Fíordheimhniú¶

Clárú úsáideora¶

Is é an socrú réamhshocraithe do Weblate ná python-social-auth a úsáid, foirm ar an suíomh Gréasáin chun clárú úsáideoirí nua a láimhseáil. Tar éis dó a r-phost a dhearbhú is féidir le húsáideoir nua rannchuidiú nó fíordheimhniú a dhéanamh trí úsáid a bhaint as ceann de na seirbhísí tríú páirtí.

Is féidir leat clárú úsáideoirí nua a mhúchadh freisin trí úsáid a bhaint as REGISTRATION_OPEN.

Tá na hiarrachtaí fíordheimhnithe faoi réir Teorainn rátaí.

Innill fhíordheimhnithe¶

Braitheann Weblate ar Django don fhíordheimhniú. Áirítear leis seo fíordheimhniú bunaithe ar phasfhocal, fíordheimhniú sóisialta, agus córais chúltaca fíordheimhnithe tríú páirtí do Django.

Trí úsáid a bhaint as fíordheimhniú ionsuite Django, is féidir leat bunachar sonraí úsáideoirí tionscadal eile atá bunaithe ar Django a allmhairiú (féach Imirce ó Pootle).

See also

Socruithe fíordheimhnithe cur síos ar conas fíordheimhniú a chumrú san íomhá oifigiúil Docker.

Fíordheimhniú pasfhocal¶

Tagann an réamhshocrú settings.py le sraith réasúnta de AUTH_PASSWORD_VALIDATORS a chinntíonn nach gceadaítear pasfhocail lag. Is féidir leat an socrú seo a shaincheapadh chun do pholasaí pasfhocail a mheaitseáil.

Ina theannta sin is féidir leat django-zxcvbn-password-validator a shuiteáil a thugann meastacháin réalaíocha ar dheacracht pasfhocail agus a cheadaíonn pasfhocail a dhiúltú faoi thairseach áirithe.

See also

Fíordheimhniú SAML¶

Added in version 4.1.1.

Changed in version 5.12: Níl na spleáchais le haghaidh fíordheimhniú SAML san áireamh sna breiseáin réamhshocraithe all a thuilleadh. Ní mór duit saml a chur san áireamh agus an pacáiste Weblate á shuiteáil agat ag baint úsáide as pip (uv pip install Weblate[all,saml]).

Lean na treoracha Python Social Auth le haghaidh cumraíochta. Difríochtaí suntasacha:

Tacaíonn Weblate le IDP aonair a gcaithfear weblate a thabhairt air in SOCIAL_AUTH_SAML_ENABLED_IDPS.
Is é /accounts/metadata/saml/ URL meiteashonraí SAML XML, arb ionann é agus aitheantóir eintitis freisin.
Is é /accounts/complete/saml/ an URL sínithe isteach (ar a dtugtar URL ACS freisin).
Comhlánaítear na socruithe seo a leanas go huathoibríoch: SOCIAL_AUTH_SAML_SP_ENTITY_ID, SOCIAL_AUTH_SAML_TECHNICAL_CONTACT, SOCIAL_AUTH_SAML_SUPPORT_CONTACT

Cumraíocht shamplach:

# Authentication configuration
AUTHENTICATION_BACKENDS = (
    "social_core.backends.email.EmailAuth",
    "social_core.backends.saml.SAMLAuth",
    "weblate.accounts.auth.WeblateUserBackend",
)

# Social auth backends setup
SOCIAL_AUTH_SAML_SP_ENTITY_ID = f"https://{SITE_DOMAIN}/accounts/metadata/saml/"
SOCIAL_AUTH_SAML_SP_PUBLIC_CERT = "-----BEGIN CERTIFICATE-----"
SOCIAL_AUTH_SAML_SP_PRIVATE_KEY = "-----BEGIN PRIVATE KEY-----"
SOCIAL_AUTH_SAML_ENABLED_IDPS = {
    "weblate": {
        "entity_id": "https://idp.testshib.org/idp/shibboleth",
        "url": "https://idp.testshib.org/idp/profile/SAML2/Redirect/SSO",
        "x509cert": "MIIEDjCCAvagAwIBAgIBADA ... 8Bbnl+ev0peYzxFyF5sQA==",
    }
}
SOCIAL_AUTH_SAML_ORG_INFO = {
    "en-US": {
        "name": "example",
        "displayname": "Example Inc.",
        "url": "http://example.com"
    }
}
SOCIAL_AUTH_SAML_TECHNICAL_CONTACT = {
    "givenName": "Tech Gal",
    "emailAddress": "technical@example.com"
}
SOCIAL_AUTH_SAML_SUPPORT_CONTACT = {
    "givenName": "Support Guy",
    "emailAddress": "support@example.com"
}

