🔑EHUagora autentifikatzeari buruzko bilera teknikoa

1. Bileraren xedea

Bilera teknikoa Decidim/EHUagora parte-hartze plataforma EHUn hedatzen aurrera egiteko, parte-hartzailearen datuen autentifikazioan arreta berezia jarriz. Horrek esan nahi du:

• Autentifikazio korporatiboko sistema (Oracleko OAM, SAML bidez) Decidim/EHUagorarekin nola integratuko den definitzea.

• Integrazio-inguruneak (ekoizpena / probak) eta haien ondorioak adostea.

• Autentifikazioan bidaliko diren parte-hartzailearen gutxieneko atributuak zehaztea.

2. Testuingurua

Proiektuaren esparru orokorra aurkeztu da:

• Decidim partaidetzarako software libreko proiektu bat da, EHUn EHUagora forma hartzen duena.

• Decidim-en hedapena ez da software bat instalatzera mugatzen; asmo politikoko erabakiak, prozesu parte-hartzaileen diseinua eta gobernantza ere eskatzen ditu.

• Hiru lan ardatz nagusi ari dira artikulatzen:

  • Parte-hartzearen ardatza (unibertsitateko parte-hartzean adituak).

  • Komunikazioko Errektoreordetza (komunikazio-ildoa eta erakunde-hizkera).

  • Azpiegiturak / Eraldaketa digitala (bilera honetan izena emango da).

• Une honetan, EHUagora Pokecode-k kudeatzen duen SaaS ingurune batean dago hedatuta, behin-behineko domeinuarekin, behin betiko domeinuaren esleipenaren zain.

Bilera hau, beraz, alde teknikoaren (HMEA integrazioa) eta parte hartzeko proiektuaren behar funtzionalen arteko bidegurutzean kokatzen da.

3. Decidim/EHUagora–OAM (SAML) integrazio teknikoa

3.1 Integrazio-ingurunea

Inguruneen konbinazio posibleak aztertzen dira (garapena, aurreprodukzioa, ekoizpena), bai EHUren aldetik, bai Decidim:

• EHUk bere OAM autentifikazio sisteman garapena, aurreprodukzioa eta produkzioa ditu.

• Decidim/EHUagora, bileraren unean, ekoizpen-izaerako ingurune batean (SaaS) baino ez dago, behin betiko domeinua eta proba-ingurune bereizia ez dauden bitartean.

• EHUko aurreprodukzio-ingurunera ezin da kanpotik iritsi; beraz, portuak ireki beharko lirateke, eta konektibitate-proba gehigarriak egin.

Aukerak aztertu ondoren, honakoa erabaki da:

• Hasieran, “ekoizpena ekoizpenaren aurka” integrazioa egitea:

  • Decidim/EHUagora (gaur egungo ingurunea) → OAM ekoizpena.

  • Aurrerago, Decidim proba-ingurune bat dagoenean (adib. froga.agora.ehu.eus, produkzioko OAMaren kontra ere integratuko da.

• Etorkizunean aurreprodukziodun integrazio espezifikorako atea zabalik uzten da, profil desberdin askoko proba konplexuak behar badira, adibidez, hauteskunde-prozesu bat.

3.2 Proba-kontuak

Hirugarrenen kontuen mende egon gabe integrazioa frogatu ahal izateko:

• “Besteak/kanpokoak” motako kontu pertsonalak sortuko dira Komunikatik eta Pokecode enpresek osatzen duten prozesuko talde teknikoarentzat:

• Hona hemen kontuak:

  • Pertsonalak dira (ez enpresarenak), eta kanpoko kolaborazioetarako erabili ohi dira.

  • Baliozkoak izango dira produkzioan, eta beharrezko zerbitzuak eskuratzeko aukera emango dute.

  • Pertsona bakoitzaren izen-abizenak, NANa eta harremanetarako posta jaso ondoren sortuko dira.

• Kontua jaso osteko lehen urratsa: pasahitza aldatu, araudia betez (maiuskulak, minuskulak, etab. ), hasierako pasahitza ausazkoa baita, eta abiokoa bakarrik.

3.3 Decidim-era bidali beharreko parte-hartzailearen atributuak

Lehen fase horretan, autentifikazioak behar diren gutxieneko atributuak bakarrik bidaliko ditu, sistema sinplea izan dadin eta aurrerago modu iteratiboan zabalduz joan dadin.

Adostutako atributuak:

• UID (kontuaren identifikatzaile bakarra, gako nagusia).

• Izena.

• Abizenak (nahiz eta Decidim-erako ezinbestekoak ez izan, hasieran sartzen dira).

