[ProjectSCZ-FIAM] koppelen van website aan comanage

Gerben Venekamp gerben.venekamp at surfsara.nl
Wed Dec 6 11:32:41 CET 2017 

Hallo Mark,

Ik denk dat je voor toegang tot de REST API jammer genoeg even geduld moet hebben. Wanneer ik een user probeer aan te maken, dan zie ik boven in het beeld de onderstaande tekst.

API Users are currently given full privileges to all Registry data. This is subject to change in a future release (CO-91 <https://bugs.internet2.edu/jira/browse/CO-91>).

Dus zoals je kunt zien, krijgen REST gebruikers toegang tot de volledige COmanage omgeving en daarmee tot alle CO’s. Je bent niet de enige die toegang wilt, daarvoor bestaat ticket CO-91 <https://bugs.internet2.edu/jira/browse/CO-91> voor. Helaas is het ticket niet heel erg actief.

Met Mathijs heb ik net geprobeerd een overzicht te krijgen wat er nu precies gevraagd wordt in verschillende threads en hoe die aan elkaar relateren. Ik denk dat ik begrijp waar je vraag vandaan komt en dat dat gerelateerd is aan SimpleSAMPphp en een (nog op te zetten) web dienst binnen BBMRI voor de demo van as vrijdag.

Ik heb gezien dat je vanuit SimpleSAMLphp een plugin kunt hebben die rechtstreeks een COmanage instantie via REST calls kunt bevragen. Vandaar je vraag of je tot de REST API toegang kan krijgen. Wat dus helaas niet mogelijk is…

Er is wel een andere route die je zou kunnen nemen en dat is door nog steeds  SimpleSAMLphp te gebruiken. Ik neem aan dat je dan een eigen SP probeert te maken. Dat is mij nog niet helemaal duidelijk uit de verschillende mails, maar ligt wel het meest voor de hand.  Volgens mij is ondersteunt SimpleSAMLphp LDAP redelijk out-of-the-box. Dus Apache installeren, SimpleSAMLphp er bij als IdP en een LDAP. De LDAP die nu voor BBMRI vanuit COmanage gevuld wordt, kun je natuurlijk prima gebruiken. In plaats van een REST call, zou je nu dan een ldapsearch moeten doen. Zo’n search kan zijn: is de gebruiker lid van de BBMRI CO. Is dit voldoende voor je?

Ergens is er ook geopperd dat COmanage application specific passwords heeft. Dat is correct. Echter dit vergt een configuratie verandering die ik liever niet zo vlak voor de demo wil doen. Bovendien vraag ik mij af of die voldoet. De plugin genegeerd random strings met een lengte van 8 of 15 characters. Dit is zo’n beetje het enige dat je kunt configureren. Dus je kunt niet je eigen favoriete (makkelijk te hacken) wachtwoord kiezen. Sowieso zouden gebruikers hun instituutswachtwoord niet moeten gebruiken. Ik noem die even, omdat ik mij kan indenken dat het wel zo makkelijk is om al een bestaand wachtwoord te recyclen.

Wat je zou kunnen doen om toch redelijk eenvoudig wachtwoorden in LDAP te krijgen is een scriptje schijven dat je daarbij helpt. Dat is wellicht niet een hele fraaie oplossing, maar heeft denk ik de grootste kans van slagen. Wanneer de LDAP alleen gebruikt voor autorisatie attributen, dan heb je wachtwoorden misschien niet eens nodig.

Misschien is het te overwegen om via een andere CO een web applicatie te laten zien? Dat is dan weliswaar geen BBMRI product of omgeving, maar laat wel de functionaliteit zien. Het gaat dan om Yoda en iRODS. Dit is een reële optie voor vrijdag. Natuurlijk is iets binnen het BBMRI domein zoveel mooier. Dat snap ik. Houd deze in je achterhoofd zo ik zeggen.

Vandaag ben ik nog beschikbaar, echter morgen is er een Trust & Identity meeting waar ik bij ben. Dat houdt dus in dat ik morgen beperkt kan helpen. Anderen in het SCZ zouden dan kunnen inspringen.