Is féidir leat péire nua eochracha a ghiniúint ag baint úsáide as:

openssl req -newkey rsa:4096 -new -x509 -days 3652 -nodes -out saml.crt -keyout saml.key

Baintear sonraí úsáideora as na tréithe seo a leanas leis an gcumraíocht réamhshocraithe, cumraigh do IdP chun iad a sholáthar:

Tréith	Tagairt URI SAML
Ainm iomlán	`urn:oid:2.5.4.3`
Céad ainm	`urn:oid:2.5.4.42`
Sloinne	`urn:oid:2.5.4.4`
R-phost	`urn:oid:0.9.2342.19200300.100.1.3`
Ainm Úsáideora	`urn:oid:0.9.2342.19200300.100.1.1`

Agus Weblate SP á chumrú i do IdP, moltar Formáid Aitheantais Ainm buan a roghnú.

Hint

Sainmhíníonn an sampla thuas agus íomhá Docker IdP ar a dtugtar weblate. B’fhéidir go mbeadh ort an teaghrán seo a chumrú mar Relay i do IdP.

Note

Braitheann fíordheimhniú Weblate ar an bparaiméadar RelayState a chur tríd an bpróiseas fíordheimhnithe. Ní mór é seo a chumrú le roinnt soláthraithe aitheantais:

Conas Athsheoladh Saincheaptha a Sheoladh le Okta

See also

Fíordheimhniú LDAP¶

Is fearr is féidir fíordheimhniú LDAP a bhaint amach trí úsáid a bhaint as an bpacáiste django-auth-ldap. Is féidir leat é a shuiteáil trí ghnáthbhealaí:

# Using PyPI
uv pip install 'django-auth-ldap>=1.3.0'

# Using apt-get
apt-get install python-django-auth-ldap

Hint

Tá an pacáiste seo san áireamh sa choimeádán Docker, féach Suiteáil ag baint úsáide as Docker.

Note

Tá roinnt neamhluí sa mhodúl Python LDAP 3.1.0, rud a d’fhéadfadh cosc a chur ort an leagan sin a úsáid. Má fhaigheann tú earráid AttributeError: níl aon aitreabúid ag réad 'modúl' '_trace_level', seans go laghdófar python-ldap go 3.0.0 cabhrú.

Nuair a bheidh an pacáiste suiteáilte agat, is féidir leat é a cheangal le fíordheimhniú Django:

# Add LDAP backed, keep Django one if you want to be able to sign in
# even without LDAP for admin account
AUTHENTICATION_BACKENDS = (
    "django_auth_ldap.backend.LDAPBackend",
    "weblate.accounts.auth.WeblateUserBackend",
)

# LDAP server address
AUTH_LDAP_SERVER_URI = "ldaps://ldap.example.net"

# DN to use for authentication
AUTH_LDAP_USER_DN_TEMPLATE = "cn=%(user)s,o=Example"
# Depending on your LDAP server, you might use a different DN
# like:
# AUTH_LDAP_USER_DN_TEMPLATE = 'ou=users,dc=example,dc=com'

# List of attributes to import from LDAP upon sign in
# Weblate stores full name of the user in the full_name attribute
AUTH_LDAP_USER_ATTR_MAP = {
    "full_name": "name",
    # Use the following if your LDAP server does not have full name
    # Weblate will merge them later
    # 'first_name': 'givenName',
    # 'last_name': 'sn',
    # Email is required for Weblate (used in VCS commits)
    "email": "mail",
}
# Optional: route "Forgot your password?" to your LDAP self-service page
PASSWORD_RESET_URL = "https://id.example.net/password-reset/"


# Hide the registration form
REGISTRATION_OPEN = False

Note

Ba chóir duit 'social_core.backends.email.EmailAuth' a bhaint as an socrú AUTHENTICATION_BACKENDS, ar shlí eile beidh úsáideoirí in ann a bhfocal faire a shocrú i Weblate, agus fíordheimhniú ag baint úsáide as sin. Tá gá fós ag coinneáil 'weblate.accounts.auth.WeblateUserBackend' d'fhonn ceadanna a dhéanamh agus úsáideoirí gan ainm a éascú. Ligfidh sé duit síniú isteach ag baint úsáide as cuntas riaracháin áitiúil, má chruthaigh tú é (m.sh. trí createadmin a úsáid).

