Розпізнавання¶

Реєстрація користувача¶

За типових налаштувань Weblate використовує python-social-auth, форму на сайті для обробки реєстрації нових користувачів. Після підтвердження адреси електронної пошти новий користувач може робити внески або проходити розпізнавання за допомогою однієї зі сторонніх служб.

Ви також можете вимкнути реєстрацію нових користувачів за допомогою параметра REGISTRATION_OPEN.

Спроби розпізнавання описано у Обмеження частоти.

Модулі розпізнавання¶

Weblate використовує Django для автентифікації. Це включає вбудовану автентифікацію на основі пароля, соціальну автентифікацію та сторонні сервери автентифікації для Django.

Використання вбудованої автентифікації Django означає, що ви можете імпортувати базу даних користувачів інших проектів на базі Django (див. Перенесення даних з Pootle).

Дивись також

У розділі Параметри розпізнавання описано, як налаштувати розпізнавання у офіційному образі Docker.

Розпізнавання за паролем¶

За замовчуванням settings.py поставляється з прийнятним набором AUTH_PASSWORD_VALIDATORS, який гарантує, що слабкі паролі не дозволені. Ви можете налаштувати цей параметр відповідно до своєї політики паролів.

Крім того, ви також можете встановити django-zxcvbn-password-validator, який дає досить реалістичні оцінки складності пароля та дозволяє відхиляти паролі нижче певного порогу.

Дивись також

Розпізнавання за SAML¶

Added in version 4.1.1.

Змінено в версії 5.12: Залежності для розпізнавання у SAML виключено з типового списку додаткових пакунків all. Вам слід включити saml під час встановлення пакунка Weblate за допомогою pip (uv pip install Weblate[all,saml]).

Будь ласка, виконайте настанови щодо налаштовування розпізнавання за соціальними мережами у Python. Відмінності:

У Weblate передбачено підтримку єдиного IDP, який має назву weblate, у SOCIAL_AUTH_SAML_ENABLED_IDPS.
URL-адреса метаданих SAML XML — /accounts/metadata/saml/, яка також є ідентифікатором сутності.
URL-адреса для входу — /accounts/complete/saml/ (також відома як URL-адреса ACS).
Автоматично заповнено буде такі параметри: SOCIAL_AUTH_SAML_SP_ENTITY_ID, SOCIAL_AUTH_SAML_TECHNICAL_CONTACT, SOCIAL_AUTH_SAML_SUPPORT_CONTACT

Приклад налаштувань:

# Authentication configuration
AUTHENTICATION_BACKENDS = (
    "social_core.backends.email.EmailAuth",
    "social_core.backends.saml.SAMLAuth",
    "weblate.accounts.auth.WeblateUserBackend",
)

# Social auth backends setup
SOCIAL_AUTH_SAML_SP_ENTITY_ID = f"https://{SITE_DOMAIN}/accounts/metadata/saml/"
SOCIAL_AUTH_SAML_SP_PUBLIC_CERT = "-----BEGIN CERTIFICATE-----"
SOCIAL_AUTH_SAML_SP_PRIVATE_KEY = "-----BEGIN PRIVATE KEY-----"
SOCIAL_AUTH_SAML_ENABLED_IDPS = {
    "weblate": {
        "entity_id": "https://idp.testshib.org/idp/shibboleth",
        "url": "https://idp.testshib.org/idp/profile/SAML2/Redirect/SSO",
        "x509cert": "MIIEDjCCAvagAwIBAgIBADA ... 8Bbnl+ev0peYzxFyF5sQA==",
    }
}
SOCIAL_AUTH_SAML_ORG_INFO = {
    "en-US": {
        "name": "example",
        "displayname": "Example Inc.",
        "url": "http://example.com"
    }
}
SOCIAL_AUTH_SAML_TECHNICAL_CONTACT = {
    "givenName": "Tech Gal",
    "emailAddress": "technical@example.com"
}
SOCIAL_AUTH_SAML_SUPPORT_CONTACT = {
    "givenName": "Support Guy",
    "emailAddress": "support@example.com"
}

