Autenticação¶
Registo de utilizador¶
A configuração predefinida para Weblate é usar python-social-auth, um formulário no site para lidar com o registo de novos utilizadores. Depois de confirmar seu e-mail, um novo utilizador pode contribuir ou autenticar usando um dos serviços de terceiros.
Também pode desativar o registo de novos utilizadores configurando REGISTRATION_OPEN
.
As tentativas de autenticação estão sujeitas a Limitação de taxa.
Backends de autenticação¶
The built-in solution of Django is used for authentication, including various social options to do so. Using it means you can import the user database of other Django-based projects (see Migrating from Pootle).
Django pode, adicionalmente, ser configurado para autenticar em outros meios também.
Veja também
Authentication settings descreve como configurar a autenticação na imagem oficial do Docker.
Autenticação por palavra-passe¶
A predefinição settings.py
vem com um razoável conjunto de AUTH_PASSWORD_VALIDATORS
:
As palavras-passe não podem ser muito similares às suas outras informações pessoais.
As palavras-passe devem conter no mínimo de 10 caracteres.
As palavras-passe não podem ser palaras-passe comumente usadas.
As palavras-passe não podem ser inteiramente numéricas.
As palavras-passe não podem consistir num único caractere ou apenas espaço em branco.
As palavras-passe não podem corresponder a uma palavra-passe que já usou no passado.
Pode personalizar esta configuração para corresponder à sua política de palavra-passe.
Além disso, também pode instalar o django-zxcvbn-password o que dá bastante estimativas realistas de complexidade da palavra-passe e permite rejeitar palavras-passe abaixo de um determinado limite.
Autenticação por SAML¶
Novo na versão 4.1.1.
Siga as instruções do Python Social Auth para configuração. Diferenças notáveis:
Weblate tem suporte a único IDP que tem de ser chamado de
weblate
emSOCIAL_AUTH_SAML_ENABLED_IDPS
.A URL de metadados XML de SAML é
/accounts/metadata/saml/
.As configurações a seguir são preenchidas automaticamente:
SOCIAL_AUTH_SAML_SP_ENTITY_ID
,SOCIAL_AUTH_SAML_TECHNICAL_CONTACT
,SOCIAL_AUTH_SAML_SUPPORT_CONTACT
Exemplo de configuração:
# Authentication configuration
AUTHENTICATION_BACKENDS = (
"social_core.backends.email.EmailAuth",
"social_core.backends.saml.SAMLAuth",
"weblate.accounts.auth.WeblateUserBackend",
)
# Social auth backends setup
SOCIAL_AUTH_SAML_SP_PUBLIC_CERT = "-----BEGIN CERTIFICATE-----"
SOCIAL_AUTH_SAML_SP_PRIVATE_KEY = "-----BEGIN PRIVATE KEY-----"
SOCIAL_AUTH_SAML_ENABLED_IDPS = {
"weblate": {
"entity_id": "https://idp.testshib.org/idp/shibboleth",
"url": "https://idp.testshib.org/idp/profile/SAML2/Redirect/SSO",
"x509cert": "MIIEDjCCAvagAwIBAgIBADA ... 8Bbnl+ev0peYzxFyF5sQA==",
"attr_name": "full_name",
"attr_username": "username",
"attr_email": "email",
}
}
Veja também
Autenticação por LDAP¶
A autenticação por LDAP pode ser melhor alcançada utilizando o pacote django-auth-ldap. Pode instalá-lo através dos meios habituais:
# Using PyPI
pip install django-auth-ldap>=1.3.0
# Using apt-get
apt-get install python-django-auth-ldap
Aviso
Com django-auth-ldap anterior a 1.3.0, o Atribuições de grupo automáticas não funcionarão corretamente para utilizadores recentemente criados.
