Redmine Entr’ouvert: Demandeshttps://dev.entrouvert.org/https://dev.entrouvert.org/favicon.ico?15861920342024-03-14T10:44:25ZRedmine Entr’ouvert
Redmine Authentic 2 - Development #88144 (Solution proposée): authn tél : dans la page principale d’inscr...https://dev.entrouvert.org/issues/881442024-03-14T10:44:25ZPaul Marillonnet
<p>Ce qui permet ensuite, dans les gabarits de base des thèmes et leurs éventuelles variantes, de faire varier le message en fonction des modes d’authn actifs.</p> Authentic 2 - Development #86937 (Solution proposée): custom_user : pouvoir définir qu’un attribu...https://dev.entrouvert.org/issues/869372024-02-14T08:35:53ZPaul Marillonnet
<p>Toujours dans la logique de préférences définissables par l’usager, qui ne sont pas au petit bonheur la chance mais plutôt à choisir parmi une liste établie à l’avance.<br />L’interface qui permet la sélection des valeurs doit aussi offrir l’option “Toutes ces options”.</p> Authentic 2 - Development #86671 (Solution proposée): /accounts/ : offrir un affichage en lecture...https://dev.entrouvert.org/issues/866712024-02-07T10:18:24ZPaul Marillonnet
<p>Au moins dans un premier temps, où on permettrait une visualisation sans forcément la possibilité d’éditer la liste des valeurs prises.</p> Authentic 2 - Development #86670 (Solution proposée): /api/users/ : gestion des attributs multiva...https://dev.entrouvert.org/issues/866702024-02-07T10:11:32ZPaul Marillonnet
<p>L’idée étant que des préférences de l’usager sont de tels attributs avec N choix parmi M, et que, bien que non visibles dans le /accounts/, il existerait néanmoins une page de portail pour la visualisation de ces attributs et un formulaire pour la (re)définition des valeurs prises.</p> Authentic 2 - Development #86663 (Solution proposée): idp_oidc : pouvoir fournir des claims issue...https://dev.entrouvert.org/issues/866632024-02-07T09:09:10ZPaul Marillonnet
<p>Actuellement je crée un attribut multiple de type str, j’y mets <code>['foo', 'bar', 'baz']</code>, et ce n’est pas une liste mais seulement la dernière valeur 'baz' qui se retrouve en claim et dans le dictionnaire user_info exposé par l’idp oidc. Il faudrait corriger cela.</p> Authentic 2 - Bug #86086 (Solution proposée): FileNotFoundError en cherchant à créer un fichier t...https://dev.entrouvert.org/issues/860862024-01-24T16:47:56ZSentry Io
<p><a class="external" href="https://sentry.entrouvert.org/entrouvert/publik/issues/116003/">https://sentry.entrouvert.org/entrouvert/publik/issues/116003/</a></p>
<pre>
FileNotFoundError: [Errno 2] No such file or directory: '/var/lib/authentic2-multitenant/tenants/.../media/user_imports/zqufzrvg7zaupozms33tow5pum/tmp0s9rr07q'
File "threading.py", line 892, in run
self._target(*self._args, **self._kwargs)
File "authentic2/manager/user_import.py", line 257, in thread_worker
data['duration'] = duration
File "contextlib.py", line 124, in __exit__
next(self.gen)
File "authentic2/manager/user_import.py", line 179, in data_update
with AtomicWriter(self.path, mode='wb', overwrite=True).open() as fd:
File "contextlib.py", line 117, in __enter__
return next(self.gen)
File "__init__.py", line 166, in _open
with get_fileobject(**self._open_kwargs) as f:
File "__init__.py", line 183, in get_fileobject
descriptor, name = tempfile.mkstemp(suffix=suffix, prefix=prefix,
File "tempfile.py", line 471, in mkstemp
return _mkstemp_inner(dir, prefix, suffix, flags, output_type)
File "tempfile.py", line 390, in _mkstemp_inner
fd = _os.open(file, flags, 0o600)
</pre> Authentic 2 - Development #76858 (Solution proposée): Ne pas utiliser de signature de next_url qu...https://dev.entrouvert.org/issues/768582023-04-20T22:53:31ZBenjamin Dauvergne
Dans le faits ça garantit juste que l'URL n'a pas été altéré et qu'elle provient bien de l'IdP:
<ul>
<li>mais on peut réutiliser la paire next/next-signature sur une autre URL</li>
<li>sans limitation dans le temps</li>
</ul>
<p>Le mieux c'est ne de plus utiliser les signatures là ou c'est possible (jeton) et pour les autres cas de rendre la signature spécifique via un sel (continue et logout).</p> Authentic 2 - Development #76835 (Solution proposée): empêcher le contrôle des redirections sur l...https://dev.entrouvert.org/issues/768352023-04-20T14:27:01ZBenjamin Dauvergne
<p>On nous rapporte dans un audit de sécurité qu'il y aurait un souci sur ce point.</p> Authentic 2 - Development #76542 (Solution proposée): utiliser hobo.multitenant.spoolerhttps://dev.entrouvert.org/issues/765422023-04-12T04:27:35ZBenjamin Dauvergne