Ag baint úsáide as pasfhocal ceangail¶

Mura féidir leat ceangal díreach a úsáid le haghaidh fíordheimhnithe, beidh ort cuardach a úsáid, agus úsáideoir a sholáthar chun ceangal a dhéanamh don chuardach. Mar shampla:

import ldap
from django_auth_ldap.config import LDAPSearch

AUTH_LDAP_BIND_DN = ""
AUTH_LDAP_BIND_PASSWORD = ""
AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "ou=users,dc=example,dc=com", ldap.SCOPE_SUBTREE, "(uid=%(user)s)"
)

Comhtháthú Eolaire Gníomhach¶

import ldap
from django_auth_ldap.config import LDAPSearch, NestedActiveDirectoryGroupType

AUTH_LDAP_BIND_DN = "CN=ldap,CN=Users,DC=example,DC=com"
AUTH_LDAP_BIND_PASSWORD = "password"

# User and group search objects and types
AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "CN=Users,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)"
)

# Make selected group a superuser in Weblate
AUTH_LDAP_USER_FLAGS_BY_GROUP = {
    # is_superuser means user has all permissions
    "is_superuser": "CN=weblate_AdminUsers,OU=Groups,DC=example,DC=com",
}

# Map groups from AD to Weblate
AUTH_LDAP_GROUP_SEARCH = LDAPSearch(
    "OU=Groups,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(objectClass=group)"
)
AUTH_LDAP_GROUP_TYPE = NestedActiveDirectoryGroupType()
AUTH_LDAP_FIND_GROUP_PERMS = True

# Optionally enable group mirroring from LDAP to Weblate
# AUTH_LDAP_MIRROR_GROUPS = True

See also

Fíordheimhniú CAS¶

Is féidir fíordheimhniú CAS a bhaint amach trí phacáiste ar nós Django CAS NG a úsáid.

Is é céim a haon ná réimse ríomhphoist an úsáideora a nochtadh trí CAS. Ní mór é seo a chumrú ar an bhfreastalaí CAS féin, agus éilíonn sé go ritheann tú CAS v2 ar a laghad toisc nach dtacaíonn CAS v1 le tréithe ar chor ar bith.

Is éard atá i gcéim a dó ná Weblate a nuashonrú chun do fhreastalaí CAS agus tréithe a úsáid.

Chun Django CAS NG a shuiteáil:

uv pip install django-cas-ng

Nuair a bheidh an pacáiste suiteáilte agat is féidir leat é a cheangal le córas fíordheimhnithe Django tríd an gcomhad settings.py a mhodhnú:

# Add CAS backed, keep the Django one if you want to be able to sign in
# even without LDAP for the admin account
AUTHENTICATION_BACKENDS = (
    "django_cas_ng.backends.CASBackend",
    "weblate.accounts.auth.WeblateUserBackend",
)

# CAS server address
CAS_SERVER_URL = "https://cas.example.net/cas/"

# Add django_cas_ng somewhere in the list of INSTALLED_APPS
INSTALLED_APPS = (..., "django_cas_ng")

Ar deireadh, is féidir comhartha a úsáid chun an réimse ríomhphoist a mhapáil chuig an réad úsáideora. Le go n-oibreoidh sé seo caithfidh tú an comhartha a iompórtáil ón bpacáiste django-cas-ng agus do chód a nascadh leis an gcomhartha seo. Is féidir fadhbanna a chruthú má dhéantar é seo i gcomhad socruithe, mar sin moltar é a chur:

I modh cumraíochta d'aip django.apps.AppConfig.ready()
Sa tionscadal urls.py (nuair nach bhfuil samhlacha ann)

from django_cas_ng.signals import cas_user_authenticated
from django.dispatch import receiver


@receiver(cas_user_authenticated)
def update_user_email_address(sender, user=None, attributes=None, **kwargs):
    # If your CAS server does not always include the email attribute
    # you can wrap the next two lines of code in a try/catch block.
    user.email = attributes["email"]
    user.save()

Fíordheimhniú Django tríú páirtí a chumrú¶

Go ginearálta ba cheart go n-oibreodh aon bhreiseán fíordheimhnithe Django le Weblate. Níl le déanamh ach na treoracha don bhreiseán a leanúint, níl le déanamh ach cuimhneamh ar inneall Weblate a shuiteáil.

