SE a Humanitarian ID login #122
Labels
No Label
app-basic
app-ckan
app-crisiscleanup
app-cts
app-decidim
app-dhis2
app-frontlinesms
app-gnuhealth
app-kanboard
app-mifosx
app-motech
app-odoo
app-opendatakit
app-pandora
app-sahana
app-seeddms
app-sigmah
app-taarifa
app-ushahidi
critical
CZ
documentation
Doing
enhancement
GMaps
info
Mapbox
needinfo
new-app
OSM
performance
QGIS
regression
suggestion
To Do
upstream
No Milestone
No project
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: Disassembler/Spotter-VM#122
Loading…
Reference in New Issue
Block a user
No description provided.
Delete Branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Když neprošlo logování přes OpenID, mohl byste prozkoumat možnost logování přes Humanitarian ID?
https://humanitarian.id
Sahana také zmiňuje v dokumentaci, ale stav použitelnosti nevím.
(vpodstatě bych rád, aby Sahana měla alespoň jeden další a důvěryhodný způsob přihlašování, zároveň nechci používat Google, Facebooky a jiné sociální nesmysly)
Oukej. Po hodince bádání po nedokumentovaných a nevygooglitelných funkcích jsem došel na to, že stačí nastavit hodnoty
a čudlík se objeví.
Takže teď akorát potřebuju nějakým způsobem získat ony údaje. Pokud již OAuth client secret máte, tak sem s ním. Pokud ne, buďto zažádejte, jak je popsáno tutok nebo dejte pokyn a zažádám já na svůj účet.
registraci H.id mám na j.podhorecky@gmail.com. Z ČR je registrováno přesně 8 lidí.
K získání OAuth client secret bych jen potřeboval se domluvit, co jim tam napsat, když chtějí vědět
...což dává smysl, kdyby login byl někde na veřejném wordpressu. Ale když to bude na neveřejné VM, tak nevím. Oni z té informace generují nějaký unikátní token? To je asi problém, ne?
no, jsem zvědav jak Sahana přijme registrovaného člověka, protože samotná registrace na H.id je na mail+heslo, víc není povinné. Takže potenciální problém je s určením Organizace.
Tokeny jsou unikátní všude tak nějak z principu, ale OAuth a obecně všechny Single Sign-on mechanismy (tj. i OpenID, Google a jiné Facebooky) fungují tak, že služba, která fakticky autentikuje, dopředu ví z jaké URL se klient loguje nebo minimálně alespoň na jakou stránku jej má po úspěšné autentizaci vrátit. Takže ano, řešit to systémově jedním párem údajů to rozhodně nelze, ale to nelze v žádném z případů. (API klíče jsou něco jiného, tam se nepředávají údaje mezi třemi stranami ale jen mezi aplikací a service providerem, takže tam to možné je)
Můžeme ale vyžádat údaje pro test na dasm.dasm.cz:8443, kterážto veřejná je. Pro nějaká Vaše dema pak opět záleží na tom, v jakých podmínkách budete předvádět. Budete-li mít dostupnou konektivitu z internetu a DNS záznam například vm.spotter.ngo, kterému přehodíte IP podle toho, kde se zrovna ztrapňujete, bude to fungovat. Pro jednotlivá vlastní nasazení pak samozřejmě bude potřeba vygenerovat tokeny pro konkrétní organizaci, ale to se týká třeba i Google Maps API.
Nic jiného se od OAuth a SSO mechanismů ani neočekává. Pointou je autentizovat uživatele - tedy prokázat, že uživatel má platné jméno a heslo k nějaké službě. Všechna ostatní aplikační data už si musí řešit aplikace sama.
mentioned in commit
dd2966883fok, můžeme z těchto údajů.
moji exhibici si představuji převážně privátně, tj. jednání s konkrétním člověkem. Jsem celkem v pohodě i s připojením pro autentifikaci. Když je to služba tak to je logické. Must see by měl být "WTF moment" v případě, kdy ukážu Serverový SW bez internetu, ale v tom případě je logické, že nebudu používat H.id logování, jen obyčejné.
ale ano, hodila by se vyhrazená doména, kterou bych pro případy velkolepé show použil.
Teď jen otázka, zda žádat o OAuth client secret už teď, nebo počkat až na dobu, kdy spustím VM na svém ntb, získám IP adresu a tu dám do DNS k mé velkolepé doméně. Počkám až se DNS aktualizuje a mělo by to jít.
