„VIKWiki:Wiki gyűlés 2006-05-15” változatai közötti eltérés
a Szikszayl átnevezte a(z) Egyszerű bejelentkezés - Single Sign On (SSO) lapot VIKWiki:Wiki gyűlés 2006-05-15 lapra átirányítás nélkül |
aNincs szerkesztési összefoglaló |
||
(Egy közbenső módosítás ugyanattól a felhasználótól nincs mutatva) | |||
1. sor: | 1. sor: | ||
==Paraméterek== | ==Paraméterek== | ||
* 1319-es szoba | * 1319-es szoba | ||
* 2006.05.15. 18:00 | * 2006.05.15. 18:00 | ||
==Jelenlévők== | ==Jelenlévők== | ||
29. sor: | 26. sor: | ||
-- [[SomodiTibor|SoTi]] - 2006.05.15. | -- [[SomodiTibor|SoTi]] - 2006.05.15. | ||
==Single Sign On== | |||
Cél: egyszeri bejelentkeztetés több független weboldalra - infosite, vir, wiki... | |||
===Az elképzelés=== | |||
Ma beágy előadáson közelebb kerültünk fél lépéssel a megvalóstáshoz Marcellal, hiszen elkezdtünk gondolkozni. | |||
Felrajzoltunk egy elképzelt struktúrát, átgondoltuk az egyes elemek felelősségeit és nagyjából az interfész dolgokat. A részletes specifikáció elkésztése is folyamatban van. | |||
===Komponensek=== | |||
* SingelSignOn Szerver (SSO) | |||
** Tárolja a user infokat (User, pass, egyéb személyes adatok) | |||
** Tárolja a user profilokat, ami lerja, mit enged látni a User saját adataiból a partnereknek. | |||
** Tárolja a partneroldalak userekkel kapcsolatos információi (Publikus, nem publikus). Pl jogok, tevékenységek stb. | |||
* Partneroldalak | |||
** Igényekkel rendelkeznek User információk tárolására | |||
* Interfész | |||
** WebService a partneroldalak felé, az authentikációhoz | |||
** SSO szerveren futó admin oldalak | |||
===Működés=== | |||
====Bejelentkezés==== | |||
A partneroldalon van egy bejelentkezés link (vagy megnyitáskor egyből átirányít). Erre kattinva átirányít a sso weblapra, urlben átadva egy visszahívási urlt. | |||
Az sso weblap a közetkezőket teszi: | |||
* Ha a user még nem jeletktezett be, bekéri a jelszót, siker esetén letol egy session cookiet (sso weblaphoz), generál egy, a partnerhez tartozó usertokent, és visszahívja a partnert az átadott url-en, átadva a usertokent. | |||
* Ha a user már bejelenetkezett a gépen, akkor az sso weblap a session cookie alapján jelszókérés nélkül behitelesít. | |||
Ezek után a partneroldal a usertoken alapján az sso-tól webservice-en keresztül lekérdezi a bejelentkezett user adatait. | |||
-- [[SzatmariZoltan|Zee]] - 2006.04.19. | |||
====mindenféle backendes dolog==== | |||
* sql db helyett Kerberos és LDAP? (SCH acc mintájára/együtt vele) | |||
** authorizáció: Kerberos5 (biztonságos jellegű) | |||
** authentikáció: LDAP (sémakiegészítéssel, enterspájz szabvány) | |||
** signed-on információ: a kiszolgáló appban (iinfosite-authd) -- LDAP queryk, ticketellenőrzés stb. | |||
** (saját) tapasztalatok alapján klienshakkolál nélkül nem igazán lehet egyszerűen SSO-t csinálni, az appszerver támogatása kell hozzá | |||
* a SCH acc vs. virauth pro-con dolgokkal kapcsolatos threadet próbáltam megkeresni a sysadmin listán, de egyelőre sikertelenül, Voidot mint kollektív memóriát lenne érdemes megkérdezni :) | |||
-- [[MezeiTamas|Tamás]] - 2006.05.14. | |||
====Aadaam & Void beszélgetéseinek röpke kivonata==== | |||
[Aadaam leveléből webre vágta Bandita] | |||
<tt> | |||
Az utolso hetekben Voiddal beszelgettunk egy Single Sign-On megoldasrol. Ez a Liberty rendszert hasznalta volna, leven az van a Sun altal tamogatva. | |||
http://lasso.entrouvert.org/ | |||
Ezt a mi kis LDAP/kerberos alapu rendszerunkre tok jol tudjuk alkalmazni, maszat meg balu ossze tudna vele mukodni, leven sun vasokon Identify Service-kent van agyonreklamozva, es nem mellesleg a fenti project egyik alapnyelve a PHP. | |||
(Igaz, bizonyos SSO-t a kerberos is tamogat, megse latok sehol ilyet az SchAcc kornyeken...) | |||
Van egy masik rendszer, amit pl. a drupal motor hasznal: | |||
http://openxri.org | |||
Meg van ilyen: | |||
http://www.sxip.com | |||
Asszem ez is tud drupalul. | |||
</tt> | |||
====Fejes Jocó SSO-modulja==== | |||
Egyszerű webes vir auth alapú megoldás, sch.bme.hu cookie-val, 3 függvénnyel (login, logout, check) és közös adatbázisban tárolt session cookie-kkal megoldva a bejelentkezés-kijelentkezés. Kizárólag HTTPS-t enged, különben (vagy cookie lejárta vagy http kapcsolódás miatt) kijelentkeztet. | |||
-- [[SzellAndras|Bandita]] - 2006.05.15. | |||
btw: szándékosan hagytátok twikiguest számára írhatóan a webet? |
A lap jelenlegi, 2014. február 27., 22:26-kori változata
Paraméterek
- 1319-es szoba
- 2006.05.15. 18:00
Jelenlévők
Borsi, Bandita, Hege, Jenő, Marvel, Palacsint, SoTi, SzaMa, Totesz, Void, Zee
Történtek
- Void beszélt a Liberty Alliance-ról, ami egy egységes specifikáció Single Sign On rendszerhez. Ez azért is jó, mert a követelmények egyharmada már megvan a kszkban. Ez csak webes alkalmázasokhoz jó, de nekünk pont az kell.
