Extension:CentralAuth/nl

MediaWiki Handleiding extensies

CentralAuth Release status: stabiel
Implementatie	Gebruikersidentiteit , Database , Speciale pagina , API
Beschrijving	Staat toe het samenvoegen van accounts naar globale accounts
Auteur(s)	Brooke Vibberoverleg
Compatibiliteit beleid	Snapshots releases samen met MediaWiki. Master is niet achterwaarts compatibel.
MediaWiki	>= 1.43
Database wijzigingen	Ja
Virtueel domein	virtual-centralauth
Tabellen	globalnames localnames globaluser localuser global_user_groups global_group_permissions wikiset global_group_restrictions renameuser_status renameuser_queue users_to_rename global_edit_count global_user_autocreate_serial
Licentie	GNU General Public Licentie 2.0 of hoger
Download	Extensie downloaden Git [?]: Download Git master blader door de repository (Phabricator · GitHub) commitgeschiedenis repository beheerders (GitHub) code review
Parameters $wgCentralAuthAutoLoginWikis $wgCentralAuthCookiePath $wgCentralAuthEnableSul3 $wgCentralAuthAutomaticVanishPerformer $wgCentralAuthReadOnly $wgCentralAuthIpoidRequestTimeoutSeconds $wgCentralAuthAutoMigrate $wgCentralAuthFallbackAppealUrl $wgCentralAuthBlockAppealWikidataIds $wgCentralAuthSharedDomainPrefix $wgCentralAuthEnableGlobalRenameRequest $wgCentralAuthRestrictSharedDomain $wgCentralAuthIpoidCheckAtAccountCreation $wgCentralAuthGlobalPasswordPolicies $wgCentralAuthCookieDomain $wgCentralAuthWikisPerSuppressJob $wgCentralAuthFallbackAppealTitle $wgCentralAuthCookies $wgCentralAuthIpoidCheckAtAccountCreationLogOnly $wgCentralAuthRC $wgCentralAuthGlobalBlockInterwikiPrefix $wgCentralAuthAutoMigrateNonGlobalAccounts $wgCentralAuthDatabase $wgCentralAuthDryRun $wgCentralAuthIpoidUrl $wgCentralAuthWikidataApiUrl $wgCentralAuthPrefsForUIReload $wgCentralAuthIpoidDenyAccountCreationTunnelTypes $wgCentralAuthLoginIcon $wgCentralAuthStrict $wgCentralAuthTokenSessionTimeout $wgCentralAuthLoginWiki $wgCentralAuthIpoidDenyAccountCreationRiskTypes $wgCentralAuthSessionCacheType $wgGlobalRenameDenylist $wgCentralAuthOldNameAntiSpoofWiki $wgCentralAuthRejectVanishUserNotification $wgCentralAuthAutoCreateWikis $wgCentralAuthCookiePrefix
Toegevoegde rechten centralauth-createlocal centralauth-merge centralauth-unmerge centralauth-lock centralauth-suppress globalgrouppermissions globalgroupmembership centralauth-rename
Gebruikte hooks APIGetAllowedParams AbuseFilter-builder AbuseFilter-computeVariable AbuseFilter-generateUserVars AbuseFilterAlterVariables AbuseFilterShouldFilterAction ApiCheckCanExecute ApiQueryTokensRegisterTypes AuthChangeFormFields AuthManagerFilterProviders AuthManagerVerifyAuthentication AuthPreserveQueryParams AutopromoteCondition BeforePageDisplay ContentSecurityPolicyDefaultSource ContentSecurityPolicyScriptSource ContributionsToolLinks GetLocalURL GetLogTypesOnUser GetPreferences GetUserBlock ImportHandleUnknownUser InvalidateEmailComplete LoadExtensionSchemaUpdates LocalUserCreated LogEventsListGetExtraInputs MakeGlobalVariablesScript OtherBlockLogLink PasswordPoliciesForUser PostLoginRedirect RenameUserComplete RenameUserPreRename RenameUserWarning ResourceLoaderForeignApiModules ResourceLoaderModifyEmbeddedSourceUrls SecurePoll_GetUserParams SessionCheckInfo SetupAfterCache SpecialContributionsBeforeMainOutput SpecialLogAddLogSearchRelations SpecialPageBeforeExecute SpecialPage_initList SpecialPasswordResetOnSubmit TempUserCreatedRedirect TestCanonicalRedirect UnitTestsAfterDatabaseSetup UnitTestsBeforeDatabaseTeardown UserArrayFromResult UserEditCountUpdate UserGetEmail UserGetEmailAuthenticationTimestamp UserGetReservedNames UserGetRights UserIsBot UserIsLocked UserLoginComplete UserLogout UserLogoutComplete UserSaveSettings UserSetEmail UserSetEmailAuthenticationTimestamp getUserPermissionsErrors getUserPermissionsErrorsExpensive
Beschikbare hooks CentralAuthIsUIReloadRecommended CentralAuthLoginRedirectData CentralAuthPostLoginRedirect CentralAuthSilentLoginRedirect CentralAuthWikiList CentralAuthInfoFields
Downloads kwartaal	47 (Ranked 93rd)
Vertaal de CentralAuth extensie indien beschikbaar op translatewiki.net
Problemen	Open taken · Rapporteer een bug