Nota
Há algumas incompatibilidades no módulo Python LDAP 3.1.0, o que o pode impedir de usar essa versão. Se obter o erro AttributeError: “module” object has no attribute “_trace_level”, fayendo o downgrade para python-ldap 3.0.0 pode ajudar.
Uma vez que tenha o pacote instalado, pode ligá-lo à autenticação do Django:
# Add LDAP backed, keep Django one if you want to be able to login
# even without LDAP for admin account
AUTHENTICATION_BACKENDS = (
'django_auth_ldap.backend.LDAPBackend',
'weblate.accounts.auth.WeblateUserBackend',
)
# LDAP server address
AUTH_LDAP_SERVER_URI = 'ldaps://ldap.example.net'
# DN to use for authentication
AUTH_LDAP_USER_DN_TEMPLATE = 'cn=%(user)s,o=Example'
# Depending on your LDAP server, you might use a different DN
# like:
# AUTH_LDAP_USER_DN_TEMPLATE = 'ou=users,dc=example,dc=com'
# List of attributes to import from LDAP upon login
# Weblate stores full name of the user in the full_name attribute
AUTH_LDAP_USER_ATTR_MAP = {
'full_name': 'name',
# Use the following if your LDAP server does not have full name
# Weblate will merge them later
# 'first_name': 'givenName',
# 'last_name': 'sn',
# Email is required for Weblate (used in VCS commits)
'email': 'mail',
}
# Hide the registration form
REGISTRATION_OPEN = False
Nota
Deve remover 'social_core.backends.email.EmailAuth'
da configuração AUTHENTICATION_BACKENDS
; caso contrário, os utilizadores poderão definir sua palavra-passe no Weblate e autenticar usando-a. Manter 'weblate.accounts.auth.WeblateUserBackend'
ainda é necessário para fazer permissões e facilitar utilizadores anônimos. Também permitirá que você faça login usando uma conta administrativa local, se você a criou (por exemplo, usando createadmin
).
Usando palavra-passe associada¶
Se não puder usar a associação direta para autenticação, precisará usar a pesquisa e fornecer um utilizador para associar à pesquisa. Por exemplo:
import ldap
from django_auth_ldap.config import LDAPSearch
AUTH_LDAP_BIND_DN = ""
AUTH_LDAP_BIND_PASSWORD = ""
AUTH_LDAP_USER_SEARCH = LDAPSearch("ou=users,dc=example,dc=com",
ldap.SCOPE_SUBTREE, "(uid=%(user)s)")
Active Directory integration¶
import ldap
from django_auth_ldap.config import LDAPSearch, NestedActiveDirectoryGroupType
AUTH_LDAP_BIND_DN = "CN=ldap,CN=Users,DC=example,DC=com"
AUTH_LDAP_BIND_PASSWORD = "password"
# User and group search objects and types
AUTH_LDAP_USER_SEARCH = LDAPSearch("CN=Users,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(sAMAccountName=%(user)s)")
# Make selected group a superuser in Weblate
AUTH_LDAP_USER_FLAGS_BY_GROUP = {
# is_superuser means user has all permissions
"is_superuser": "CN=weblate_AdminUsers,OU=Groups,DC=example,DC=com",
}
# Map groups from AD to Weblate
AUTH_LDAP_GROUP_SEARCH = LDAPSearch("OU=Groups,DC=example,DC=com", ldap.SCOPE_SUBTREE, "(objectClass=group)")
AUTH_LDAP_GROUP_TYPE = NestedActiveDirectoryGroupType()
AUTH_LDAP_FIND_GROUP_PERMS = True
# Optionally enable group mirroring from LDAP to Weblate
# AUTH_LDAP_MIRROR_GROUPS = True
Veja também
Autenticação por CAS¶
A autenticação por CAS pode ser alcançada usando um pacote como o django-cas-ng.
O primeiro passo é divulgar o campo de e-mail do utilizador via CAS. Isso tem que ser configurado no próprio servidor CAS e requer que utilize pelo menos CAS v2, já que o CAS v1 não tem suporte a atributos.
