OpenID, SSO, etc för ubuntu-se.org

[andol]

Det här tråden bygger vidare på diskussionen som som startade i den här tråden.

http://ubuntu-se.org/phpBB3/viewtopic.php?f=6&t=25254

Tänkte ta och styra upp ämnet i egen tråd, komplett med passande topic. Det handlar alltså om den eventuella möjligheten att hela eller delar av ubuntu-se.org stöd för OpenID. I samma veva skulle det då även kunna vara intressant att titta på en SSO-lösning, alltså Single Sign On.

Vad gäller OpenID-moduler så finns sådana för phpbb, drupal såväl som mediawiki.

http://www.phpbbopenid.com/
http://drupal.org/project/openid
http://www.mediawiki.org/wiki/Extension:OpenID

För att lite kort sammanfatta testresultaten så är Drupals modul riktigt bra, mediawikis är helt okej, medans den för phpbb förvisso är klart funkis, om än eventuellt fortfarande något feature-fattig.

Den potentiellt luriga implementationsdetaljen är att kunna ha ett "vanligt" nickname parallellt med sin openid-inloggning. Även om jag har openid-registrerat mig så kanske jag fortfarande vill att mina texter ska vara signerade av ett nickname såsom andol istället för en urlen http://www.andreasolsson.se/. På samma sätt vill man förstås i efterhand kunna peta in ett openid associerat till ett befintligt konto.

Vad gäller ett SSO så finns det ju dels light/fusk-varianten där man kan logga in med sitt OpenID på samtliga tre tjänster. Förvisso krävs det separata inloggningar, men man behöver i alla fall bara authentisera sig en gång. Alternativt så gör man det på riktigt, kopplar ihop databaserna och ser till så en inloggning på ubuntu-se.org verkligen påverkar portalen, forumet och wikin samtidigt. Detta är förstås betydligt trevligt, och då givetvis betydligt mindre trivialt att genomföra.

Det finns moduler för att länka phpbb:s såväl som mediawikis användardatabaser mot Drupals.

http://drupal.org/project/phpbb
http://www.mediawiki.org/wiki/AuthDrupal

Utan att faktiskt har experimenterat med dem så verkar de lite småluriga att få igång. Framförallt känns det som om det kan bli en rätt intressant utmaning då man redan har tre befintliga användardatabaser att ta hänsyn till...

Åsikter?
Frågor?
Idéer?
Tankar?

För tydlighetens skull kanske det ska påpekas att jag inte gör detta i någon som helst form av officiell ställning. Detta är helt enkelt bara en form av avancerad lobbying från min sida :-)

[Bossieman]

Jag stödjer det men saknar helt kunskaper om hur det ska genomföras.

[johanre]

Lysande andol! Skall försöka titta lite närmare på det ikväll när barnen har somnat...

[andol]

Vad gäller implementation så tror jag förövrigt att vi, grovt förenklat, har två olika typer av användare att förhålla oss till.

Först så har vi de aktiva/insnöade användarna. För dem kan OpenID vara en vinst i och med att de slipper hålla reda på ett separat lösenord för just ubuntu-se.org. Det är antagligen dessa användare som har den främsta nyttan utav en SSO-lösning, då dessa mycket väl kan få för sig att vara inloggade på portalen, forumet och/eller wikin i samma session.

Sen så har vi den tillfälligt förbipasserande som för stunden bara är intresserad av att kunna ställe en snabb fråga i forumet, utan att för den sakens skull behöva registrera sig, komma på lämplig lösenord, etc. Den här ständiga registreringsprocessen överallt kan man bli rätt trött på, och då är det skönt att bara behöva mata in sitt OpenID, godkänna användarvilkoren och sen kunna posta.

[Emil.s]

Kanske man borde skapa en ny tråd, men aktiviteten verkar ju inte var så hög... Om jag vill vara min egen "provider", är det "phpMyID" som gäller då?
Eller finns det någon "bättre" som stödjer flera användare?

[andol]

Kanske man borde skapa en ny tråd, men aktiviteten verkar ju inte var så hög...

Vet egentligen inte om det behöver vara så hög forumaktivitet i det här skedet? Det som krävs är väl snarare att någon (undertecknad?) tar sig tid och petar ihop någon form utav proof-of-concept, så att vi har någon konkret att förhålla oss till. Blir så mycket lättaer för folk att ha åsikter när det finns något att ha åsikter om liksom...

Om jag vill vara min egen "provider", är det "phpMyID" som gäller då? Eller finns det någon "bättre" som stödjer flera användare?

Givet att man bara ska vara provider åt sig själv, och eventuellt några till, så är phpMyID helt förträffligt. Inte så mycket ramverk att hålla reda på, utan bara att peta på inställningarna direkt i en config-fil. Ska man däremot erbjuda en tjänst för mer allmänt bruk så vill man däremot har något lite mera. Vet faktiskt inte hur mycket till färdiga lösningar som finns. Däremot finns det kodbibliotek för de flesta språk.

[johanre]

Kanske man borde skapa en ny tråd, men aktiviteten verkar ju inte var så hög...