CentralAuth staat het samenvoegen toe van verschillende bestaande globale accounts naar een globaal account.

Waarschuwing:

CentralAuth is specifiek ontworpen voor Wikimedia-projecten die al miljoenen accounts hadden die samengevoegd moesten worden in een globale tabel. Als u een nieuwe wiki-farm start en geen bestaande accounts hoeft te combineren in een globale tabel, is het veel gemakkelijker om globale accounts op te zetten met $wgSharedDB in plaats van met CentralAuth.[1][2] $wgSharedDB is echter alleen nuttig voor het voorkomen van conflicten tussen gebruikersnamen en heeft geen betrekking op universele aanmeldingen (in plaats daarvan moeten gebruikers zich aanmelden bij elke wiki) of op de rechten en het beheer van een cluster-account. Deze extensie biedt deze functionaliteit ten koste van complexiteit. Als u deze extensie op een derde-partij-wiki gebruikt, moet u waarschijnlijk complexe problemen oplossen die mogelijk moeten worden opgelost in de broncode. U bent gewaarschuwd.

Zie de setup sectie hieronder voor de vereisten voor het gebruik van CentralAuth. Volg dan deze instructies wanneer u klaar bent om CentralAuth te activeren:

1. Installeer Extension:AntiSpoof , omdat het een vereiste afhankelijkheid is.
2. Download de laatste snapshot en pak deze uit in uw map extensions.
3. Kies een database en maak de database tabellen voor CentralAuth. U kunt een bestaande database gebruiken of een nieuwe maken. (De extensie maakt standaard gebruik van de lokale database van de wiki, wat handig is voor geautomatiseerd testen, maar niet echt logisch is op een echte wiki-farm (omdat het voor elke wiki anders zal zijn, maar het doel van CentralAuth is het delen van gegevens tussen wiki's), dus u zult dat opnieuw moeten configureren; zie $wgVirtualDomainsMapping['virtual-centralauth'] hieronder.) Gebruik deze database en voer tables-generated.sql uit.
   • Als u Extension:AntiSpoof gebruikt, moet u een globale spoofuser tabel maken (om nieuwe gebruikersnamen te blokkeren die lijken op bestaande gebruikersnamen in een wiki). Een manier om dit te doen is om de tabel spoofuser uit de database van de lokale wiki te dumpen en het in de nieuwe $wgVirtualDomainsMapping['virtual-centralauth'] te importeren.
4. Voeg wfLoadExtension( 'CentralAuth' ); aan LocalSettings.php toe voor elke wiki, of in een ander PHP-bestand dat in LocalSettings.php op elke wiki is opgenomen.
5. De extensie moet nu actief zijn.

Hier zijn voorbeelden van shell en SQL-commando's om de database centralauth te maken, de tabel spoofuser erin te kopiëren en bestaande gebruikersgegevens over te zetten. Vervang $wgDBname en $wgDBuser met de waarden van uw eigen wiki-installatie.

Maak de nieuwe database aan (Houd er rekening mee dat deze stap optioneel is, u kunt in plaats daarvan een van uw bestaande databases gebruiken, in dat geval skipt u naar de stap maken tabellen):

$ cd extensions/CentralAuth
$ mysql -u root -p
(voeg het wachtwoord in voor root SQL-gebruiker)

CREATE DATABASE centralauth;
USE centralauth;
GRANT all on centralauth.* to '$wgDBuser'@'localhost';
quit

Het volgende veronderstelt dat uw huidige werkmap uw MediaWiki-installatie bevat (niet uw map CentralAuth). Maak de 'centrale auth' tabellen aan (het gebruik van sql.php heeft de voorkeur).