O segundo passo é atualizar a Weblate para utilizar o seu servidor CAS e os seus atributos.
Para instalar django-cas-ng:
pip install django-cas-ng
Uma vez que o pacote instalado, pode conectá-lo ao sistema de autenticação do Django modificando o ficheiro settings.py
:
# Add CAS backed, keep the Django one if you want to be able to sign in
# even without LDAP for the admin account
AUTHENTICATION_BACKENDS = (
'django_cas_ng.backends.CASBackend',
'weblate.accounts.auth.WeblateUserBackend',
)
# CAS server address
CAS_SERVER_URL = 'https://cas.example.net/cas/'
# Add django_cas_ng somewhere in the list of INSTALLED_APPS
INSTALLED_APPS = (
...,
'django_cas_ng'
)
Finalmente, um sinal pode ser usado para mapear o campo de e-mail para o objeto do utilizador. Para que isso funcione, tem que importar o sinal do pacote django-cas-ng e conectar seu código com este sinal. Fazer isto em configurações de ficheiro pode causar problemas, portanto, é sugerido pôr-lo:
No método
django.apps.AppConfig.ready()
da configuração do seu appNo ficheiro
urls.py
do projeto (quando não há modelos)
from django_cas_ng.signals import cas_user_authenticated
from django.dispatch import receiver
@receiver(cas_user_authenticated)
def update_user_email_address(sender, user=None, attributes=None, **kwargs):
# If your CAS server does not always include the email attribute
# you can wrap the next two lines of code in a try/catch block.
user.email = attributes['email']
user.save()
Veja também
Configurando autenticação por Django de terceiros¶
Geralmente, qualquer extensão de autenticação Django deve funcionar com Weblate. Basta seguir as instruções da extensão, lembrando de manter o backend do utilizador Weblate instalado.
Veja também
Normalmente, a instalação consiste em adicionar uma autenticação de backend a AUTHENTICATION_BACKENDS`e a instalar uma app de autenticação (se houver) no :setting:`django:INSTALLED_APPS
:
AUTHENTICATION_BACKENDS = (
# Add authentication backend here
'weblate.accounts.auth.WeblateUserBackend',
)
INSTALLED_APPS = (
...
'weblate',
# Install authentication app here
)
Autenticação social¶
Graças ao Welcome to Python Social Auth’s documentation!, o Weblate tem suporte a autenticação utilizando muitos serviços de terceiros, tais como GitLab, Ubuntu, Fedora, etc.
Por favor, verifique sua documentação para as instruções de configuração genéricas em Django Framework.
Nota
Por predefinição, o Weblate conta com serviços de autenticação de terceiros para fornecer um endereço de e-mail validado. Se alguns dos serviços que deseja usar não suportarem isto, por favor aplique a validação de e-mail no lado Weblate configurando FORCE_EMAIL_VALIDATION para eles. Por exemplo:
Veja também
Pipeline
Permitir backends individuais é bastante fácil, é apenas uma questão de adicionar uma entrada à configuração
AUTHENTICATION_BACKENDS
e possivelmente adicionar chaves necessárias para um determinado método de autenticação. Por favor, note que alguns backends não fornecem e-mails do utilizador por predefinição, você tem que solicitá-lo explicitamente, caso contrário o Weblate não será capaz de corretamente dar mérito às contribuições que os utilizadores fazem.Veja também
Backend de Python Social Auth
Autenticação por OpenID¶
For OpenID-based services it’s usually just a matter of enabling them. The following section enables OpenID authentication for OpenSUSE, Fedora and Ubuntu:
Veja também
OpenID
Autenticação por GitHub¶
Precisa registar uma aplicação no GitHub e dar todos os segredos dele ao Weblate:
O GitHub deve ser configurado para ter URL de um retorno de chamada como
https://example.com/accounts/complete/github/
.Nota
O Weblate fornecia URL de retorno de chamada durante a autenticação inclui domínio configurado. No caso de obter erros sobre incompatibilidade de URL, pode corrigir isso, consulte Set correct site domain.