Vet egentligen inte om det behöver vara så hög forumaktivitet i det här skedet? Det som krävs är väl snarare att någon (undertecknad?) tar sig tid och petar ihop någon form utav proof-of-concept, så att vi har någon konkret att förhålla oss till. Blir så mycket lättaer för folk att ha åsikter när det finns något att ha åsikter om liksom....

+1

Min tanke var egentligen att jag skulle sätta upp en spegel av tjänsterna som finns på ubuntu-se.org på min server (fast med OpenID integration) och sedan låta folk testa. Men jag är inne i en tuff period på jobb och kommer nog ha dåligt med tid (eller ork!) de närmaste 4-5 veckorna.

andol; om du har tid, lust, ork och möjlighet får du jättegärna ge dig på detta. Det kanske kan vara dags att dra in dig i serveradmin gruppen - om du vill - eller vad tycker du, Lars? ;-)

[andol]

andol; om du har tid, lust, ork och möjlighet får du jättegärna ge dig på detta.

Kan börja titta på nångång i nästa vecka. Just nu behöver jag nämligen några dagar med så lite tid framför skärmen som möjligt.

[KiviE]

Verkar vara ett intressant projekt det här!

Hoppas ni kan implantera det på ett bra och snyggt sätt så det blir användbart

[andol]

Gick visst inte så bra att vänta tills nästa vecka :-) Just nu finns en vansinnigt opolerad grovimplementation på

{ test-siten nerplockad }

På det hela taget verkar både SSO- och OpenID-biten fungera hjälpligt. Drupal agerar master med phpbb3 och mediawiki som slaves. Notera dock att all användarinformation inte propagerar helt transparent mellan de olika systemen.

Vad gäller OpenID så torde det vara önskvärt att det på fler ställen i forumet såväl som på wikin finns formulär-fält för att direkt kunna OpenID:a in. Detta är dock något som behöver petas in på template nivå och hitintills har jag bara fixat till det på forumets framsida.

Har jag förresten sagt att det här är en vansinnigt opolerad grovimplementation? :-)

[johanre]

andol, snyggt jobbbat!

Jag lyckades skapa konto, svara på forum inlägg och editera wikin inom 5-10 minuter - och det krävdes endast en inloggning.

Däremot så märkte jag att drupal inte tillät skapandet av nya sidor med en gång. Vilket jag förutsätter hänger ihop med Drupals rättighetssytem, man får inte direkt ett konto med redigeringsbehörighet. Det är iofs inget större problem - tycker jag, bara vi alla vet om det.

[andol]

andol, snyggt jobbbat!

Tackar, tackar.

Jag lyckades skapa konto, svara på forum inlägg och editera wikin inom 5-10 minuter - och det krävdes endast en inloggning. ;D ;D 8)

Gött mos! Verkar förövrigt som att du kan din science-fiction :-)

Däremot så märkte jag att drupal inte tillät skapandet av nya sidor med en gång. Vilket jag förutsätter hänger ihop med Drupals rättighetssytem, man får inte direkt ett konto med redigeringsbehörighet. Det är iofs inget större problem - tycker jag, bara vi alla vet om det.

Själv gissar jag på att det har att göra med hur jag (inte) har konfigurerat Drupal. Då jag inte har någon direkt erfarenhet av systemet ifråga så gjorde jag det lätt för mig och körde en minimalistisk approach. Någon som är lite mer van vid Drupal får gärna föreslå lämpliga standardinställningar.

[johanre]

[

Jag lyckades skapa konto, svara på forum inlägg och editera wikin inom 5-10 minuter - och det krävdes endast en inloggning.

Gött mos! Verkar förövrigt som att du kan din science-fiction :-)

Har missat att läsa "Sandworms of Dune". Är beställd men... det blev en klar försämring efter att Frank gick bort...

Däremot så märkte jag att drupal inte tillät skapandet av nya sidor med en gång. Vilket jag förutsätter hänger ihop med Drupals rättighetssytem, man får inte direkt ett konto med redigeringsbehörighet. Det är iofs inget större problem - tycker jag, bara vi alla vet om det.

Själv gissar jag på att det har att göra med hur jag (inte) har konfigurerat Drupal. Då jag inte har någon direkt erfarenhet av systemet ifråga så gjorde jag det lätt för mig och körde en minimalistisk approach. Någon som är lite mer van vid Drupal får gärna föreslå lämpliga standardinställningar.[/quote]

Jag tror egentligen det är bra att ha det så. Jag tror inte att nya konton direkt bör få skrivrättighet till portalen.

[andol]

Tja, egentligen spelar ju inte de exakta rättigheterna så stor roll just nu. Det vi testar är handlar ju mer om kontohantering än om innehållshantering.