Groeten,
Gerben


> On 6 Dec 2017, at 07:39, Gerben Venekamp <gerben.venekamp at surfsara.nl> wrote:
> 
> Hallo Mark,
> 
>> On 5 Dec 2017, at 23:03, <M.A.Santcroos at lumc.nl <mailto:M.A.Santcroos at lumc.nl>> <M.A.Santcroos at lumc.nl <mailto:M.A.Santcroos at lumc.nl>> wrote:
>> 
>> Hi Jouke, all,
>> 
>> Ik ben met simplesamlphp-module-attrauthcomanage aan de slag gegaan.
>> 
>> Als ik 't goed begrijp heb ik een username/password voor de REST API van SCZ nodig?
> 
> Ja, dat klopt. Er moet een gebruiker worden aangemaakt die de REST API mag gebruiken.
> 
>> 
>> Zo ja, kan iemand mij die verstrekken?
> 
> Ik ga er naar kijken, maar eerst moet ik even uitzoeken of er op zulke gebruikers ook ACL toegepast kunnen worden. Wanneer dat niet zo is, en een REST gebruiker volledige toegang heeft tot SCZ, dan moet ik eerst overleggen wat we dan als SCZ willen doen. Het zou fijn zijn als dat per CO geregeld kan worden.
> 
> Ik ga het voor je uitzoeken.
> 
> Groeten,
> Gerben
> 
>> 
>> Alvast bedankt!
>> 
>> Groet,
>> 
>> Mark
>> 
>>> On 1 Dec 2017, at 23:12 , Jouke Roorda <jouker at nikhef.nl <mailto:jouker at nikhef.nl>> wrote:
>>> 
>>> Geen magnetronmaaltijd, maar wel een 30-minute meal (dat tweede is
>>> sowieso veel lekkerder dan dat eerste):
>>> 
>>> Het koppelen van COmanage via een IdP SP proxy is vrij simpel.
>>> simpleSAMLphp staat - op het uitwisselen van metadata na - standaard al
>>> ingesteld als proxy (de saml idp heeft standaard een sp als authsource).
>>> Vervolgens is er een plugin voor simplesamlphp om gegevens vanuit
>>> comanage te injecteren in het saml request
>>> (https://github.com/rciam/simplesamlphp-module-attrauthcomanage <https://github.com/rciam/simplesamlphp-module-attrauthcomanage>). Mocht
>>> je er van houden dan kan je natuurlijk altijd in de broncode duiken om
>>> andere attributen op te vragen dan deze plugin doet. Vergeet eventuele
>>> nieuwe saml attributen niet te mappen ;)
>>> 
>>> Als je echt alleen wil showcasen zou het zelfs mogelijk zijn om alleen
>>> de attribute dump van simplesaml te gebruiken icm de plugin, maar dat
>>> ziet er bijzonder niet-fancy uit. Ook is het mogelijk om zelf wat te
>>> bouwen uiteraard. Anders is er altijd nog deze AARC pilot met een
>>> uitgebreidere, praktische use case:
>>> https://wiki.geant.org/display/AARC/Pilot%3A+Attribute+Management+support+in+cloud+service+providers <https://wiki.geant.org/display/AARC/Pilot%3A+Attribute+Management+support+in+cloud+service+providers>
>>> 
>>> On 01/12/17 18:00, M.A.Santcroos at lumc.nl wrote:
>>>> Hi all,
>>>> 
>>>> Afgelopen tijd is onze focus op de non-web use case gebaseerd op ldap geweest.
>>>> 
>>>> Voor de health-ri demo van 8 december zouden we ook graag een website ontsluiten, omdat dat beter demonstreerbaar is.
>>>> Is daar al een klant-en-klaar recept voor?
>>>> 
>>>> Dank!
>>>> 
>>>> Groet,
>>>> 
>>>> Mark
>>>> 
>>>> 
>>>> 
>>>> _______________________________________________
>>>> ProjectSCZ-FIAM mailing list
>>>> ProjectSCZ-FIAM at list.surfnet.nl
>>>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
>>>> 
>>> 
>>> --
>>> Jouke Roorda
>>> Software Engineer @ Nikhef
>>> 
>>> PGP: 0xB4F34F61 | jouker at nikhef.nl
>>> 
>>> _______________________________________________
>>> ProjectSCZ-FIAM mailing list
>>> ProjectSCZ-FIAM at list.surfnet.nl
>>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
>> 
>> 
>> _______________________________________________
>> ProjectSCZ-FIAM mailing list
>> ProjectSCZ-FIAM at list.surfnet.nl <mailto:ProjectSCZ-FIAM at list.surfnet.nl>
>> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam
> 
> ----
> 
>  Gerben Venekamp
> 
> | Advisor DPS ∙ SURFsara ∙ Science Park 140 ∙ 1098 XG ∙ Amsterdam |
> | T +31 (0) 20 800 1300 ∙ https://surfsara.nl <https://surfsara.nl/>                     |
> | Available on: Mon, Tue, Wed, Thu. Not available on Fri          |
> 
> We are ISO 27001 certified and meet the high requirements for information security.
> 
> 

----
 Gerben Venekamp

| Advisor DPS ∙ SURFsara ∙ Science Park 140 ∙ 1098 XG ∙ Amsterdam |
| T +31 (0) 20 800 1300 ∙ https://surfsara.nl <https://surfsara.nl/>                     |
| Available on: Mon, Tue, Wed, Thu. Not available on Fri          |
We are ISO 27001 certified and meet the high requirements for information security.



-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://list.surfnet.nl/mailman/private/projectscz-fiam/attachments/20171206/45a4d262/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: Message signed with OpenPGP
URL: <https://list.surfnet.nl/mailman/private/projectscz-fiam/attachments/20171206/45a4d262/attachment-0001.sig>

More information about the ProjectSCZ-FIAM mailing list