php maintenance/run.php sql --wikidb centralauth extensions/CentralAuth/schema/<db_type>/tables-generated.sql

Als AntiSpoof is geïnstalleerd, maakt u de tabel via (U kunt ook een bestaande tabel AntiSpoof kopiëren als u eerdere accounts wilt behouden):

php maintenance/run.php sql --wikidb centralauth extensions/AntiSpoof/sql/<db_type>/tables-generated.sql

De migratiescripts voor gebruikers uitvoeren

$ php maintenance/run.php CentralAuth:migratePass0.php
$ php maintenance/run.php CentralAuth:migratePass1.php

CentralAuth is ontworpen voor grote wiki-farms die database-updates handmatig uitvoeren om zero-downtime-upgrades mogelijk te maken. Om die reden wordt de CentralAuth-database niet bijgewerkt met het gebruikelijke upgradeproces. Er wordt verwacht dat gebruikers van derden de ontwikkeling van CentralAuth volgen en de database migraties handmatig toepassen.

Waarschuwing:

Een centrale login wiki is nodig als u een universele aanmelding wilt hebben op verschillende primaire domeinen (d.w.z. als u wiki's niet onder subdomeinen van hetzelfde domein staan). Details hieronder.

Eerst moet u uw wiki-familie configureren met $wgConf , anders kan CentralAuth niet worden gebruikt voor uw wiki-familie. Dit omvat het instellen van $wgLocalDatabases en het toewijzen aan $wgConf->wikis en $wgConf->settings (minimum is $wgCanonicalServer , $wgServer en $wgArticlePath ). Bekijk de voorbeelden zorgvuldig. Als u een nieuwe wiki-familie aan het maken bent, moet u bedenken dat het makkelijker kan zijn als de databases voor de wiki's in elke groep hetzelfde achtervoegsel hebben (bijvoorbeeld hypothetische databases enwiki, dewiki, frwiki, enz., die betrekking hebben op wiki's die tot dezelfde groep behoren, alle hebben het achtervoegsel "wiki").

Na het installeren van de extensie moet u wat gegevens verzamelen in de CentralAuth-database. Om terugwerkend globale accounts op te zetten, moet u de scripts migratePass0.php en migratePass1.php uitvoeren. De eerste opslaat informatie over uw wiki's in de CentralAuth-database, terwijl de tweede automatische migratie heuristiek gebruikt om globale accounts te genereren. Een gebruiker kan zijn accounts handmatig via Special:MergeAccount samenvoegen. Voor het testen is er een 'dry run' mogelijk, uitvoeren zonder iets in de database te wijzigen.

Om globale groepen in te schakelen, moet u een record maken in de tabel global_group_permissions in uw CentralAuth-database, met ggp_group='steward' en (voor toegang tot de groepsbeheersinterface) ggp_permission=globalgrouppermissions. Een query die wordt aanbevolen is:

INSERT INTO global_group_permissions (ggp_group,ggp_permission) VALUES ('steward','globalgrouppermissions'), ('steward','globalgroupmembership');

Vervolgens, promoveer sommige gebruikers naar stewards:

INSERT IGNORE INTO global_user_groups (gug_user, gug_group) VALUES ((SELECT gu_id FROM globaluser WHERE gu_name='Admin'), 'steward');

Er zijn verschillende instellingen die u mogelijk wilt wijzigen (bijvoorbeeld of u eenmalige aanmelding voor een heel domein wilt aanbieden) die worden vermeld in CentralAuth.php. In het bijzonder zult u een waarde voor $wgVirtualDomainsMapping['virtual-centralauth'] willen instellen. Zorg ervoor dat u deze instellingen na de regel wfLoadExtension in LocalSettings.php plaatst, bijvoorbeeld:

wfLoadExtension( 'CentralAuth' );
$wgVirtualDomainsMapping['virtual-centralauth'] = [ 'db' => 'centralauth' ];

Waarschuwing:

Aangezien alle ingelogde gebruikers een sessie zullen hebben in de centrale inlogwiki, is het aan te raden om een nieuwe wiki op te zetten met zo min mogelijk geïnstalleerde extensies (gebruik geen bestaande wiki voor dit doel). Dit zal het risico op XSS-kwetsbaarheden verminderen.

Waarschuwing:

Het universele inlogproces kan in nieuwere versies van Google Chrome worden verstoord door het cookiebeleid SameSite. Om het te verbeteren, moet u toevoegen: $wgCookieSameSite = "None"; $wgUseSameSiteLegacyCookies = true; Bovendien moet u uw site onder HTTPS uitvoeren.