[KiviE]

Funkar ju kanon Bra jobbat

[andol]

Bra att det verka fungera även för andra än mig. Då torde det vara dags att flagga för hur bökigt det skulle bli att genomföra motsvarande för riktiga ubuntu-se.org :-)

Att sätta upp SSO-lösningen i en färsk miljö vart en relativt trivial uppgift. Den verkligen utmaning kommer om man måste ta hänsyn till tre stycken befintliga användardatabaser, med tillhörande innehåll. Först ska man på något (manuellt?) vis matcha vilka användare i vilka system som tillhör samma person. Därefter, när användardatabasen är migrerad /samkörd, kommer det åtminstone i två utav tre system finnas nya uid-nummer vars "ägande" respektive innehåll måste skrivas om till att matcha. Fullt görbart, men allt kräver det att man håller tungan rätt i mun.

En väldigt konkret bieffekt för användarna blir då att åtminstone huvuddelen av dem kommer får sina lösenord resettade.

Sen så innebär det en del finlir att snyggt placera in OpenID-rutor i phpbb:s templates såväl som i Mediawiki. Då det är Drupal som är master i SSO:n så är det dess OpenID-modul som används. I phpbb och mediawiki så görs det anrop direkt till den, med väl valda requests.

En ytterligare omständighet är att katalogstrukturen behöver vara lite annorlunda för att ihoplänkningen ska fungera ordentligt. Framförallt är det så att drupal måste ligga hierakiskt ovanför phpbb, vilket då torde bli i webbroten. Fast den biten ska väl inte vara några problem att lösa med lite kreativt mod_rewrite magi :-)

För att inte tala om alla de utmaningar som Murphy kan få för sig att slänga in....

Nej, det här är sannerligen ingen implementation man gör över en natt. Personligen tycker jag dock att det vore en klart trevlig förbättring av ubuntu-se.org och jag lägger gärna själv ner en ansenlig mängd tid i den. Bonus för inblandade är dessutom att det torde bli en klart lärorik process.

[KiviE]

Ja det lär nog bli en hel del bök eftersom alla inte ska ha tillgång till portalen och wikin.

Nu antar jag att det inte är lika många som är reggade på portalen och wikin som i forumet så en tanke vore kanske att om man mer eller mindre tog bort användarkontona i wikin och portalen och gjorde något system i forumet som gör att man lätt därifrån kan välja att registrera sig i wikin och drupal och på så vis får man regga om sig på wikin och drupal... vet inte om det blir lättare eller ännu svårare att göra så. Fast det kanske blir svårt då drupal är "master".

Ett annat alternativ är att om de som är reggade på flera ställen vill använda OpenID för att logga in på alla ställen samtidigt själv aktivt måste välja att man är registrerad på fler ställen så får någon admin ett mail om detta och kan fixa så det stämmer, så slipper man matcha alla konton direkt.

[andol]

Ja det lär nog bli en hel del bök eftersom alla inte ska ha tillgång till portalen och wikin.

Bara för att man kan logga in på till exempel portalen så betyder det inte att man har några specifika rättigheter där. Dessutom kan man ju redan idag registrera konton på både wikin och portalen.

Nu antar jag att det inte är lika många som är reggade på portalen och wikin som i forumet så en tanke vore kanske att om man mer eller mindre tog bort användarkontona i wikin och portalen....

Jo, även jag hade den lösningen i sinnet. Problemet är att i princip allt innehåll i wikin såväl som portalen är associerat till en viss användare. Det blir då lite trasigt om dess användare bara försvinner, och om man sen manuellt ska återkoppla till de nya kontona undan för undan. Gör man däremot en massmigration så har man ju tillgång till både de nya och de gamla uid:na och kan sålunda skriva om i relevanta tabeller.

Ett annat alternativ är att om de som är reggade på flera ställen vill använda OpenID för att logga in på alla ställen samtidigt...

Japp, att "bara" köra med OpenID är helt klart en SSO-light lösning värd att beakta.

[Rasmus]

Inloggad på tre ställen utan en enda registrering (hade redan ett openID-acc (skaffade fortare än kvickt när frågan kom upp på forumet )) Kan förövrigt säga att det fungerar bättre än bra, äntligen slipper man fråga efter nytt lösenord varjegång kakan förfaller

[andol]

Nu har jag även satt upp en test-miljö för light-lösningen att "bara" köra med separata OpenID-inloggningar på de olika systemen.

{ test-siter nerplockade }

Tanken är främst att visa upp hur de olika OpenID-modulerna fungerar. I SSO-lösningen så användes bara Drupals modul, men här har phpbb och mediawiki egna moduler.

Som jag skrivit tidigare är Drupals modul allt man kan önska sig utav en OpenID-modul. Däremot så lämnar mediawikis såväl som phpbbs en del övrigt att önska. Båda lider utav bristen att befintliga användare inte på egen hand kan koppla ett OpenID till sin identitet. Modulen till phpbb saknar dessutom möjlighet att fånga upp sreg-info, vilket framförallt yttrar sig i att konton skapas med OpenID:et även som nickname.

Framförallt så tycker jag det är trist att phpbb-modulen inte är bättre. Det är ju liksom forumet som folk verkligen loggar in på. Fast å andra sidan så skulle det ju kunna vara ett kul projekt att hacka lite på den modulen, och då samtidigt lära sig lite mer ingående om hur OpenID fungerar.