See also

Fíordheimhniú LDAP
Fíordheimhniú CAS

Go hiondúil is éard a bheidh sa tsuiteáil ná inneall fíordheimhnithe a chur le AUTHENTICATION_BACKENDS agus aip fíordheimhnithe a shuiteáil (má tá aon cheann ann) i INSTALLED_APPS:

AUTHENTICATION_BACKENDS = (
    # Add authentication backend here
    "weblate.accounts.auth.WeblateUserBackend",
)

INSTALLED_APPS += (
    # Install authentication app here
)

Fíordheimhniú dhá-fhachtóir¶

Added in version 5.7.

Hint

Cuireann fíordheimhniú dhá fhachtóir sraith eile slándála le do chuntas trí níos mó ná pasfhocal amháin a éileamh chun síniú isteach.

Tacaíonn Weblate leis na dara fachtóirí seo a leanas:

Eochracha slándála (WebAuthn)

Tacaítear le Pasfhocail agus eochracha slándála araon.

Déanann pasfhocail d'aitheantas a bhailíochtú trí úsáid a bhaint as tadhall, aithint aghaidhe, pasfhocal gléis, nó UAP mar go n-áirítear leo fíorú úsáideora.

Is dintiúir WebAuthn iad eochracha slándála nach féidir a úsáid ach mar an dara fachtóir fíordheimhnithe, agus ní dhéanann siad seo ach láithreacht úsáideoirí a bhailíochtú.

Aipeanna Authenticator (TOTP)

Gineann aipeanna fíordheimhnitheora agus síntí brabhsálaí ar nós Aegis, Bitwarden, Google Authenticator, 1Password, Authy, Microsoft Authenticator, etc. pasfhocail aonuaire bunaithe ar am a úsáidtear mar dhara fachtóir chun d’aitheantas a fhíorú nuair a iarrtar ort le linn síniú isteach.

Cóid aisghabhála

Is féidir cóid athshlánaithe a úsáid chun rochtain a fháil ar do chuntas má chailleann tú rochtain ar do ghléas agus mura féidir leat cóid fíordheimhnithe dhá fhachtóir a fháil.

Coinnigh do chóid athshlánaithe chomh sábháilte le do phasfhocal. Molaimid iad a shábháil le bainisteoir pasfhocail mar Bitwarden, 1Password, Authy, nó Coimeádaí.

Is féidir le gach úsáideoir é seo a chumrú i Cuntas agus beidh an dara fachtóir ag teastáil chun síniú chomh maith leis an modh fíordheimhnithe reatha.

Is féidir é seo a fhorfheidhmiú d'úsáideoirí ag an tionscadal (féach Fíordheimhniú dhá fhachtóir curtha i bhfeidhm) nó ag leibhéal na foirne. I gcás imscaradh ar fud an tsuímh, is féidir é seo a úsáid freisin chun fíordheimhniú dhá fhachtóir a fhorfheidhmiú do gach úsáideoir trína chumasú ar an bhfoireann réamhshocraithe Users, a shanntar go huathoibríoch d'úsáideoirí nua ag automatic team assignment.

Ní chuirfear ceadanna foirne le fíordheimhniú dhá fhachtóir forfheidhmithe i bhfeidhm ar úsáideoirí nach bhfuil sé cumraithe acu.

Fíordheimhniú¶

Clárú úsáideora¶

Innill fhíordheimhnithe¶

Fíordheimhniú sóisialta¶

Fíordheimhniú OpenID¶

Fíordheimhniú GitHub¶

Fíordheimhniú GitHub EE¶

Fíordheimhniú Bitbucket¶

Google OAuth 2¶

Facebook OAuth 2¶

GitLab OAuth 2¶

Gitea OAuth 2¶

Aitheantas Entra Microsoft¶

Leac¶

Ainmneacha agus deilbhíní modhanna fíordheimhnithe sáraitheacha¶

Fíordheimhniú pasfhocail a mhúchadh¶

Fíordheimhniú pasfhocal¶

Fíordheimhniú SAML¶

Fíordheimhniú LDAP¶

Ag baint úsáide as pasfhocal ceangail¶

Comhtháthú Eolaire Gníomhach¶

Fíordheimhniú CAS¶

Fíordheimhniú Django tríú páirtí a chumrú¶

Fíordheimhniú dhá-fhachtóir¶