- Schacc. Össze lehet-e egyeztetni az SSO profillal? Void válasza: Nem szerencsés a kettőt egyesíteni, mert egyik halmaz sem foglalja magába a másikat. A rendszerben a két profil együtt is létezhet, azokat a felhasználó "összefederálhatja".
- Szükség lesz a viren https azonosításra, mert kellhet az SSO-hoz. SzaMa felvetette, hogy vehetnénk (nyerhetnénk) certificate-t, de ez nem a legszerencsésebb, mert a kszk tervei között van digitális aláírás szolgáltatása, és ezzel ütközne.
- Zee felvetette, hogy valahogy kezelni kéne az adatbiztonság problémáját. A felhasználóknak legyen lehetősége megadni, hogy melyik partneroldal mit láthasson róla. (később kialakult a kép egy mátrixról, amelyben partneroldalak és felhasználói adatok szerepelnek, és pl pirossal jelölve vannak azok az adatok, amik az adott partner szolgáltatásának igénybevételéhez szükséges) Adatbiztonság szempontjából fontos lenne még, hogy a felhasználó által feltöltött dolgokért ő maga vállalja a felelősséget (pl szerzői jogokat sértő anyag az IS-en). A probléma itt az, hogy nem tudjuk biztosítani, hogy a felhasználó a saját adatait adja meg.
- Zee másik megjegyzése, hogy oktatók is regisztrálhassanak. Ennek senki semmi akadályát nem látta.
- Marvel javasolta, hogy a kolifelvételi is mehetne automatikusan, digitálisan, akár schacc-on keresztül. Ezzel az a baj, hogy schacc-hoz kötné a kolifelvételit, és bár nem lenne kötelező regisztrálni, rákényszerülnének az emberek.
- Bandita: Az SSO szép és jó, de kell egy központi hely, ami mindent tárol. Ki kezelje azt? Bizalmi kérdés, de a jelek szerint ez megoldható, a kszk-val senkinek sincs gondja.
- SzaMa szeretné, ha a Neptunból ki tudnánk nyerni adatokat (pl.: egy hallgató felvett tantárgyai). Ez technikailag menne, de a neptun fejlesztőkkel nehéz szót érteni, másrészt kérdéses az egyetem motiváltsága.
- Kik lehessenek partnerek? VIR, wiki, pizzás, qpa... bárki? Kérdéses a bizalom. Ha akárki lehet, az emberek nem biztos, hogy szívesen megadják az adataikat. Egy rosszul megírt oldal könnyen feltörhető, és lehetővé válik a userek adatainak loggolása. A partnerek elfogadását felügyelhetné az RVT.
- Marvel szerint, az egyes partneroldalaknak külön-külön kell megadni, mit láthatnak a felhasználó adataiból.
- SzaMa említette, hogy "visszafelé" is kellene ellenőrizni, vagyis hogy ne mondhassa akárki azt, hogy hallgató, vagy hogy tanár. Ebben is segíthetne a neptun.
- Zee: Hosszútávon mindenképp open source projektekben gondolkodunk. Hosszútávon szeretnénk ha egy egységes portál jönne létre, amelyet más karokon is könnyen be lehet vezetni.
- Zee mondataiba belekerült a Levlista szó, amely felkeltette Void figyelmét. Lehet-e a Sympa loginja is partnere az SSO szervernek? Vannak olyan emberek akik több mailcímmel vannak regisztrálva. Velük nem nagyon lehet mit kezdeni, mert az SSO-ban mindenképp az kell hogy a felhasználók egyediek legyenek. A levlistával kapcsolatban elhangzott még, hogy az egész most egy kicsit kaotikus és lehetne valami szebb megoldást helyette (pl.: mindenki csak azokkal a tárgyakkal kapcsolatos leveleket kapja meg, amiket felvett)
- Mit tud az SSO szerver a felhasználó partneroldali jogosultságairól, adatairól? Elvileg attól függetlennek kellene lennie.