<p>Comme les autres, cf. <a class="issue tracker-2 status-12 priority-4 priority-default" title="Development: uwsgidecorators: corriger le passage des paramètres au spooler, et ne faire un spooler universel (Solution proposée)" href="https://dev.entrouvert.org/issues/76423">#76423</a>.</p> Authentic 2 - Development #76359 (Solution proposée): client d'API : afficher aussi les rôles obt...https://dev.entrouvert.org/issues/763592023-04-06T16:10:03ZThomas Noël
<p>sur la page d'un client d'API on voit la liste des rôles qu'on lui attribue :</p>
<pre>
* Rôles :
* xxx
* yyy
</pre>
<p>On pourrait ajouter en dessous la liste des rôles obtenus par héritage<br /><pre>
* Rôles :
* xxx
* yyy
* Rôles obtenus par héritage :
* zzz
* aaa
* bbb
</pre></p>
<p>et/ou avoir aussi un lien sur chaque rôle, renvoyant vers la page de celui-ci.</p> Authentic 2 - Development #76224 (Solution proposée): /manage/, configuration service oidc, perme...https://dev.entrouvert.org/issues/762242023-04-04T13:40:20ZFrédéric Pétersfpeters@entrouvert.com
<p>Actuellement c'est juste généré à la création, il faudrait pouvoir les modifier, avec peut-être pour client_secret du code pour la génération automatique d'un nouveau secret.</p> Authentic 2 - Development #75205 (Solution proposée): Poser la permission custom_user.search_user...https://dev.entrouvert.org/issues/752052023-03-07T13:30:20ZBenjamin Dauvergne
<p>Ça donne trop de permissions. Il faut vérifier au passage que les vues select2 ne nécessite que la permission search.</p> Authentic 2 - Development #67986 (Solution proposée): Valeurs prédéfinies pour les conditions d'a...https://dev.entrouvert.org/issues/679862022-08-05T12:21:37ZFrédéric Pétersfpeters@entrouvert.com
<p>Aujourd'hui on a une saisie libre d'une condition et le jeu est de chercher dans quelques déploiements pour copier/coller une condition qui correspond, type <code>'backoffice' in login_hint or remote_addr in dnsbl('ddns.entrouvert.org')</code>.</p>
<p>Je pense qu'on pourrait gagner à avoir au niveau de l'interface des valeurs prédéfinies, "accès back uniquement", "accès front uniquement", en plus d'une option "autre:" qui serait la saisie libre.</p>
<p>Je me dis que ça pourrait passer par deux fonctions supplémentaires, que les conditions pourraient ainsi être écrites is_for_backoffice() / is_for_frontoffice(), et ces fonctions regarderaient dans les settings pour avoir la condition à tester; ex:</p>
<pre>
A2_WHATEVER = {
"backoffice": "'backoffice' in login_hint or remote_addr in dnsbl('ddns.entrouvert.org')",
"frontoffice": "'backoffice' in login_hint or remote_addr in dnsbl('ddns.entrouvert.org')",
}
</pre>
<p>Ça permet</p>
<ul>
<li>1/ comme paramètre d'avoir très souvent quelque chose de simple et unique, is_for_backoffice(),</li>
<li>2/ et donc dans l'UI d'avoir ces deux cas gérés via <select>,</li>
<li>3/ d'adapter la condition quand ce qui nous correspond évolue, par exemple si on veut ajouter <code>or 'X-Entrouvert' in headers</code>.</li>
<li>4/ d'enfin obtenir une configuration identique partout.</li>
</ul> Authentic 2 - Development #40685 (Solution proposée): squash des migrationshttps://dev.entrouvert.org/issues/406852020-03-12T11:40:20ZBenjamin Dauvergne
<p>En utilisant django-replace-migrations plutôt que la commande Django qui est difficile à utiliser en cas dépendances croisées (on pourra travailler à limiter ces dépendances ensuite, une fois les migrations nettoyées).</p> Authentic 2 - Development #15146 (Solution proposée): API de génération d'un lien de connexion au...https://dev.entrouvert.org/issues/151462017-02-24T13:46:33ZBenjamin Renardbrenard@easter-eggs.com
<p>Le but est de permettre de générer des liens de connexion automatique pour un utilisateur donné. A l'aide de ce lien, il sera alors possible de se connecter en tant qu'un utilisateur donné sans avoir à fournir de login/mot de passe. Le lien généré peut inclure une URL de redirection automatique de l'utilisateur une fois celui-ci identifié. Le lien généré a une durée de validité déterminée au moment de la génération soit à l'aide d'une valeur passée en paramètre de l'API, soit à défaut à l'aide d'une valeur par défaut. Dans le patch proposé celle-ci est hard-codée (5 minutes) mais on pourrait imaginer un paramètre de configuration pour cela.</p>