search

ceskaexpedice / kramerius-googlecode-backup

Automatically exported from code.google.com/p/kramerius
0 stars 1 forks source link

Shibboleth - odhlášení #183

Closed GoogleCodeExporter closed 9 years ago

GoogleCodeExporter commented 9 years ago 
Odhlášení z Shibbolethu nezpůsobí odhlášení s K4
Scénář:
1 .Přihlásím se do Shibbolethu
2. Otevřu si Kramerius - jsem přihlášený
3. Odhlásím se z Shibbolethu
4. Opět si otevřu Kramerius - jsem stále přihlášený
V této situaci jsem do Krameria stále přihlášený, ale to bych být 
neměl. Pokud kliknu na 'odhlásit', jsem odhlášen i s Krameria. 
Po pohledu na hlavičky http requestu jde vidět, že session Shibbolethu 
skončila, ale session Krameria stále trvá.

S tím souvisí další věc:
Shibbolethí přihlašování/odhlašování by mělo být integrované do 
Krameria. 
Předpokládal bych tyto možné způsoby přihlašování:
1. pouze interní účty
Při kliknutí na přihlásit by jako doposud vyskočilo přihlašovací okno. 
Při úspěšném přihlášení by se naplnily hlavičky 
securityForRepository, loggedUser, loggedUserKey.
Po kliknutí na odhlásit by se odstranily.

2. pouze Shibboleth
Tlačítko "přihlásit" by odkazovalo na přihlášení do Shibbolethu, např. 
"krameriustest.mzk.cz/Shibboleth.sso/Login", v nepovinném parametru "return" 
by byla odkaz na právě otevřenou stránku, např. 
"http://krameriustest.mzk.cz/search/i.jsp?pid=uuid:a5f2da0d-364a-4be0-9d73-1971f
e022eaa". Při vytvoření shibbolethí session by se aktualizovala i 
krameriovská session, jak to funguje teď. Po přihlášení by Shibboleth Id 
provider přesměroval zpět na url v parametru return, pokud by to uměl.
Po kliknutí na odhlásit by se:
* aktualizovala krameriovská session
* otevřelo odkaz na odhlášení ze Shibbolethu, např. 
"krameriustest.mzk.cz/Shibboleth.sso/Logout". Opět s parametrem return.

3. kombinace obou.
Napadá mě takové použítí:
* Návštěvníci a zaměstnanci s různými právy se přihlasují přes 
Shibboleth. 
* Interní účty by se používaly tehdy, kdy není vhodné použít 
Shibbolethí účet. My např. používáme Shibboleth i pro přihlášení do 
Alephu. Na některé mechanické úkoly používáme brigádníky (např. 
změna práv vybraných dokumentů). Ti se přihlašují pod účtem určeným 
jenom k této aktivitě, nemají jiná práva. Pokud by ale identitu 
poskyktoval jen Shibboleth, znamenalo by to, že si pod tímto účtem můžou 
registrovat knihy k vypůjčení a prostě být autentizovaní do všech 
systémů, kde se používá Shibboleth Id provider. Omezovat tento účet ve 
všech těchto systémech by mohlo být problematické. Proto se ideálně 
hodí účet jen do K4.

Tlačítka příhlásit a odhlásit by se tedy používala jen pro Shibboleth. 
Přihlašování a odhlašování by bylo někde skryté, např. v další 
záložce. 

Použitá varianta by se definovala v property např 
authentification.mode=shibboleth/internal/combined
shibboleth.loginUrl=http://krameriustest.mzk.cz/Shibboleth.sso/Login
shibboleth.logoutUrl=http://krameriustest.mzk.cz/Shibboleth.sso/Logout

Original issue reported on code.google.com by Martin.R...@gmail.com on 25 Oct 2011 at 6:01

Attachments:

GoogleCodeExporter commented 9 years ago 
Navíc v aktuálním stavu nemá uživatel z "common_user" práva k tomu, aby 
se z K4 odhlásil :-)

Original comment by Martin.R...@gmail.com on 25 Oct 2011 at 7:32

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3028.

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 8:51

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3029.

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 10:03

GoogleCodeExporter commented 9 years ago 
Ad varianty prihlaseni.  

Puvodne jsme zamysleli, ze pouziti bude trosku jine. Ze v ramci apache budou 
existovat dva kontexty jedne aplikace, prvni by mohl byt standardne ~/search a 
nebude "kryty" shibbolethem, druhy treba ~/shibsearch a zde by bylo povinne 
prihlasovani pres shibboleth. Tim by odpadly i problemy s dvojim typem 
prihlasovani.

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 10:29

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3030.

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 10:31

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3031.

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 10:49

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3032.

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 1:47

GoogleCodeExporter commented 9 years ago 
Tlacitko logout se nyni prizpusobuje dle toho, jakou autentizaci byl uzivatel 
prihlasen.  Pokud se jedna o uzivatele z databaze, provede se standardni 
logout. Pokud je to shibbolethi uzivatel, uplatni se (nove pridana) properta 
{{{security.shib.logout}}}.  
http://code.google.com/p/kramerius/source/browse/trunk/search/src/java/res/confi
guration.properties

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 1:51

GoogleCodeExporter commented 9 years ago 
Ad tlacitko prihlaseni.  

Mozna bylo lepsi (nez vytvaret samostatne tlacitko) dat do prihlasovaciho 
dialogu text s odkazem pro shibbolethi uzivatele, kudy se maji prihlasit. (Viz 
Issue 99)

Original comment by pavel.st...@gmail.com on 31 Oct 2011 at 1:58

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3040.

Original comment by pavel.st...@gmail.com on 2 Nov 2011 at 11:00

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3041.

Original comment by pavel.st...@gmail.com on 2 Nov 2011 at 11:11

GoogleCodeExporter commented 9 years ago

Original comment by vlah...@gmail.com on 14 Nov 2011 at 5:29

GoogleCodeExporter commented 9 years ago 
This issue was updated by revision r3147.

Original comment by pavel.st...@gmail.com on 16 Nov 2011 at 9:11

GoogleCodeExporter commented 9 years ago

Original comment by vlah...@gmail.com on 4 Jul 2013 at 12:48