Extension:PluggableAuth/fr

L'extension PluggableAuth fournit un environnement pour la création d'extensions d'authentification et d'autorisation.

Authentification : c'est le processus qui consiste à prouver qu'un utilisateur est bien celui qu'il prétend être. Cela peut être fait, par exemple, en fournissant un nom d'utilisateur et un mot de passe ou un jeton ou un élément biométrique.

Les extensions d'autorisation suivantes peuvent être utilisées avec PluggableAuth :


 * - utilise SAML
 * - utilise OpenID Connect
 * - utilise LDAP
 * - utilise OAuth
 * - utilise Shibboleth
 * - utilise Discourse
 * - utilise le logiciel de gestion d'association Naylor
 * - utilise phpBB

Autorisation : c'est le processus permettant de déterminer si un utilisateur authentifié particulier doit avoir accès à une ressource particulière. Cela peut être fait, par exemple, en vérifiant une liste d'adresses courriel autorisées ou en vérifiant les valeurs des attributs utilisateur fournis par un serveur d'identité.

Dans le cas de PluggableAuth, les extensions d'autorisation déterminent si un utilisateur authentifié peut continuer à se connecter à un wiki. Cependant, les extensions « d'authentification » (plutôt que les extensions d'autorisation) prennent en charge les groupes d'utilisateurs pour lesquels un utilisateur doit être autorisé, en fonction des attributs transmis par le fournisseur d'identité (IdP).

Les extensions d'autorisation suivantes peuvent être utilisées avec PluggableAuth :


 * - utilise une liste d'adresses email et de domaines
 * - utilise LDAP

PluggableAuth peut utilisé avec un ou plusieurs greffons d'authentification, et zéro ou plusieurs greffons d'autorisation If more than one authentication plugin is used, a button for each authentication plugin will be added to the  page. If a single authentication plugin is used and local login is disabled, the  page will be bypassed. Si aucun plugin d'autorisation n'est utilisé, tous les utilisateurs authentifiés sont autorisé à utiliser le wiki.

PluggableAuth definit deux accroches importantes:


 * - permet aux greffons d'autorisation de fournir du code pour prendre une décision d'autorisation
 * - utilisé pour compléter les informations de groupe de MediaWiki avec celles d'un fournisseur externe

Version 5.7 or earlier


Notes de développement


Créer des nouveaux greffons d'authentification
Version 6.0 and later:
 * Les greffons d'authentification sous-classe la classe abstraite  fournie par PluggableAuth.
 * In version 6.0 and later, an authentication plugin must specify at  section in  . For example:

Version 5.7 and earlier:
 * Sous-classe des greffons d'authentification, classe abstraite  fournie par PluggableAuth.
 * Chaque greffon d'authentification doit initialiser avec le nom de cette sous-classe.

The authentication plugin subclass must implement the following methods:


 * Appelé pour authentifier l'utilisateur.
 * Les paramètres sont utilisés pour renvoyer l'identifiant utilisateur, le nom d'utilisateur, le vrai nom et l'adresse e-mail de l'utilisateur authentifié et, si l'utilisateur ne peut pas être authentifié, un message d'erreur facultatif.  est un entier et les autres paramètres sont toutes des chaînes. Si l'utilisateur ne peut pas être authentifié et qu'aucune valeur n'est définie pour , un message d'erreur par défaut s'affiche.
 * doit être défini sur  si l'utilisateur est nouveau, auquel cas   ajoutera l'utilisateur à la base de données.
 * Doit retourner true si l'utilisateur a été authentifié et false dans le cas contraire.
 * Si le retour à l'URL, le nom de la page ou les paramètres de requête de la page à partir de laquelle la connexion a été initiée sont nécessaires dans la fonction authenticate, ils peuvent être consultés comme suit :


 * Appelé après qu'un nouvel utilisateur a été authentifié et ajouté à la base de données pour ajouter des informations supplémentaires à la base de données requises par le mécanisme d'authentification.


 * Appelé lorsque l'utilisateur se déconnecte pour informer le fournisseur d'identité, si nécessaire, que le nettoyage, tel que la suppression de la session de l'utilisateur, doit être effectué.



Special:UserLogin avec des champs supplémentaires de connexion
La page  sera affichée à l'utilisateur pendant l'authentification si une interaction avec celui-ci est nécessaire.

Autrement dit, si un seul fournisseur d'authentification est configuré, son greffon d'authentification n'ajoute pas de champ supplémentaire au formulaire  en utilisant la fonction statique  (ou  dans les versions 5.7 et antérieures), et si la connexion locale (qui autorise les champs du nom d'utilisateur et du mot de passe du formulaire  ) n'est pas activée par un administrateur de site en utilisant, la page   ne sera pas affichée.

