Produits Entr'ouvert » Publik

• Utiliser https://github.com/piwik/plugin-LoginHttpAuth + mod_mellon
• Pour chaque plate-forme hobo créer un "website" en base (http://piwik.org/docs/manage-websites/) avec toutes les URLs déclarées dans le hobo.json et un utilisateur
• Pour le contrôle d'accès: mapper tous les utilisateurs venant du SSO sur un compte unique selon un critère soit dans authentic (autorisation RBAC ou attribut de rôle) ou dans une condition mod_mellon/mod_setenvif en utilisant SetEnvIf¹
• Publier le code JSON piwik à une URL facile à construire, ex.: piwik.publik.com/json/<plateforme>.json

¹ http://stackoverflow.com/questions/3050444/when-setting-environment-variables-in-apache-rewriterule-directives-what-causes

• http://developer.piwik.org/api-reference/reporting-api#SitesManager
• http://developer.piwik.org/api-reference/reporting-api#UsersManager

et http://piwikapi.readthedocs.org , que demande le peuple...

Pour le SSO je n'ai pas précisé mais il faudra un domaine par client, pointant vers une unique instance de piwik, les domaines différents permettent de compartimenter la configuration du SSO (on pourrait enregistrer tous les IdPs client dans une instance unique de mod_mellon mais on aurait un problème pour deviner quel IdP il faut interroger).

Ça me parait compliqué d'aller jusqu'au SSO, avec un piwik multidomaine, etc.

Dans une approche de base, je dirais de déclarer un mail au niveau du hobo (genre webmaster@la-ville.fr), mail qui constituera le compte ayant l'accès au tableau de bord du site (un seul compte c'est suffisant pour piwik). A l'initialisation on met un mot de passe aléatoire. En déclarant un mail son propriétaire peut utiliser la fonction « Mot de passe perdu ? » pour se choisir son mot de passe ensuite.

Le SSO c'est mieux mais à mon avis un peu plus complexe dans un premier temps (mais je laisse celui qui fait décider !)

Je veux bien m'occuper du sso quand ce sera fini, juste prévoir dès le départ le multi-domaine, et installer le plugin que j'indique. Faut voir comment nommer les comptes qu'on va créer et les sites (il faut bien les différencier), ce serait plus simple si les plateformes hobo avaient un nom (je l'ai déjà dit mais j'aime bien répéter).

Le plus simple à mon avis c'est de faire deux scripts, le premier reçoit les fichiers hobo.json depuis hobo-agent, les pose dans /var/lib/piwik/tenants/<domaine>/hobo.json puis appelle le deuxième script et le deuxième script pose un fichier de lock, parcourt tous les tenants/*/hobo.json, appelle les API de piwik pour créer site et compte, génère les fichiers dans /etc/apache2/sites-available puis supprime le lock. Comme ça on peut toujours rappeler le deuxième script sans soucis.

Dans le vhost il faut prévoir de publier le fichier JS piwik à une URL mémorable, genre <base_url>/publik_piwik.js (certainement avec un redirect vers l'URL réelle du fichier dans piwik, l'idée c'est dans le thème publik par défaut de pouvoir linker facilement vers cette URL si on voit un piwik déployé dans le hobo.json).

Thomas Noël a écrit :

Ça me parait compliqué d'aller jusqu'au SSO, avec un piwik multidomaine, etc.

Sans multi-domaine ça va rendre difficile de trouver le fichier piwik.js depuis les autres applications, et puis ça jurer avec l'admin de hobo, on va mettre des trucs dans base_url qui seront ignorés.

Benjamin Dauvergne a écrit :

Thomas Noël a écrit :

Ça me parait compliqué d'aller jusqu'au SSO, avec un piwik multidomaine, etc.

Sans multi-domaine ça va rendre difficile de trouver le fichier piwik.js depuis les autres applications

ben le piwik.js est commun à tout le monde..

et puis ça jurer avec l'admin de hobo, on va mettre des trucs dans base_url qui seront ignorés.

En même temps piwik ne gère juste pas le multidomaine.

Hmm piwik il s'en fout du domaine non ? Donc il gère le multi-domaine.

Ok mono-domaine je m'occuperai du SSO et du multi-domaine après; et donc on fait comme a dit Thomas, on prévoit une variable emails qui contient des emails séparés par des espaces et on inscrit tout le monde, et on leur envoie un mail avec leur mot de passe quand on crée leur utilisateur, avec username=email.

Ok. Il ne reste plus qu'à valider les tickets #10157 et #10166.