Kimlik doğrulama¶

Kullanıcı hesabı açma¶

Weblate varsayılan kurulumda, yeni açılan kullanıcıların hesaplarını işlemek için sitesindeki bir form olan python-social-auth kullanır. Yeni bir kullanıcı, e-posta adresini onayladıktan sonra, üçüncü taraf hizmetlerden birini kullanarak katkıda bulunabilir veya kimliğini doğrulayabilir.

Yeni kullanıcı hesaplarının açılmasını REGISTRATION_OPEN komutu ile de kapatabilirsiniz.

Kimlik doğrulama girişimleri Hızı sınırlaması değeriyle sınırlanır.

Kimlik doğrulama arka plan uygulamaları¶

Weblate kimlik doğrulaması için Django kullanır. Bunun içinde, yerleşik parola temelli kimlik doğrulama, sosyal ağ kimlik doğrulaması ve Django için üçüncü taraf kimlik doğrulama arka uçları bulunur.

Hazır Django çözümünü kullanmak, diğer Django temelli projelerin kullanıcı veri tabanını içe aktarabilmenizi sağlar (ayrıntılı bilgi almak için: Pootle üzerinden aktarmak).

Ayrıca bakınız

Kimlik doğrulama ayarları, belgesinde resmi Docker kalıbında kimlik doğrulamasının nasıl yapılandırılacağı anlatılmıştır.

Parola ile kimlik doğrulama¶

Varsayılan settings.py dosyasında, zayıf parolalara izin vermeyen mantıklı bir AUTH_PASSWORD_VALIDATORS kümesi bulunur. Bu ayarı parola ilkenize uyacak şekilde özelleştirebilirsiniz.

Ek olarak, parola zorluğu ile ilgili oldukça gerçekçi öngörüler veren ve belirli bir eşiğin altında kalan parolaların reddedilmesini sağlayan django-zxcvbn-password-validator uygulamasını da kurabilirsiniz.

Ayrıca bakınız

SAML kimlik doğrulaması¶

Added in version 4.1.1.

5.12 sürümünde değişti: SAML kimlik doğrulaması için bağımlılıklar artık varsayılan all eklerinde bulunmuyor. Weblate paketini pip kullanarak kurarken (uv pip install Weblate[all,saml]) saml paketini eklemeniz gerekir.

Lütfen yapılandırma için Python Social Auth yönergesini izleyin. Önemli farklar:

Weblate, SOCIAL_AUTH_SAML_ENABLED_IDPS içinde weblate olarak adlandırılması gereken tek kimlik hizmeti sağlayıcısını destekler.
SAML XML üst verileri adresi: /accounts/metadata/saml/, aynı zaman bir varlık kimliğidir.
Oturum açma adres: /accounts/complete/saml/ (ACS URL olarak da bilinir).
Şu seçenekler kendiliğinden doldurulur: SOCIAL_AUTH_SAML_SP_ENTITY_ID, SOCIAL_AUTH_SAML_TECHNICAL_CONTACT, SOCIAL_AUTH_SAML_SUPPORT_CONTACT

Örnek yapılandırma:

# Authentication configuration
AUTHENTICATION_BACKENDS = (
    "social_core.backends.email.EmailAuth",
    "social_core.backends.saml.SAMLAuth",
    "weblate.accounts.auth.WeblateUserBackend",
)

# Social auth backends setup
SOCIAL_AUTH_SAML_SP_ENTITY_ID = f"https://{SITE_DOMAIN}/accounts/metadata/saml/"
SOCIAL_AUTH_SAML_SP_PUBLIC_CERT = "-----BEGIN CERTIFICATE-----"
SOCIAL_AUTH_SAML_SP_PRIVATE_KEY = "-----BEGIN PRIVATE KEY-----"
SOCIAL_AUTH_SAML_ENABLED_IDPS = {
    "weblate": {
        "entity_id": "https://idp.testshib.org/idp/shibboleth",
        "url": "https://idp.testshib.org/idp/profile/SAML2/Redirect/SSO",
        "x509cert": "MIIEDjCCAvagAwIBAgIBADA ... 8Bbnl+ev0peYzxFyF5sQA==",
    }
}
SOCIAL_AUTH_SAML_ORG_INFO = {
    "en-US": {
        "name": "example",
        "displayname": "Example Inc.",
        "url": "http://example.com"
    }
}
SOCIAL_AUTH_SAML_TECHNICAL_CONTACT = {
    "givenName": "Tech Gal",
    "emailAddress": "technical@example.com"
}
SOCIAL_AUTH_SAML_SUPPORT_CONTACT = {
    "givenName": "Support Guy",
    "emailAddress": "support@example.com"
}