- *Rövidtávú terv*: Pilot-ként kell egy próba SSO szerver és két próbaalkalmazás, hogy lássuk hogy is működik a dolog. Ha megvan egy működő technika, akkor el kell kezdeni gyűjteni a partneroldalak követelményeit.
- A VIR SSO-t Zee és Hege három-négy héten belül megoldja, míg a szervert Void telepíti. 3-4 héten belül újabb gyűlés várható.
-- SoTi - 2006.05.15.
Single Sign On
Cél: egyszeri bejelentkeztetés több független weboldalra - infosite, vir, wiki...
Az elképzelés
Ma beágy előadáson közelebb kerültünk fél lépéssel a megvalóstáshoz Marcellal, hiszen elkezdtünk gondolkozni.
Felrajzoltunk egy elképzelt struktúrát, átgondoltuk az egyes elemek felelősségeit és nagyjából az interfész dolgokat. A részletes specifikáció elkésztése is folyamatban van.
Komponensek
- SingelSignOn Szerver (SSO)
- Tárolja a user infokat (User, pass, egyéb személyes adatok)
- Tárolja a user profilokat, ami lerja, mit enged látni a User saját adataiból a partnereknek.
- Tárolja a partneroldalak userekkel kapcsolatos információi (Publikus, nem publikus). Pl jogok, tevékenységek stb.
- Partneroldalak
- Igényekkel rendelkeznek User információk tárolására
- Interfész
- WebService a partneroldalak felé, az authentikációhoz
- SSO szerveren futó admin oldalak
Működés
Bejelentkezés
A partneroldalon van egy bejelentkezés link (vagy megnyitáskor egyből átirányít). Erre kattinva átirányít a sso weblapra, urlben átadva egy visszahívási urlt. Az sso weblap a közetkezőket teszi:
- Ha a user még nem jeletktezett be, bekéri a jelszót, siker esetén letol egy session cookiet (sso weblaphoz), generál egy, a partnerhez tartozó usertokent, és visszahívja a partnert az átadott url-en, átadva a usertokent.
- Ha a user már bejelenetkezett a gépen, akkor az sso weblap a session cookie alapján jelszókérés nélkül behitelesít.
Ezek után a partneroldal a usertoken alapján az sso-tól webservice-en keresztül lekérdezi a bejelentkezett user adatait.
-- Zee - 2006.04.19.
mindenféle backendes dolog
- sql db helyett Kerberos és LDAP? (SCH acc mintájára/együtt vele)
- authorizáció: Kerberos5 (biztonságos jellegű)
- authentikáció: LDAP (sémakiegészítéssel, enterspájz szabvány)
- signed-on információ: a kiszolgáló appban (iinfosite-authd) -- LDAP queryk, ticketellenőrzés stb.
- (saját) tapasztalatok alapján klienshakkolál nélkül nem igazán lehet egyszerűen SSO-t csinálni, az appszerver támogatása kell hozzá
- a SCH acc vs. virauth pro-con dolgokkal kapcsolatos threadet próbáltam megkeresni a sysadmin listán, de egyelőre sikertelenül, Voidot mint kollektív memóriát lenne érdemes megkérdezni :)
-- Tamás - 2006.05.14.
Aadaam & Void beszélgetéseinek röpke kivonata
[Aadaam leveléből webre vágta Bandita]
Az utolso hetekben Voiddal beszelgettunk egy Single Sign-On megoldasrol. Ez a Liberty rendszert hasznalta volna, leven az van a Sun altal tamogatva.
Ezt a mi kis LDAP/kerberos alapu rendszerunkre tok jol tudjuk alkalmazni, maszat meg balu ossze tudna vele mukodni, leven sun vasokon Identify Service-kent van agyonreklamozva, es nem mellesleg a fenti project egyik alapnyelve a PHP.
(Igaz, bizonyos SSO-t a kerberos is tamogat, megse latok sehol ilyet az SchAcc kornyeken...)
Van egy masik rendszer, amit pl. a drupal motor hasznal:
Meg van ilyen:
Asszem ez is tud drupalul.
Fejes Jocó SSO-modulja
Egyszerű webes vir auth alapú megoldás, sch.bme.hu cookie-val, 3 függvénnyel (login, logout, check) és közös adatbázisban tárolt session cookie-kkal megoldva a bejelentkezés-kijelentkezés. Kizárólag HTTPS-t enged, különben (vagy cookie lejárta vagy http kapcsolódás miatt) kijelentkeztet.
-- Bandita - 2006.05.15.
btw: szándékosan hagytátok twikiguest számára írhatóan a webet?