Ви можете створити нову пару ключів за допомогою:

openssl req -newkey rsa:4096 -new -x509 -days 3652 -nodes -out saml.crt -keyout saml.key

Конфігурація за замовчуванням витягує дані користувача з наступних атрибутів, налаштуйте свого постачальника ідентифікаційних даних, щоб він їх надавав:

Атрибут	Довідник щодо адрес SAML
Повне ім’я	`urn:oid:2.5.4.3`
Ім’я	`urn:oid:2.5.4.42`
Прізвище	`urn:oid:2.5.4.4`
Електронна пошта	`urn:oid:0.9.2342.19200300.100.1.3`
Імʼя користувача	`urn:oid:0.9.2342.19200300.100.1.1`

Під час налаштування Weblate SP у вашому постачальнику ідентифікаційних даних рекомендується вибрати постійний варіант Name ID format.

Підказка

У наведеному вище прикладі та зображенні Docker визначено постачальника ідентифікаційних даних під назвою weblate. Можливо, вам доведеться налаштувати цей рядок як Relay у вашому постачальнику ідентифікаційних даних.

Примітка

Автентифікація Weblate залежить від параметра RelayState, який передається через процес автентифікації. Це потрібно налаштувати з деякими постачальниками ідентифікаційних даних:

Як надіслати власний стан реле за допомогою Okta

Дивись також

Розпізнавання за допомогою LDAP¶

Оптимальним способом уможливлення розпізнавання за допомогою LDAP є використанням пакунка django-auth-ldap. Встановити його можна у звичний спосіб:

# Using PyPI
uv pip install 'django-auth-ldap>=1.3.0'

# Using apt-get
apt-get install python-django-auth-ldap

Підказка

Цей пакунок включено до контейнера Docker, див. Установлення за допомогою Docker.

Примітка

Маємо певні несумісності із модулем Python LDAP 3.1.0, які можуть вам завадити вам користуватися цією версією. Якщо система повідомляє вам про помилку AttributeError: „module“ object has no attribute „_trace_level“, зниження версії python-ldap до 3.0.0 може вирішити проблему.

Після встановлення пакунка, ви можете вставити його до скрипту розпізнавання Django:

# Add LDAP backed, keep Django one if you want to be able to sign in
# even without LDAP for admin account
AUTHENTICATION_BACKENDS = (
    "django_auth_ldap.backend.LDAPBackend",
    "weblate.accounts.auth.WeblateUserBackend",
)

# LDAP server address
AUTH_LDAP_SERVER_URI = "ldaps://ldap.example.net"

# DN to use for authentication
AUTH_LDAP_USER_DN_TEMPLATE = "cn=%(user)s,o=Example"
# Depending on your LDAP server, you might use a different DN
# like:
# AUTH_LDAP_USER_DN_TEMPLATE = 'ou=users,dc=example,dc=com'

# List of attributes to import from LDAP upon sign in
# Weblate stores full name of the user in the full_name attribute
AUTH_LDAP_USER_ATTR_MAP = {
    "full_name": "name",
    # Use the following if your LDAP server does not have full name
    # Weblate will merge them later
    # 'first_name': 'givenName',
    # 'last_name': 'sn',
    # Email is required for Weblate (used in VCS commits)
    "email": "mail",
}
# Optional: route "Forgot your password?" to your LDAP self-service page
PASSWORD_RESET_URL = "https://id.example.net/password-reset/"


# Hide the registration form
REGISTRATION_OPEN = False

Примітка

Вам слід вилучити 'social_core.backends.email.EmailAuth' з параметра AUTHENTICATION_BACKENDS, інакше користувачі зможуть встановлювати пароль у Weblate і проходити розпізнавання за допомогою пароля. Збереження 'weblate.accounts.auth.WeblateUserBackend' все одно потрібен для того, щоб встановити права доступу і полегшити роботу з анонімними користувачами. Цей параметр також надає вам змогу входити до системи за допомогою локального адміністративного облікового запису, якщо ви його створили (наприклад, за допомогою createadmin).