U jednotlivých uživatelů VM spíš nechám rozchození na tom, kdo o to bude stát. Nabídka loginu přes H.id prostě bude k dispozici.
mentioned in issue #186
Po Dockerizaci Sahany jsou nové údaje
Ke konfiguraci aplikace tedy potřebuju
client_idasecretvytvořený supportem h.id na základě těchto údajů.changed milestone to %2
nyní je HID přístupný před dvoufaktorovou autentizaci, takže nevím estli by vám pomohlo moje jméno a heslo k účtu abyste to ověřil, když mi přijde na mobil 6-místné číslo.
v účtu jsem nalezl akorát API Key
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCIsImtpZCI6ImhpZC1kZXYifQ.eyJpZCI6IjVhMjFhZjJjMTA0NjEyMDBjYWRmMjE0MiIsImlhdCI6MTUzMTk4ODMzNX0.HZQHICEWtHYXnmjpDlGxOz2h3r64eVy7qrUNrbFgHohvknKYuPigzglrVzfLvK4mPZ862u9tVS0SD3dv1z36SaeEn07ZEprTZc6OrBS_FTJkBWfxrZYSSO6K8Te3KAfDJte_QwI1LDOm6t4a_BjPh3CgmP_VLui7XPhEz5muPzEg6FHLIUicF79rntgDpbJS-JytMPaVuWR8D_ItQQch1GDBCxyUHeWsjZwlO03sKeTxh7rrKyehimDCXD_EcKuUNnPVU7KZET_wAijJyEOVRvrQQJXDwQxWzU0rNc-VvMiT5pC2HCPoJXXxBCiAW9I_6csE0YjNfiLlCD0YvfZ38A
Jak tomu rozumím, API key je pouze k integraci humatitarian kontaktů a využití datových služeb poskytovaných UN OCHA. Pokud se chceme pomocí h.ID přihlašovat do naší aplikace, je nutno nechat vytvořit OAuth2 client id a secret, jak se píše tu - https://github.com/UN-OCHA/hid_api/wiki/Requesting-an-OAuth-client-secret . Ty se nedají vytvořit pomocí webového rozhraní a žádost e posílá mailem.
Po čachrách se subdoménami jsou aktuální údaje:
Dear Jiri,
I created a client for you on Humanitarian ID staging:
URL: https://api.staging.humanitarian.id
Client ID: sahana-staging
Client secret: 934p58k009B40y37yt5AaZ57z381k3Xn
You will probably need to create an account on Humanitarian ID staging. If so, create it from here:
https://app.staging.humanitarian.id
HID staging will send you an email with your password reset link. This email will NOT arrive in your mailbox, but will be here:
https://mailhog.dev.ahconu.org/
Username: ocha
Password: dev
Feel free if you need more details. Also, once you are done with the testing phase and have published your application on its final URL, let me know so I can issue a client for your on HID production.
Best regards,
Guillaume.
Mno. Nevím nevím. Mám obavu, že ten kód v Sahaně je tak rezavý, že už fungovat nebude.
Tak se ještě prosím zeptejte, if the URL endpoints listed for OAuth 2 connector on https://github.com/UN-OCHA/hid_api/wiki/Quickstart-on-how-to-integrate-with-HID-Auth are all the same also for staging or are there different ones?
Z těch URL co nám dali mi to není jasné.
napsal jsem mu, uvidíme co odpoví. Bude to poslední pokus, pak vás nebudu déle trápit a když to nepomůže, v tomhle stavu to opusíme zmizí to z VM...
Hi Jiri,
Yes, the URLs are exactly the same (although obviously you need to change auth.humanitarian.id by api.staging.humanitarian.id.
Jo. Toho jsem se bál. To byla totiž jedna z věcí, kterou jsem zkoušel předtím, než jsem se zeptal a která mi taky nefungovala. Tak se trochu pošťourám v tom, jak funguje OAuth ve Web2Py (tohle totiž nedělá přímo Sahana) a uvidíme, jestli na něco přijdu.
Adrian Ciancio ciancio@un.org
We are implementing a series of updates in order to comply with OICT standards and to tackle security vulnerabilities. Therefore, we need you to update your client application as per the guidelines below:
https://github.com/UN-OCHA/hid_api/wiki/Updating-your-application-to-use-HTTP-headers-instead-of-GET-parameters
It is a fairly simple update that we hope you can complete it by October 31, 2018.
Please let us know if you have any questions/comments.
jen pro info: Dominic se začal vrtat v OpenID,
https://github.com/sahana/eden/commits/master
closed
Z upstream bugu #1347 vypadá, že nám bugreport ohledně OpenID zavřou s tím, že když to bylo dva roky bez updatu, tak to nejspíš vlastně nikoho netrápí a dělat to nebudou. Zajímavý vyhnívací workflow.
No, co naděláme... :D