„VIKWiki:Wiki gyűlés 2006-05-15” változatai közötti eltérés
a |
a |
||
2. sor: | 2. sor: | ||
* 1319-es szoba | * 1319-es szoba | ||
* 2006.05.15. 18:00 | * 2006.05.15. 18:00 | ||
− | |||
==Jelenlévők== | ==Jelenlévők== | ||
26. sor: | 25. sor: | ||
-- [[SomodiTibor|SoTi]] - 2006.05.15. | -- [[SomodiTibor|SoTi]] - 2006.05.15. | ||
+ | |||
+ | ==Single Sign On== | ||
+ | Cél: egyszeri bejelentkeztetés több független weboldalra - infosite, vir, wiki... | ||
+ | |||
+ | ===Az elképzelés=== | ||
+ | Ma beágy előadáson közelebb kerültünk fél lépéssel a megvalóstáshoz Marcellal, hiszen elkezdtünk gondolkozni. | ||
+ | |||
+ | Felrajzoltunk egy elképzelt struktúrát, átgondoltuk az egyes elemek felelősségeit és nagyjából az interfész dolgokat. A részletes specifikáció elkésztése is folyamatban van. | ||
+ | |||
+ | ===Komponensek=== | ||
+ | * SingelSignOn Szerver (SSO) | ||
+ | ** Tárolja a user infokat (User, pass, egyéb személyes adatok) | ||
+ | ** Tárolja a user profilokat, ami lerja, mit enged látni a User saját adataiból a partnereknek. | ||
+ | ** Tárolja a partneroldalak userekkel kapcsolatos információi (Publikus, nem publikus). Pl jogok, tevékenységek stb. | ||
+ | * Partneroldalak | ||
+ | ** Igényekkel rendelkeznek User információk tárolására | ||
+ | * Interfész | ||
+ | ** WebService a partneroldalak felé, az authentikációhoz | ||
+ | ** SSO szerveren futó admin oldalak | ||
+ | |||
+ | ===Működés=== | ||
+ | ====Bejelentkezés==== | ||
+ | A partneroldalon van egy bejelentkezés link (vagy megnyitáskor egyből átirányít). Erre kattinva átirányít a sso weblapra, urlben átadva egy visszahívási urlt. | ||
+ | Az sso weblap a közetkezőket teszi: | ||
+ | * Ha a user még nem jeletktezett be, bekéri a jelszót, siker esetén letol egy session cookiet (sso weblaphoz), generál egy, a partnerhez tartozó usertokent, és visszahívja a partnert az átadott url-en, átadva a usertokent. | ||
+ | * Ha a user már bejelenetkezett a gépen, akkor az sso weblap a session cookie alapján jelszókérés nélkül behitelesít. | ||
+ | Ezek után a partneroldal a usertoken alapján az sso-tól webservice-en keresztül lekérdezi a bejelentkezett user adatait. | ||
+ | |||
+ | -- [[SzatmariZoltan|Zee]] - 2006.04.19. | ||
+ | |||
+ | ====mindenféle backendes dolog==== | ||
+ | * sql db helyett Kerberos és LDAP? (SCH acc mintájára/együtt vele) | ||
+ | ** authorizáció: Kerberos5 (biztonságos jellegű) | ||
+ | ** authentikáció: LDAP (sémakiegészítéssel, enterspájz szabvány) | ||
+ | ** signed-on információ: a kiszolgáló appban (iinfosite-authd) -- LDAP queryk, ticketellenőrzés stb. | ||
+ | ** (saját) tapasztalatok alapján klienshakkolál nélkül nem igazán lehet egyszerűen SSO-t csinálni, az appszerver támogatása kell hozzá | ||
+ | * a SCH acc vs. virauth pro-con dolgokkal kapcsolatos threadet próbáltam megkeresni a sysadmin listán, de egyelőre sikertelenül, Voidot mint kollektív memóriát lenne érdemes megkérdezni :) | ||
+ | |||
+ | -- [[MezeiTamas|Tamás]] - 2006.05.14. | ||
+ | |||
+ | ====Aadaam & Void beszélgetéseinek röpke kivonata==== | ||
+ | [Aadaam leveléből webre vágta Bandita] | ||
+ | |||
+ | <tt> | ||
+ | Az utolso hetekben Voiddal beszelgettunk egy Single Sign-On megoldasrol. Ez a Liberty rendszert hasznalta volna, leven az van a Sun altal tamogatva. | ||
+ | |||
+ | http://lasso.entrouvert.org/ | ||
+ | |||
+ | Ezt a mi kis LDAP/kerberos alapu rendszerunkre tok jol tudjuk alkalmazni, maszat meg balu ossze tudna vele mukodni, leven sun vasokon Identify Service-kent van agyonreklamozva, es nem mellesleg a fenti project egyik alapnyelve a PHP. | ||
+ | |||
+ | (Igaz, bizonyos SSO-t a kerberos is tamogat, megse latok sehol ilyet az SchAcc kornyeken...) | ||
+ | |||
