok jol tudjuk alkalmazni, maszat meg balu ossze tudna vele mukodni, leven sun vasokon Identify Service-kent van agyonreklamozva, es nem mellesleg a fenti project egyik alapnyelve a PHP.

(Igaz, bizonyos SSO-t a kerberos is tamogat, megse latok sehol ilyet az SchAcc kornyeken...)

Van egy masik rendszer, amit pl. a drupal motor hasznal:

http://openxri.org

Meg van ilyen:

http://www.sxip.com

Asszem ez is tud drupalul.

Fejes Jocó SSO-modulja

Egyszerű webes vir auth alapú megoldás, sch.bme.hu cookie-val, 3 függvénnyel (login, logout, check) és közös adatbázisban tárolt session cookie-kkal megoldva a bejelentkezés-kijelentkezés. Kizárólag HTTPS-t enged, különben (vagy cookie lejárta vagy http kapcsolódás miatt) kijelentkeztet.

-- Bandita - 2006.05.15.

btw: szándékosan hagytátok twikiguest számára írhatóan a webet?