In juli 2013 veranderde WMF zijn aanpak om gebruikers in meerdere wiki's te loggen. Na een succesvolle login en accountopbouw wordt CentralAuth bij het configureren van deze nieuwe aanpak naar Special:CentralLogin/start?token=somevalue doorverwezen op een "centrale login wiki", die cookies op die wiki instelt en vervolgens terugverwijst naar de ingelogde wiki. Het verwijdert de pagina "login/account creatie succes", maar verwijst terug naar de pagina "returnto" waarop de gebruiker oorspronkelijk was. Het plaatst 1x1 pixel afbeeldingen in de voet van die pagina, in plaats van de iconen die vroeger werden gebruikt op de pagina "Aanmelden/account maken geslaagd".

De instellingen voor dit zijn, ongeveer,

# Algemene configuratie CentralAuth
$wgCentralAuthCookies = true;
// standaard is het gebruiken van de lokale wiki database
$wgVirtualDomainsMapping['virtual-centralauth'] = [ 'db' => 'centralauthDatabaseName' ];
$wgCentralAuthAutoMigrate = true;
$wgCentralAuthAutoLoginWikis = [
    # Koppeling van domeinnaam naar wiki-id voor andere wiki's om automatisch in te loggen
    'enwiki.mediawiki.mwdd.localhost' => 'enwiki',
];

# Activeert de doorverwijzing naar de "centrale login wiki"
$wgCentralAuthLoginWiki = 'WikiIdOfLoginWiki';

$wgCentralAuthLoginWiki is de id (meestal de database-naam) van de wiki naar welke CentralAuth zal omleiden bij login en een account zal maken.

Voor optimale resultaten wordt aanbevolen memcached of een meer persistente cache te gebruiken. Als u maar één server hebt, kunnen ook accelerator caches (CACHE_ACCEL) zoals APCu werken, maar gebruik die niet als u meerdere servers heeft. Als u geen cache hebt ingesteld (d.w.z. CACHE_NONE) voor $wgMainCacheType, of CACHE_DB gebruikt, dan moet u ervoor zorgen dat al uw wiki's dezelfde cachingtabel gebruiken.

Standaard gebruikt elke wiki in uw wiki-farm de tabel objectcache in zijn eigen database (met zijn eigen db-prefix) wanneer $wgMainCacheType is ingesteld op CACHE_NONE of CACHE_DB. Om dit te laten werken met CentralAuth, moeten we de wiki's vertellen om een centrale cache-tabel te gebruiken.

Als u een centrale cachingtabel wilt maken in de centralauth-database (en als u een bestaande wiki een databasenaam van enwiki heeft), voer dan de volgende code uit om de tabel naar uw andere database te kopiëren (ervan uitgaande dat u een geïnstalleerde wiki heeft met een database met de naam "Enwiki" en een andere database met de naam "Centralauth"):

CREATE TABLE centralauth.objectcache LIKE enwiki.objectcache

Voeg dan de volgende config toe aan alle wiki's om ze te vertellen de centrale tabel te gebruiken in plaats van hun eigen tabel:

$wgSharedDB = 'centralauth'; // of welke database u gebruikt voor centrale gegevens
$wgSharedTables = [ 'objectcache' ]; // vergeet niet om eerst de tabelstructuur te kopiëren naar de centrale database
$wgCentralAuthSessionCacheType = CACHE_DB; // Zeg mediawiki om objectcache database te gebruiken voor centrale auth.

When running PHPUnit tests locally with your wiki farm and do not want them to fail due to an attempt to clone database tables with the shared tables config above, use:

if ( defined( 'MW_PHPUNIT_TEST' ) ) {
	$wgSharedTables = [];
} else {
	$wgSharedTables = [ 'objectcache' ];
}

Sinds 2023 ondersteunt CentralAuth geen mixed-protocol HTTP/HTTPS wiki's, alleen pure-HTTPS-wiki's (met $wgForceHTTPS ingesteld op true) en pure-HTTP-wiki's (primair voor lokaal testen). See issue T348852.