Використання пароля bind¶

Якщо ви не можете скористатися безпосередньою прив’язкою для розпізнавання, вам доведеться скористатися пошуком і вказати користувача для прив’язки пошуку. Приклад:

import ldap
from django_auth_ldap.config import LDAPSearch

AUTH_LDAP_BIND_DN = ""
AUTH_LDAP_BIND_PASSWORD = ""
AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "ou=users,dc=example,dc=com", ldap.SCOPE_SUBTREE, "(uid=%(user)s)"
)

Інтеграція із Active Directory¶

import ldap
from django_auth_ldap.config import LDAPSearch, NestedActiveDirectoryGroupType

AUTH_LDAP_BIND_DN = "CN=ldap,CN=Users,DC=example,DC=com"
AUTH_LDAP_BIND_PASSWORD = "password"

# User and group search objects and types
AUTH_LDAP_USER_SEARCH = LDAPSearch(
    "CN=Users,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)"
)

# Make selected group a superuser in Weblate
AUTH_LDAP_USER_FLAGS_BY_GROUP = {
    # is_superuser means user has all permissions
    "is_superuser": "CN=weblate_AdminUsers,OU=Groups,DC=example,DC=com",
}

# Map groups from AD to Weblate
AUTH_LDAP_GROUP_SEARCH = LDAPSearch(
    "OU=Groups,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(objectClass=group)"
)
AUTH_LDAP_GROUP_TYPE = NestedActiveDirectoryGroupType()
AUTH_LDAP_FIND_GROUP_PERMS = True

# Optionally enable group mirroring from LDAP to Weblate
# AUTH_LDAP_MIRROR_GROUPS = True

Дивись також

Розпізнавання за допомогою CAS¶

Аутентифікацію CAS можна здійснити за допомогою такого пакета, як Django CAS NG.

Першим кроком є розкриття поля адреси електронної пошти користувача за допомогою CAS. Цю можливість має бути налаштовано на самому сервері CAS, вона потребує роботи із принаймні версією 2 CAS, оскільки у версії 1 CAS не передбачено підтримки атрибутів взагалі.

Другим кроком є оновлення Weblate для використання вашого сервера CAS і атрибутів.

Щоб встановити Django CASE NG:

uv pip install django-cas-ng

Після встановлення пакунка, ви можете вставити його до скрипту розпізнавання Django внесенням змін до файла settings.py:

# Add CAS backed, keep the Django one if you want to be able to sign in
# even without LDAP for the admin account
AUTHENTICATION_BACKENDS = (
    "django_cas_ng.backends.CASBackend",
    "weblate.accounts.auth.WeblateUserBackend",
)

# CAS server address
CAS_SERVER_URL = "https://cas.example.net/cas/"

# Add django_cas_ng somewhere in the list of INSTALLED_APPS
INSTALLED_APPS = (..., "django_cas_ng")

Нарешті, для прив’язки поля адреси електронної пошти до об’єкта користувача можна скористатися сигналом. Щоб це спрацювало, вам слід імпортувати сигнал з пакунка django-cas-ng і з’єднати ваш код із цим сигналом. Виконання цього завдання у файлів параметрів може спричинити проблеми, тому пропонуємо вам такий варіант:

У методі django.apps.AppConfig.ready() налаштувань вашої програми
У файлі проєкту urls.py (якщо моделей не існує)

from django_cas_ng.signals import cas_user_authenticated
from django.dispatch import receiver


@receiver(cas_user_authenticated)
def update_user_email_address(sender, user=None, attributes=None, **kwargs):
    # If your CAS server does not always include the email attribute
    # you can wrap the next two lines of code in a try/catch block.
    user.email = attributes["email"]
    user.save()

Налаштовування стороннього розпізнавання за допомогою Django¶

Загалом, із Weblate має працювати будь-який додаток розпізнавання Django. Просто виконуйте настанови для цього додатка, просто не забудьте встановити модуль користувачів Weblate.

Дивись також

Розпізнавання за допомогою LDAP
Розпізнавання за допомогою CAS

Типово, встановлення полягає у додаванні модуля розпізнавання до запису AUTHENTICATION_BACKENDS і встановленні програми для розпізнавання (якщо таку передбачено) до INSTALLED_APPS:

AUTHENTICATION_BACKENDS = (
    # Add authentication backend here
    "weblate.accounts.auth.WeblateUserBackend",
)

INSTALLED_APPS += (
    # Install authentication app here
)

Двофакторне розпізнавання¶

Added in version 5.7.

Підказка

Двофакторна автентифікація додає ще один рівень безпеки до вашого облікового запису вимагаючи для входу не лише пароль.

У Weblate передбачено підтримку таких других факторів:

Ключі безпеки (WebAuthn)

Підтримуються і ключі доступу, і ключі безпеки.

Ключі доступу підтверджують вашу особу за допомогою дотику, розпізнавання пальця, паролю пристрою або PIN-коду, оскільки вони включають підтвердження користувача.

Ключі безпеки — це облікові дані WebAuthn, які можна використовувати лише як другий фактор автентифікації, і вони лише підтверджують присутність користувача.

Програми для розпізнавання (TOTP)

Програми автентифікатора та розширення браузера, такі як Aegis, Bitwarden, Google Authenticator, 1Password, Authy, Microsoft Authenticator тощо, генерують одноразові паролі на основі часу, які використовуються як другий фактор для підтвердження вашої особи, коли з’являється запит під час входу.

Коди відновлення

Кодами відновлення можна скористатися для доступу до вашого облікового запису, якщо ви втратите доступ до вашого пристрою і не зможете отримати двофакторні коди розпізнавання.

Зберігайте ваші коди відновлення із таким самим захистом, що і ваші паролі. Ми рекомендуємо зберігати їх за допомогою програми для керування паролями, зокрема Bitwarden, 1Password, Authy або Keeper.

Кожен користувач може налаштувати це у Обліковий запис для входу буде потрібен і другий фактор на додачу до наявного способу розпізнавання.

Це можна застосувати для користувачів на рівні проєкту (див.: Примусове двофакторне розпізнавання) або команди. У разі розгортання на всьому сайті цю функцію також можна використовувати для обов’язкового застосування двофакторної автентифікації для всіх користувачів, увімкнувши її для команди за замовчуванням Users, яка автоматично призначається новим користувачам за допомогою automatic team assignment.

Права доступу команди із примусовим двофакторним розпізнаванням не буде застосовано до користувачів, які не налаштували таке розпізнавання.

Розпізнавання¶

Реєстрація користувача¶

Модулі розпізнавання¶

Розпізнавання за соціальними мережами¶

Розпізнавання за OpenID¶

Розпізнавання за GitHub¶

Розпізнавання EE GitHub¶

Розпізнавання за Bitbucket¶

Google OAuth 2¶

Facebook OAuth 2¶

GitLab OAuth 2¶

Gitea OAuth 2¶

Microsoft Entra ID¶

Ідентифікатор¶

Перевизначення імен методів автентифікації та піктограм¶

Вимикання розпізнавання за паролем¶

Розпізнавання за паролем¶

Розпізнавання за SAML¶

Розпізнавання за допомогою LDAP¶

Використання пароля bind¶

Інтеграція із Active Directory¶

Розпізнавання за допомогою CAS¶

Налаштовування стороннього розпізнавання за допомогою Django¶

Двофакторне розпізнавання¶