• Posta elektronikoa.

• Afiliazioa / unibertsitatearekiko harremana (ikasleak, irakasle eta ikertzaileak, AZP, alumni, kanpokoa, etab.). ).

• Nickname / izen lagunkoia, halakorik dagoenean (kolektibo jakin batzuentzat bakarrik, batez ere pertsonalarentzat).

Erabakitzen da:

• Parte-hartzaile bakoitza zalantzarik gabe identifikatzeko aukera emango du UIDak.

• Afiliazioa giltzarria izango da etorkizunean baimentze-arauak ezartzeko.

• Interfazean identifikatzaile ez oso lagunkoiak (kode alfanumerikoak, adibidez) erakustea saihestuko du nickname horrek.

3.4 SAML metadatuen trukea

Egiaztatu da SAML bidezko integrazioak ez duela dokumentazio zabala behar, metadatuen XML fitxategien trukea baizik:

• EHUko Proiektuen Arloko teknikariek ekoizpeneko OAM 12 metadatuen XML fitxategia bidaliko dute (berdina da ingurune horretan integratzen den edozein aplikaziotarako).

• Decidim ekipoak Decidim/EHUagora metadatuen XMLa sortu eta bidaliko du, eta SAML bezeroa OAMen konfiguratzeko balioko du.

Metadatu horietan, besteak beste, autentifikazio-birbideratzeetarako behar diren gako publikoa eta URLak sartuko dira (gako pribatuak ez dira inoiz partekatzen).

3.5 Zerbitzuaren konfigurazioa

• Hasieran, zerbitzu-izen desberdinak erabiltzea aztertzen da (adibidez, Agora pro), baina, azkenean, kautotze-sisteman “Agora” erabiltzea erabaki da bezeroaren izen gisa.

• Gogoratu barne nomenklatura hau EHUagorak erabiliko duen domeinu publikoarekiko independentea dela.

4. Parte-hartzaileen unibertsoa eta sartzeko irizpidea

Puntu honetan, Decidim/EHUagora-n nork sartu beharko lukeen aztertzen da, autentifikazio korporatiboaren bidez:

• Prozesua errazten duen taldeak abiapuntu gisa planteatzen du EHUn kontu bat martxan duen pertsona orok EHUagora sarbidea izatea.

Kontuen bizi-zikloa azaldu ondoren, EHUko Proiektuen Arloko teknikariek hau argitu dute:

• Ikuspuntu teknikotik, irizpiderik argiena honako hau da: “unibertsitatean kontu operatiboa duen pertsona oro kautotu daiteke Decidim/EHUagoran”, kontuan hartu gabe bere harremana irakasle eta ikertzaileen, administrazioko eta zerbitzuetako langileen, ikasleen, ikasleen edo bestelakoen artekoa den.

Irizpide hori lan teknikoaren erreferentziatzat hartzen da, baina talde eragileak eta dagozkien erabaki-organoek oraindik ez dute politikoki baliozkotu.

5. Datu gehigarriak: eremuak, arloak, antolaketa-mapa eta baimenak

Datu gehigarriak: eremuak, arloak, antolaketa-mapa eta baimenak

5.1 Baimena emateko behar diren baliokidetasunak

Decidim/EHUagorak baimena behar duten ekintzak behar bezala kudeatu ahal izan ditzan (proposamenak sortu, bozkatu, ekimenak sinatu, inkesta edo zozketetan parte hartu, gune pribatuetara sartu, etab. ), modu sinple eta zuzenean lotu behar dira EHUko datu korporatiboak eta Decidim-en barne-egitura, arloetan eta esparruetan oinarritua.

Hori egin ahal izateko, ezinbestekoa izango da aldez aurretik EHUren antolaketa-mapa eguneratua izatea, modu argian identifikatzeko Unibertsitatea → Campusa → Fakultatea → Saila egitura eta eskuragarri dauden datuekin bat etortzea.

Praktikan, horrek bi urrats ditu:

• Parte-hartzaile bakoitza (unibertsitatea, campusa, fakultatea, saila) erakundeko zer lekutan dagoen identifikatzea, eskura dauden oinarrizko datuak erabiliz

• Nahikoa izango da zure campusa, ikastegia edo fakultatea eta, hala badagokio, zure saila ezagutzea.

• Parte-hartzaile bakoitzari instituzioen arlo tematiko garrantzitsuak esleitzea, sailkapen korporatiboa erreferentziatzat hartuta: egitura-unitatea, arlo funtzionala edo lotutako gai-kategoria. Arlo horiei esker, etorkizunean, parte-hartzea mugatu edo gaitu ahal izango da gaiaren arabera (adibidez: berdintasuna, jasangarritasuna, ikasleak).