+ | Van egy masik rendszer, amit pl. a drupal motor hasznal: | ||
+ | |||
+ | http://openxri.org | ||
+ | |||
+ | Meg van ilyen: | ||
+ | |||
+ | http://www.sxip.com | ||
+ | |||
+ | Asszem ez is tud drupalul. | ||
+ | </tt> | ||
+ | |||
+ | ====Fejes Jocó SSO-modulja==== | ||
+ | Egyszerű webes vir auth alapú megoldás, sch.bme.hu cookie-val, 3 függvénnyel (login, logout, check) és közös adatbázisban tárolt session cookie-kkal megoldva a bejelentkezés-kijelentkezés. Kizárólag HTTPS-t enged, különben (vagy cookie lejárta vagy http kapcsolódás miatt) kijelentkeztet. | ||
+ | |||
+ | -- [[SzellAndras|Bandita]] - 2006.05.15. | ||
+ | |||
+ | btw: szándékosan hagytátok twikiguest számára írhatóan a webet? |
A lap jelenlegi, 2014. február 27., 21:26-kori változata
Tartalomjegyzék
Paraméterek
- 1319-es szoba
- 2006.05.15. 18:00
Jelenlévők
Borsi, Bandita, Hege, Jenő, Marvel, Palacsint, SoTi, SzaMa, Totesz, Void, Zee
Történtek
- Void beszélt a Liberty Alliance-ról, ami egy egységes specifikáció Single Sign On rendszerhez. Ez azért is jó, mert a követelmények egyharmada már megvan a kszkban. Ez csak webes alkalmázasokhoz jó, de nekünk pont az kell.
- Schacc. Össze lehet-e egyeztetni az SSO profillal? Void válasza: Nem szerencsés a kettőt egyesíteni, mert egyik halmaz sem foglalja magába a másikat. A rendszerben a két profil együtt is létezhet, azokat a felhasználó "összefederálhatja".
- Szükség lesz a viren https azonosításra, mert kellhet az SSO-hoz. SzaMa felvetette, hogy vehetnénk (nyerhetnénk) certificate-t, de ez nem a legszerencsésebb, mert a kszk tervei között van digitális aláírás szolgáltatása, és ezzel ütközne.
- Zee felvetette, hogy valahogy kezelni kéne az adatbiztonság problémáját. A felhasználóknak legyen lehetősége megadni, hogy melyik partneroldal mit láthasson róla. (később kialakult a kép egy mátrixról, amelyben partneroldalak és felhasználói adatok szerepelnek, és pl pirossal jelölve vannak azok az adatok, amik az adott partner szolgáltatásának igénybevételéhez szükséges) Adatbiztonság szempontjából fontos lenne még, hogy a felhasználó által feltöltött dolgokért ő maga vállalja a felelősséget (pl szerzői jogokat sértő anyag az IS-en). A probléma itt az, hogy nem tudjuk biztosítani, hogy a felhasználó a saját adatait adja meg.
- Zee másik megjegyzése, hogy oktatók is regisztrálhassanak. Ennek senki semmi akadályát nem látta.
- Marvel javasolta, hogy a kolifelvételi is mehetne automatikusan, digitálisan, akár schacc-on keresztül. Ezzel az a baj, hogy schacc-hoz kötné a kolifelvételit, és bár nem lenne kötelező regisztrálni, rákényszerülnének az emberek.
- Bandita: Az SSO szép és jó, de kell egy központi hely, ami mindent tárol. Ki kezelje azt? Bizalmi kérdés, de a jelek szerint ez megoldható, a kszk-val senkinek sincs gondja.
- SzaMa szeretné, ha a Neptunból ki tudnánk nyerni adatokat (pl.: egy hallgató felvett tantárgyai). Ez technikailag menne, de a neptun fejlesztőkkel nehéz szót érteni, másrészt kérdéses az egyetem motiváltsága.
- Kik lehessenek partnerek? VIR, wiki, pizzás, qpa... bárki? Kérdéses a bizalom. Ha akárki lehet, az emberek nem biztos, hogy szívesen megadják az adataikat. Egy rosszul megírt oldal könnyen feltörhető, és lehetővé válik a userek adatainak loggolása. A partnerek elfogadását felügyelhetné az RVT.
- Marvel szerint, az egyes partneroldalaknak külön-külön kell megadni, mit láthatnak a felhasználó adataiból.
- SzaMa említette, hogy "visszafelé" is kellene ellenőrizni, vagyis hogy ne mondhassa akárki azt, hogy hallgató, vagy hogy tanár. Ebben is segíthetne a neptun.
- Zee: Hosszútávon mindenképp open source projektekben gondolkodunk. Hosszútávon szeretnénk ha egy egységes portál jönne létre, amelyet más karokon is könnyen be lehet vezetni.