Même si  n'est pas affiché, il peut être nécessaire pour un plugin d'authentification de recueillir l'entrée utilisateur à l'aide d'une page Web fournie par un système d'authentification d'entreprise. Ceci serait réalisé par une redirection, souvent à partir de la bibliothèque d'authentification utilisée par le greffon d'authentification.

Si aucune bibliothèque de ce type n'existe et que vous devez mettre en oeuvre le mécanisme d'authentification à partir de zéro, la redirection ne doit pas aller à. Au lieu de cela, il devrait aller à une page spéciale personnalisée, non répertoriée basée sur. Enfin, s'il n'y a pas d'entrée utilisateur requise par l'utilisateur dans le cadre de l'authentification à partir de  ou du système d'authentification à distance, cliquer sur le lien "Se connecter" rendra simplement la page actuelle dans un état connecté.

Si un greffon d'authentification ajoute des champs supplémentaires au formulaire  en utilisant la fonction statique  (ou  dans les versions 5.7 et antérieures), les champs sont accessibles dans la fonction   dans un greffon d'authentification comme suit :

Cela retournera un tableau de valeurs de champ indexées par le nom du champ du tableau descripteur de champ.



Créer des nouveaux greffons d'authentification
Les crochets d'autorisation utilisent le crochet pour enregistrer une implémentation de la fonction suivante :


 * est l'objet UserIdentity pour l'utilisateur qui demande l'autorisation
 * doit avoir la valeur true si l'utilisateur est autorisé et false dans le cas contraire.



Notes des versions

 * Version 6.3
 * Fixed MW 1.35 incompatibility in deauthenticate
 * Version 6.2
 * added compatibility with MW 1.39
 * Switch from deprecated PersonalUrls hook to SkinTemplateNavigation::Universal
 * Only set real name if it is not null
 * Use setter and getter for user's real name
 * Version 6.1
 * restored backward compatibility with MW 1.35 (T308865)
 * Version 6.0
 * Support multiple authentication plugins using
 * Nécessite MediaWiki 1.35+
 * Arrêt du support pour les paramètres de configuration suivants :
 * (use the  field in the corresponding  entry)
 * (use the index of the corresponding entry)
 * (use static function in  class)
 * (now specified by an attribute in the authentication plugin's extension.json and referred to by the   field in the corresponding  entry)


 * Version 5.7
 * Ajout d'un message d'erreur lorsqu'il y a une erreur de session fatale rare


 * Version 5.6
 * Correction de l'ouverture de session automatique pour qu'elle retourne à la page correcte après l'authentification.


 * Version 5.5
 * Correction d'un problème avec le crochet.


 * Version 5.4
 * Ajout de et.
 * Corrections de style de codage.


 * Version 5.3
 * Ajout de.


 * Version 5.2
 * Connexion automatique convertie en PHP à partir de JavaScript


 * Version 5.1
 * Ajout d'un crochet. Merci à Poikilotherm d'avoir contribué à cette fonctionnalité.


 * Version 5.0
 * Ajout de et suppression de l'utilisation de editmyprivateinfo
 * Instruction debug ajoutée lorsque return ntourl n'est pas défini


 * Version 4.2
 * Exception corrigée lorsque return toquery n'est pas défini.


 * Version 4.1
 * Ajout de variables de session pour contenir le nom de la page et les paramètres de requête de la page à partir de laquelle la connexion a été initiée pour être utilisée dans


 * Version 4.0
 * Ajout d'un message d'erreur facultatif à
 * Numéro de version bossé à synchroniser avec les extensions SimpleSAMLphp et OpenIDConnect


 * Version 2.2
 * Confirmer les adresses de messagerie provenant de sources d'authentification externes


 * Version 2.1
 * Mettre à jour les conventions de dénomination des fichiers


 * Version 2.0
 * Presque entièrement réécrit pour prendre en charge le nouveau cadre d'authentification et de gestion de session MediaWiki 1.27
 * Basculé vers l'enregistrement d'une nouvelle extension
 * Noms de variables de configuration modifiés pour ajouter le préfixe $wg
 * supprimé
 * renommé en
 * ajouté pour prendre en charge la connexion locale par mot de passe au wiki en plus de PluggableAuth


 * Version 1.2
 * Déplacé l'ajout d'un nouvel utilisateur à la base de données wiki après une autorisation réussie de l'utilisateur
 * Validation  ajouté


 * Version 1.1
 * Ajout d'un appel à la déconnexion lorsque la session expire pour s'assurer que la fonction deauthenticate dans les classes d'implémentation est appelée


 * Version 1.0
 * Version initiale