Baliokidetza horiek modu errazean definituko dira, autentifikazioa zabaldu gabe, eta aurrerago erabiliko dira baimenak zehazteko eta erroldak sortzeko.

5.2 Erroldetarako eta baimenerako ondorioak

• Autentifikazioak gutxieneko atributuak bakarrik bidaltzen jarraituko du.

• Prozesu espezifikoetarako baimenak kontsulta gehigarrien mende egongo dira.

• Etorkizuneko boto-errolda handitutako atributu horietan oinarritutako argazki gisa sortuko da.

• Prozesu parte-hartzaile mugatuak aktibatu aurretik, beharrezkoa izango da baliokidetasunak (eremuak eta arloak) definitzea.

6. Hartutako erabakiak

Bileraren eta EHUagora hedatzearen erreferentzia-dokumentuen azterketatik abiatuta, talde teknikoaren erabaki formal hauek jasotzen dira:

1. Ekoizpenean integratzea abiapuntu gisa: hasierako integrazioa ekoizpenaren kontra egingo dela berresten da, bai probak arintzeko, bai aurreprodukzio-ingurunearen irisgarritasun-mugengatik.

2. Probetarako “besteak/besteak” kontuak erabiltzea: kontu horiek kanpoko talde teknikoarentzat sortzea adostu da, ekoizpen-ingurunerako sarbide operatiboarekin, pasahitzen araudiari jarraituz.

3. Autentifikatzeko gutxieneko atributuak: UID, izen-abizenak, posta, afiliazioa eta nickname (baldin badago) bidalketa esklusiboa baliozkotzen da, gainerako atributuak autentifikaziotik kanpo mantenduz.

4. SAML metadatuen trukea: Proiektuen Arloak OAM produkzioaren metadatuak bidaliko dituela eta Decidim-eko talde teknikoak EHUagora zerbitzuari dagozkionak bidaliko dituela adostu da.

5. Zerbitzuaren izen teknikoa: SAML bezeroari “Agora” deituko zaio autentifikazio-sistemaren barruan.

6. Sartzeko irizpidea: maila teknikoan, EHUn kontu operatiboa duen pertsona oro EHUagora-n autentifikatu daitekeela dioen irizpidea hartzen da, baliozkotze politikoaren zain dagoena.

7. Antolaketa-mapa ofizial baten beharra: taldeak baieztatzen du ezinezkoa izango dela baimen aurreratuak hedatzea antolaketa-mapa oso eta eguneratu bat gabe, egitura korporatiboarekin lerrokatuta.

8. Baimenen etorkizuneko eredua: onartzen da baimenak ez direla autentifikazioaren araberakoak izango, baizik eta kanpo-kontsulten araberakoak, eta aukera emango dela eremuen eta arloen araberako ebaluazio dinamikoak egiteko.

9. Berehalako botoen bidezko hautesle-erroldak: baiesten da erroldak autentifikaziotik kanpo sortuko direla eta prozesu bakoitzaren izaeraren arabera aldatu ahal izango direla.

10. Diseinu politikoaren zain: onartzen da noren politikak parte har dezakeen zein prozesutan (IIP, AZP, ikasleak, alumni, etab.) talde eragile instituzionalak definitu beharko du.

7. Egiteke dauden zereginak

LDAP–Decidim EHUagoraren bilera teknikoko transkripzioen eta oharren azterketatik abiatuta, eginkizun hauek identifikatzen dira, haien zuzeneko arduradunekin batera:

7.1 SAML autentifikazioa eta integrazioa

• Datuak bidaltzea “besteak/kanpokoak” kontuak sortzeko (izena, abizenak, NANa, kanpoko posta).

• Decidim-eko teknikari-taldearentzako “besteak” kontuak sortzea.

• Bidali ekoizpeneko OAMaren metadatuen XMLa.

• Sortu eta bidali Decidim/EHUagora metadatuen XMLa.

• «Agora» bezeroa konfiguratzea OAM sisteman.

7.2 Datuak, baimenak eta antolaketa-egitura

• EHUren antolaketa-mapa ofiziala definitzea eta baliozkotzea (Unibertsitatea → Campusa → Fakultatea → Saila).

• Web-zerbitzarien bidez esparruei eta arloei buruzko zer informazio kontsumituko den zehaztea.

• «Kontu operatiboa duen pertsona oro» sartzeko irizpidea politikoki baliozkotzea.