Skeleton v2

Authentikáció

A beépített authentikáció a közös Saml modulra és az Oraculum szolgáltatásra alapul.

Az élesítéshez az alábbi lépések szükségesek:

Tedd fel a simplesamlphp/simplesamlphp modult composerrel (composer require simplesamlphp/simplesamlphp )
Portainerben indítsd újra a konténert, a környezet felismeri a Saml-t és aktiválja a szükséges symlinkeket
Hozd létre a projektedet az Oraculum rendszerben (https://oraculum.dev.alfi.kifu.hu/)
Létrehozáskor az Oraculum kiadja az alkalmazásod jelszavát, ezt mentsd le mert később nem tudod kikérni a rendszertől
Hozz létre jogosultságokat és csoportokat (opcionális)
A projektedben aktiváld az Auth, Pdo és Saml System dependencyket
Állítsdbe az OraculumApi kapcsolódást a settings / System / API / oraculum részen, a jelszó kivételével minden mást le tudsz kérni az Oraculumból
Állítsd be az URN prefixet a settings / System / Authentication részen, ugyanitt tudod megadni a publikus URL-eket
A működéshez a Middleware keresni fogja a default PDO kapcsolatot és a user táblát!!! A user táblában az eppn az elsődleges kulcs (a default auto increment id mellett)!

Ha minden jól sikerült akkor a app/Modules/Auth/Middlewares/AuthMiddleware aktiválódik minden hívásnál.
Ha szeretnél saját Auth Middleware-t alkalmazni, akkor egyszerűen írd át a settings / System / Authentication / classes / authMiddleware értéket a saját Middleware osztályoddal.
Ugyanígy lecserélheted a gyári User és Role classokat ha szükséges. A user_table beállítással lehet ráállítani a AuthMiddleware-t a helyi user táblára (alapból user a tábla név).

Az Auth beépítve tartalmazza mostmár (2021-11-08) a megszemélyesítés funkciót. Ehhez be kell állítanod a Permission Middleware elérhetőségét,illetve hogy milyen jogosultsággal szeretnéd kezelni ezt a feature-t.
Ha minden jól megy, akkor a https://URL/masquerade/EPPN url-en a rendszer fogadni fogja hogy kit szeretnél megszemélyesíteni és ha van hozzá jogod akkor az adott user nézetét fogod látni.

Minta settings.php saját Role class implementációval

<?php
'Authentication'   => [
    'classes' => [
        'authMiddleware'            => '\App\Modules\Auth\Middlewares\AuthMiddleware',
        'userClass'                 => '\App\Modules\Auth\Classes\User',
        'roleClass'                 => '\App\Classes\ExtendedRole',
        'permissionMiddlewareClass' => '\App\Modules\Auth\Middlewares\BlankMiddleware',
        'setMasqueradeRole'         => 'YOUR_APPLICATION:masquerade'
    ],
    'user_table'=>'front_user',
    'urn' => [
        'prefix' => 'urn:geant:niif.hu:niif:'
    ],
    'passthrough' => [
        '/cron',
        '/healthcheck'
    ]
],
                ?>

xxxxxxxxxx
 
<?php
'Authentication'   => [
    'classes' => [
        'authMiddleware'            => '\App\Modules\Auth\Middlewares\AuthMiddleware',
        'userClass'                 => '\App\Modules\Auth\Classes\User',
        'roleClass'                 => '\App\Classes\ExtendedRole',
        'permissionMiddlewareClass' => '\App\Modules\Auth\Middlewares\BlankMiddleware',
        'setMasqueradeRole'         => 'YOUR_APPLICATION:masquerade'
    ],
    'user_table'=>'front_user',
    'urn' => [
        'prefix' => 'urn:geant:niif.hu:niif:'
    ],
    'passthrough' => [
        '/cron',
        '/healthcheck'
    ]
],
                ?>

Példa a kiterjesztett Role class implementációra, egyedül a checkPermissionInUserRoles definiáljuk újra.

<?php

namespace App\Classes;

use App\Modules\System\Auth\Classes\Role;

class ExtendedRole extends Role
{
    private function checkPermissionInUserRoles($perm = array(), $userid = null)
    {
        foreach ($perm as $key => $item) {
            $perm[$key] = $this->settings['urn']['prefix'] . $item;
        }

        // Get user roles
        $userRoles = $this->getRoles($userid);

        // SAML eduPersonEntitlement
        if ($this->roleObj) {
            $userRoles = array_merge($this->roleObj, $userRoles);
        }

        // Core Developer special
        if (!in_array($this->settings['urn']['prefix'] . 'iir:developer', $perm)) {
            array_push($perm, $this->settings['urn']['prefix'] . 'iir:admin'); // Godlike role
        }

        return (bool) array_intersect($perm, $userRoles);
    }
}

                ?>

xxxxxxxxxx
 
<?php
​
namespace App\Classes;
​
use App\Modules\System\Auth\Classes\Role;
​
class ExtendedRole extends Role
{
    private function checkPermissionInUserRoles($perm = array(), $userid = null)
    {
        foreach ($perm as $key => $item) {
            $perm[$key] = $this->settings['urn']['prefix'] . $item;
        }
​
        // Get user roles
        $userRoles = $this->getRoles($userid);
​
        // SAML eduPersonEntitlement
        if ($this->roleObj) {
            $userRoles = array_merge($this->roleObj, $userRoles);
        }
​
        // Core Developer special
        if (!in_array($this->settings['urn']['prefix'] . 'iir:developer', $perm)) {
            array_push($perm, $this->settings['urn']['prefix'] . 'iir:admin'); // Godlike role
        }
​
        return (bool) array_intersect($perm, $userRoles);
    }
}
​
                ?>

Szükséges SQL

Az authentikáció használja a lokális user táblát hogy a későbbiekben lehessen eseményeket / objektumokat rendelni a userekhez.

CREATE TABLE `user` (
`id` int(11) NOT NULL,
`eppn` varchar(128) COLLATE utf8_hungarian_ci NOT NULL,
`name` varchar(128) COLLATE utf8_hungarian_ci NOT NULL,
`created` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_hungarian_ci;

xxxxxxxxxx
 
CREATE TABLE `user` (
`id` int(11) NOT NULL,
`eppn` varchar(128) COLLATE utf8_hungarian_ci NOT NULL,
`name` varchar(128) COLLATE utf8_hungarian_ci NOT NULL,
`created` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_hungarian_ci;
                