- Zee mondataiba belekerült a Levlista szó, amely felkeltette Void figyelmét. Lehet-e a Sympa loginja is partnere az SSO szervernek? Vannak olyan emberek akik több mailcímmel vannak regisztrálva. Velük nem nagyon lehet mit kezdeni, mert az SSO-ban mindenképp az kell hogy a felhasználók egyediek legyenek. A levlistával kapcsolatban elhangzott még, hogy az egész most egy kicsit kaotikus és lehetne valami szebb megoldást helyette (pl.: mindenki csak azokkal a tárgyakkal kapcsolatos leveleket kapja meg, amiket felvett)
- Mit tud az SSO szerver a felhasználó partneroldali jogosultságairól, adatairól? Elvileg attól függetlennek kellene lennie.
- *Rövidtávú terv*: Pilot-ként kell egy próba SSO szerver és két próbaalkalmazás, hogy lássuk hogy is működik a dolog. Ha megvan egy működő technika, akkor el kell kezdeni gyűjteni a partneroldalak követelményeit.
- A VIR SSO-t Zee és Hege három-négy héten belül megoldja, míg a szervert Void telepíti. 3-4 héten belül újabb gyűlés várható.
-- SoTi - 2006.05.15.
Single Sign On
Cél: egyszeri bejelentkeztetés több független weboldalra - infosite, vir, wiki...
Az elképzelés
Ma beágy előadáson közelebb kerültünk fél lépéssel a megvalóstáshoz Marcellal, hiszen elkezdtünk gondolkozni.
Felrajzoltunk egy elképzelt struktúrát, átgondoltuk az egyes elemek felelősségeit és nagyjából az interfész dolgokat. A részletes specifikáció elkésztése is folyamatban van.
Komponensek
- SingelSignOn Szerver (SSO)
- Tárolja a user infokat (User, pass, egyéb személyes adatok)
- Tárolja a user profilokat, ami lerja, mit enged látni a User saját adataiból a partnereknek.
- Tárolja a partneroldalak userekkel kapcsolatos információi (Publikus, nem publikus). Pl jogok, tevékenységek stb.
- Partneroldalak
- Igényekkel rendelkeznek User információk tárolására
- Interfész
- WebService a partneroldalak felé, az authentikációhoz
- SSO szerveren futó admin oldalak
Működés
Bejelentkezés
A partneroldalon van egy bejelentkezés link (vagy megnyitáskor egyből átirányít). Erre kattinva átirányít a sso weblapra, urlben átadva egy visszahívási urlt. Az sso weblap a közetkezőket teszi:
- Ha a user még nem jeletktezett be, bekéri a jelszót, siker esetén letol egy session cookiet (sso weblaphoz), generál egy, a partnerhez tartozó usertokent, és visszahívja a partnert az átadott url-en, átadva a usertokent.
- Ha a user már bejelenetkezett a gépen, akkor az sso weblap a session cookie alapján jelszókérés nélkül behitelesít.
Ezek után a partneroldal a usertoken alapján az sso-tól webservice-en keresztül lekérdezi a bejelentkezett user adatait.
-- Zee - 2006.04.19.
mindenféle backendes dolog
- sql db helyett Kerberos és LDAP? (SCH acc mintájára/együtt vele)
- authorizáció: Kerberos5 (biztonságos jellegű)
- authentikáció: LDAP (sémakiegészítéssel, enterspájz szabvány)
- signed-on információ: a kiszolgáló appban (iinfosite-authd) -- LDAP queryk, ticketellenőrzés stb.
- (saját) tapasztalatok alapján klienshakkolál nélkül nem igazán lehet egyszerűen SSO-t csinálni, az appszerver támogatása kell hozzá
- a SCH acc vs. virauth pro-con dolgokkal kapcsolatos threadet próbáltam megkeresni a sysadmin listán, de egyelőre sikertelenül, Voidot mint kollektív memóriát lenne érdemes megkérdezni :)
-- Tamás - 2006.05.14.
Aadaam & Void beszélgetéseinek röpke kivonata
[Aadaam leveléből webre vágta Bandita]
Az utolso hetekben Voiddal beszelgettunk egy Single Sign-On megoldasrol. Ez a Liberty rendszert hasznalta volna, leven az van a Sun altal tamogatva.
Ezt a mi kis LDAP/kerberos alapu rendszerunkre tok jol tudjuk alkalmazni, maszat meg balu ossze tudna vele mukodni, leven sun vasokon Identify Service-kent van agyonreklamozva, es nem mellesleg a fenti project egyik alapnyelve a PHP.
(Igaz, bizonyos SSO-t a kerberos is tamogat, megse latok sehol ilyet az SchAcc kornyeken...)
Van egy masik rendszer, amit pl. a drupal motor hasznal:
Meg van ilyen:
Asszem ez is tud drupalul.
Fejes Jocó SSO-modulja
Egyszerű webes vir auth alapú megoldás, sch.bme.hu cookie-val, 3 függvénnyel (login, logout, check) és közös adatbázisban tárolt session cookie-kkal megoldva a bejelentkezés-kijelentkezés. Kizárólag HTTPS-t enged, különben (vagy cookie lejárta vagy http kapcsolódás miatt) kijelentkeztet.
-- Bandita - 2006.05.15.
btw: szándékosan hagytátok twikiguest számára írhatóan a webet?