Since MediaWiki 1.41, you can configure database virtual domains mapping for CentralAuth, and this replaced $wgCentralAuthDatabase. To setup virtual domains mapping with CentralAuth, use:

// 'centralauth' is the name of the your CentralAuth database.
$wgVirtualDomainsMapping['virtual-centralauth'] = [ 'db' => 'centralauth' ];

Maakt een single-user login (SUL) systeem mogelijk met behulp van MediaWiki's AuthPlugin systeem. Het aanmaken en inloggen van gebruikers gebeurt globaal met behulp van één centrale gebruikerstabel op alle wiki's. Houd er echter rekening mee dat lokale gebruikersaccounts automatisch worden aangemaakt bij het aanmaken/inloggen van een account.

Deze extensie implementeert ook globale gebruikersgroepen, waartoe globale accounts kunnen behoren.

CentralAuth definieert verschillende nieuwe gebruikersrechten:

Een gebruiker met een account op meer dan één wiki kan Special:MergeAccount gebruiken om zijn globale gebruikersaccount te maken, dat vervolgens op elke wiki kan worden gebruikt. Gebruikers met het recht centralauth-unmerge (standaard verleend aan stewards) kunnen het samenvoegen van een globaal account annuleren, waarbij alle wachtwoorden worden hersteld naar de waarden voor het samenvoegen. Gebruikersaccounts kunnen nu ook globaal een andere naam krijgen.

Een globaal account kan worden geblokkeerd of verborgen door een gebruiker met respectievelijk het recht centralauth-lock en centralauth-suppress, die standaard worden gegeven aan de lokale groep 'stewards'. Een geblokkeerd globaal account wordt onmiddellijk uitgelogd van elke sessie op elke wiki waar die nu is aangemeld. De gebruikersnaam van een verborgen globaal account is niet zichtbaar in andere logs dan de globale accountslog.

Een wiki set is een groep wiki's die door een gebruiker is gespecificeerd met het recht globalgrouppermissions. Sets kunnen opt-in zijn (wiki's staan er standaard niet in) of opt-out (wiki's staan erin, tenzij ze zich afmelden).

Zodra u globale gebruikersgroepen heeft ingeschakeld zoals beschreven in het installatie-deel, kan een migrerende steward de interface Special:GlobalGroupPermissions gebruiken om globale gebruiksgroepen en hun rechten te configureren. Een globale gebruikersgroep is standaard actief op alle wiki's (de gebruikers daarin hebben hun rechten op alle wiki's), tenzij de groep is gespecificeerd om alleen actief te zijn op een specifieke wiki-set (de gebruiker in de groep heeft alleen de rechten als ze zich op een wiki in de set bevinden). Globale groepsrechten worden niet getoond op Special:ListUsers, maar op Special:GlobalUsers. Ze worden toegewezen door een gebruiker met het recht globalgroupmembership (standaard de globale groep stewards), en geven de gespecificeerde rechten aan de gebruiker, zelfs als de lokale rechten die door $wgGroupPermissions worden gedefinieerd, dit niet doen.

De extensie is beschikbaar onder de GNU General Public License 2.0 of hoger, en kan worden gedownload van Git, of benaderd via de web-based viewer.

De software wordt geleverd zoals deze is. Updates worden gemaakt volgens de behoeften van Wikimedia wiki's; of waar kritieke kwetsbaarheden worden ontdekt.

Zie Extension:CentralAuth/API .

• Globaal account
• Extension:CentralAuth/authentication - CentralAuth authenticatiefuncties
• $wgSharedDB
• User:Legoktm/evil-plans2.txt - Plan in 2015 om CentralAuth op het WMF uit te schakelen.
• Global session threat assessment
• Essay geïntegreerde volglijsten
• CentralAuth stroomschema
• Stuck global renames

Deze uitbreiding wordt gebruikt op een of meerdere Wikimedia projecten. Dit betekent waarschijnlijk dat de uitbreiding stabiel is en goed werkt op dergelijke vaak bezochte websites. Zoek op de naam van deze uitbreiding in Wikimedia's CommonSettings.php en InitialiseSettings.php om te zien waar deze is geïnstalleerd. Een volledige lijst van de uitbreidingen die geïnstalleerd zijn op een bepaalde wiki kan worden gevonden op de Special:Version pagina van de wiki.

Deze uitbreiding is beschikbaar op de volgende wiki-families en/of onderdeel van de volgende pakketten: Miraheze Telepedia WikiForge Dit is geen gezaghebbende lijst. Sommige wikifarms/hosts en/of pakketten kunnen deze extensie bevatten, zelfs als ze hier niet worden vermeld. Controleer het altijd bij uw wiki farms/hosts of bundel.