Şöyle yeni bir anahtar çifti oluşturabilirsiniz:

openssl req -newkey rsa:4096 -new -x509 -days 3652 -nodes -out saml.crt -keyout saml.key

Varsayılan yapılandırma, şu özniteliklerden kullanıcı bilgilerini ayıklar. Kimlik hizmeti sağlayıcınızı bunları sağlayacak şekilde yapılandırın:

Öznitelik	SAML URI referansı
Ad soyad	`urn:oid:2.5.4.3`
Ad	`urn:oid:2.5.4.42`
Soyad	`urn:oid:2.5.4.4`
E-posta	`urn:oid:0.9.2342.19200300.100.1.3`
Kullanıcı adı	`urn:oid:0.9.2342.19200300.100.1.1`

Kimlik hizmeti sağlayıcınızda Weblate SP yapılandırırken, kalıcı Ad kimliği biçimini seçmeniz önerilir.

İpucu

Yukarıdaki örnek ve Docker kalıbı weblate adlı bir kimlik hizmeti sağlayıcısı tanımlar. Bu dizgeyi kimlik hizmeti sağlayıcınızda Relay olarak yapılandırmanız gerekebilir.

Not

Weblate kimlik doğrulaması, kimlik doğrulama sürecinden geçirilecek RelayState parametresine dayanır. Bunun bazı kimlik sağlayıcılarda yapılandırılması gerekir:

Okta ile özel RelayState nasıl gönderilir

Ayrıca bakınız

LDAP kimlik doğrulaması¶

LDAP kimlik doğrulaması en iyi şekilde django-auth-ldap paketi kullanılarak sağlanabilir. Her zamanki gibi kurabilirsiniz:

# Using PyPI
uv pip install 'django-auth-ldap>=1.3.0'

# Using apt-get
apt-get install python-django-auth-ldap

İpucu

Bu paket Docker kapsayıcısı ile birlikte gelir. Ayrıntılı bilgi almak için: Docker ile kurmak.

Not

Python LDAP 3.1.0 modülünde, bu sürümü kullanmanızı engelleyebilecek bazı uyumsuzluklar vardır. AttributeError: ‘module’ nesnesinin ‘_trace_level’_ özniteliği yok hatasıyla karşılaşırsanız, python-ldap modülünü 3.0.0 sürümüne düşürmek yardımcı olabilir.

Paketi kurduktan sonra, Django kimlik doğrulaması ile bağlayabilirsiniz:

# Add LDAP backed, keep Django one if you want to be able to sign in
# even without LDAP for admin account
AUTHENTICATION_BACKENDS = (
    "django_auth_ldap.backend.LDAPBackend",
    "weblate.accounts.auth.WeblateUserBackend",
)

# LDAP server address
AUTH_LDAP_SERVER_URI = "ldaps://ldap.example.net"

# DN to use for authentication
AUTH_LDAP_USER_DN_TEMPLATE = "cn=%(user)s,o=Example"
# Depending on your LDAP server, you might use a different DN
# like:
# AUTH_LDAP_USER_DN_TEMPLATE = 'ou=users,dc=example,dc=com'

# List of attributes to import from LDAP upon sign in
# Weblate stores full name of the user in the full_name attribute
AUTH_LDAP_USER_ATTR_MAP = {
    "full_name": "name",
    # Use the following if your LDAP server does not have full name
    # Weblate will merge them later
    # 'first_name': 'givenName',
    # 'last_name': 'sn',
    # Email is required for Weblate (used in VCS commits)
    "email": "mail",
}
# Optional: route "Forgot your password?" to your LDAP self-service page
PASSWORD_RESET_URL = "https://id.example.net/password-reset/"


# Hide the registration form
REGISTRATION_OPEN = False

Not

AUTHENTICATION_BACKENDS ayarından ’social_core.backends.email.EmailAuth’ seçeneğini kaldırmalısınız. Yoksa kullanıcılar Weblate üzerinde kendi parolalarını ayarlayabilir ve bunu kullanarak kimlik doğrulaması yapabilir. İzinler almak ve anonim kullanıcılara kolaylık sağlamak için weblate.accounts.auth.WeblateUserBackend seçeneğinin tutulması hala gereklidir. Ayrıca, yerel bir yönetici hesabı oluşturduysanız (örneğin createadmin kullanarak) oturum açmanızı da sağlar.

BIND parolasını kullanarak¶

Kimlik doğrulaması için doğrudan BIND kullanamıyorsanız, aramayı kullanmanız ve arama için bağlanacak bir kullanıcı belirtmeniz gerekir. Örneğin:

import ldap
from django_auth_ldap.config import LDAPSearch

AUTH_LDAP_BIND_DN = ""
AUTH_LDAP_BIND_PASSWORD = ""
AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "ou=users,dc=example,dc=com", ldap.SCOPE_SUBTREE, "(uid=%(user)s)"
)

Active Directory bütünleştirmesi¶

import ldap
from django_auth_ldap.config import LDAPSearch, NestedActiveDirectoryGroupType

AUTH_LDAP_BIND_DN = "CN=ldap,CN=Users,DC=example,DC=com"
AUTH_LDAP_BIND_PASSWORD = "password"

# User and group search objects and types
AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "CN=Users,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)"
)

# Make selected group a superuser in Weblate
AUTH_LDAP_USER_FLAGS_BY_GROUP = {
    # is_superuser means user has all permissions
    "is_superuser": "CN=weblate_AdminUsers,OU=Groups,DC=example,DC=com",
}

# Map groups from AD to Weblate
AUTH_LDAP_GROUP_SEARCH = LDAPSearch(
    "OU=Groups,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(objectClass=group)"
)
AUTH_LDAP_GROUP_TYPE = NestedActiveDirectoryGroupType()
AUTH_LDAP_FIND_GROUP_PERMS = True

# Optionally enable group mirroring from LDAP to Weblate
# AUTH_LDAP_MIRROR_GROUPS = True

Ayrıca bakınız

CAS kimlik doğrulaması¶

CAS kimlik doğrulaması, Django CAS NG gibi bir paket kullanılarak yapılabilir.

Birinci adım, kullanıcının e-posta alanını CAS aracılığıyla açıklamaktır. Bunun CAS sunucusunun kendisinde yapılandırılması gerekir ve CAS v1 öznitelikleri tarafından desteklenmediğinden en az CAS v2 çalıştırmanız gerekir.

İkinci adım, Weblate yapılandırmasını CAS sunucunuzu ve özniteliklerinizi kullanacak şekilde güncellemektir.

Django CAS NG kurmak için:

uv pip install django-cas-ng

Paketi kurduktan sonra, settings.py dosyasını değiştirerek Django kimlik doğrulama sistemiyle bağlantı kurabilirsiniz:

# Add CAS backed, keep the Django one if you want to be able to sign in
# even without LDAP for the admin account
AUTHENTICATION_BACKENDS = (
    "django_cas_ng.backends.CASBackend",
    "weblate.accounts.auth.WeblateUserBackend",
)

# CAS server address
CAS_SERVER_URL = "https://cas.example.net/cas/"

# Add django_cas_ng somewhere in the list of INSTALLED_APPS
INSTALLED_APPS = (..., "django_cas_ng")

Son olarak, e-posta alanını kullanıcı nesnesiyle eşlemek için bir sinyal kullanabilirsiniz. Bunun çalışması için sinyali django-cas-ng paketinden içe aktarmanız ve kodunuzu bu sinyale bağlamanız gerekir. Bunu ayarlar dosyasında yapmak sorunlara neden olabilir. Bu nedenle şunları koymanız önerilir:

Uygulamanızın yapılandırmasında django.apps.AppConfig.ready() yöntemi
Projenin urls.py dosyasında (herhangi bir model var olmadığında)

from django_cas_ng.signals import cas_user_authenticated
from django.dispatch import receiver


@receiver(cas_user_authenticated)
def update_user_email_address(sender, user=None, attributes=None, **kwargs):
    # If your CAS server does not always include the email attribute
    # you can wrap the next two lines of code in a try/catch block.
    user.email = attributes["email"]
    user.save()

Üçüncü taraf Django kimlik doğrulamasını yapılandırmak¶

Genellikle herhangi bir Django kimlik doğrulama uygulama eki Weblate ile çalışmalıdır. Yalnızca eklentinin yönergesini izleyin. Weblate kullanıcı arka ucunu kurulmuş olarak tutmayı unutmayın.

Ayrıca bakınız

LDAP kimlik doğrulaması
CAS kimlik doğrulaması

Genellikle kurulum, AUTHENTICATION_BACKENDS seçeneğine bir kimlik doğrulama arka ucu eklemekten ve INSTALLED_APPS içine bir kimlik doğrulama uygulaması (varsa) kurmaktan oluşur:

AUTHENTICATION_BACKENDS = (
    # Add authentication backend here
    "weblate.accounts.auth.WeblateUserBackend",
)

INSTALLED_APPS += (
    # Install authentication app here
)

İki adımlı doğrulama¶

Added in version 5.7.

İpucu

İki adımlı doğrulama, oturum açmak için parola dışında bir bilgi daha isteyerek hesabınıza ek bir güvenlik katmanı ekler.

Weblate, şu ikinci adımları destekler:

Güvenlik anahtarları (WebAuthn)

Geçiş anahtarları ve güvenlik anahtarlarının ikisi de desteklenir.

Geçiş anahtarları kullanıcı doğrulamasını da içerdiğinden, kimliğinizi dokunma, yüz tanıma, aygıt parolası veya PIN kodu ile doğrular.

Güvenlik anahtarları, yalnızca ikinci bir doğrulama adımı olarak kullanılabilen WebAuthn kimlik bilgileridir ve bunlar yalnızca kullanıcının varlığını doğrular.

Kimlik doğrulama uygulamaları (tek kullanımlık parola)

Aegis, Bitwarden, Google Authenticator, 1Password, Authy, Microsoft Authenticator gibi kimlik doğrulama uygulamaları ve tarayıcı eklentileri, oturum açma sırasında istendiğinde kimliğinizi doğrulamak için ikinci adım olarak kullanılan zamana bağlı tek kullanımlık parolalar üretir.

Kurtarma kodları

Aygıtınıza erişiminizi kaybetmeniz ve iki adımlı doğrulama kodlarını alamamanız durumunda hesabınıza erişmek için kurtarma kodlarını kullanabilirsiniz.

Kurtarma kodlarınızı parolanız gibi güvende tutun. Bunları Bitwarden, 1Password, Authy veya Keeper gibi bir parola yöneticisine kaydetmenizi öneririz.

Her kullanıcı bunu Hesap bölümünden yapılandırabilir. Ardından oturum açmak için var olan kimlik doğrulama yöntemine ek olarak ikinci adımın kullanılması gerekecektir.

Bu, projede kullanıcı veya takım düzeyinde uygulanabilir (ayrıntılı bilgi almak için Dayatılan iki adımlı doğrulama). Site genelindeki dağıtımlarda, bu, kendiliğinden takım ataması tarafından yeni kullanıcılara kendiliğinden atanan varsayılan Kullanıcılar takımında etkinleştirerek tüm kullanıcılara iki adımlı doğrulamayı uygulamak için de kullanılabilir.

İki adımlı kimlik doğrulaması uygulanan bir takımın izinleri, bu özelliği yapılandırmamış kullanıcılara uygulanmaz.

Kimlik doğrulama¶

Kullanıcı hesabı açma¶

Kimlik doğrulama arka plan uygulamaları¶

Sosyal ağ kimlik doğrulaması¶

OpenID kimlik doğrulaması¶

GitHub kimlik doğrulaması¶

GitHub EE kimlik doğrulaması¶

Bitbucket kimlik doğrulaması¶

Google OAuth 2¶

Facebook OAuth 2¶

GitLab OAuth 2¶

Gitea OAuth 2¶

Microsoft Entra ID¶

Slack¶

Kimlik doğrulama yöntemi adlarını ve simgelerini değiştirmek¶

Parola ile kimlik doğrulamayı kapatmak¶

Parola ile kimlik doğrulama¶

SAML kimlik doğrulaması¶

LDAP kimlik doğrulaması¶

BIND parolasını kullanarak¶

Active Directory bütünleştirmesi¶

CAS kimlik doğrulaması¶

Üçüncü taraf Django kimlik doğrulamasını yapılandırmak¶

İki adımlı doğrulama¶