Veja também
GitHub
Autenticação por Bitbucket¶
Precisa registar uma aplicação no Bitbucket e dar todos os segredos dele ao Weblate:
Nota
O Weblate fornecia URL de retorno de chamada durante a autenticação inclui domínio configurado. No caso de obter erros sobre incompatibilidade de URL, pode corrigir isso, consulte Set correct site domain.
Veja também
Bitbucket
OAuth 2 do Google¶
Para usar o OAuth 2 do Google, precisa registar-se numa aplicação em <https://console.developers.google.com/> e ativar a API do Google+.
A URL de redirecionamento é
https://SERVIDOR WEBLATE/accounts/complete/google-oauth2/
Nota
O Weblate fornecia URL de retorno de chamada durante a autenticação inclui domínio configurado. No caso de obter erros sobre incompatibilidade de URL, pode corrigir isso, consulte Set correct site domain.
Veja também
Google
OAuth 2 do Facebook¶
Como de costume com os serviços OAuth 2, precisa registar sua aplicação no Facebook. Uma vez feito, pode configurar o Weblate para usá-lo:
A URL de redirecionamento é
https://SERVIDOR WEBLATE/accounts/complete/facebook/
Nota
O Weblate fornecia URL de retorno de chamada durante a autenticação inclui domínio configurado. No caso de obter erros sobre incompatibilidade de URL, pode corrigir isso, consulte Set correct site domain.
Veja também
Facebook
OAuth 2 do GitLab¶
Para usar o OAuth 2 do GitLab, precisa registrar uma aplicação em <https://gitlab.com/profile/applications>.
A URL de redirecionamento é
https://SERVIDOR WEBLATE/accounts/complete/gitlab/
e garantir que você marque o escopo read_user.Nota
O Weblate fornecia URL de retorno de chamada durante a autenticação inclui domínio configurado. No caso de obter erros sobre incompatibilidade de URL, pode corrigir isso, consulte Set correct site domain.
Veja também
GitLab
Active Directory do Microsoft Azure¶
Weblate pode ser configurado para usar inquilinos comuns ou específicos para autenticação.
The redirect URL is
https://WEBLATE SERVER/accounts/complete/azuread-oauth2/
for common andhttps://WEBLATE SERVER/accounts/complete/azuread-tenant-oauth2/
for tenant-specific authentication.Nota
O Weblate fornecia URL de retorno de chamada durante a autenticação inclui domínio configurado. No caso de obter erros sobre incompatibilidade de URL, pode corrigir isso, consulte Set correct site domain.
Veja também
Microsoft Azure Active Directory
Slack¶
Para usar o OAuth 2 do Slack, precisa registar uma aplicação em <https://api.slack.com/apps>.
A URL de redirecionamento é
https://SERVIDOR WEBLATE/accounts/complete/slack/
.Nota
O Weblate fornecia URL de retorno de chamada durante a autenticação inclui domínio configurado. No caso de obter erros sobre incompatibilidade de URL, pode corrigir isso, consulte Set correct site domain.
Veja também
Slack
Desativar autenticação por palavra-passe¶
Autenticação por e-mail e palavra-passe pode ser desativada através da remoção de
social_core.backends.email.EmailAuth
deAUTHENTICATION_BACKENDS
. Mantenha sempreweblate.accounts.auth.WeblateUserBackend
lá, pois é necessário para a funcionalidade central do Weblate.Dica
Ainda pode usar autenticação por palavra-passe para a interface administrativa, para utilizadores que lá cria manualmente. Basta navegar para
/admin/
.Por exemplo, a autenticação usando apenas o provedor Open ID do openSUSE pode ser alcançada usando o seguinte: