Project

General

Profile

Development #19853

Provisionning "full"

Added by Thomas Noël over 2 years ago. Updated over 1 year ago.

Status:
Fermé
Priority:
Normal
Assignee:
Benjamin Dauvergne
Category:
Gestion d'identité (Authentic)
Target version:
2019
Start date:
02 Nov 2017
Due date:
15 Dec 2017
% Done:

0%

Patch proposed:
Yes
Planning:
No
Demande du club utilisateur:

Description

Avoir les outils pour forcer un provisionning "full" des rôles et des utilisateurs, régulier et/ou exécutable à la demande.
  • quand on vient de créer/modifier/supprimer des rôles en masse, ou lors de modifications de l'arborescence des rôles
  • quand un nouveau SP arrive en cours de route
Piste citées lors de l'EOcamp Lyon 2017:
  • avec un rôle, envoyer la liste des UUID des usagers
  • provisionning "full" régulier = envoyer tous les rôles, puis les users (par paquets, genre authentic2.utils.batch() 50 par 50 dans le context Provisionning).
  • note : vérifier que tenant_command shell/runscript est bien encadré par le provisionning engine

0001-agent-authentic2-add-an-hobo_provision-command-19853.patch View (2.97 KB) Benjamin Dauvergne, 13 Apr 2018 04:49 PM

Related issues

Related to w.c.s. - Bug #13184: Ne pas émettre de 403 sur une requête à /api/user/forms avec un NameID inconnu Solution déployée 14 Sep 2016
Related to Publik - Development #13981: Avoir régulièrement un provisionning "full" des rôles Fermé 16 Nov 2016
Related to Hobo - Development #14155: Provisionning de masse des rôles Fermé 29 Nov 2016 31 Jan 2017

History

#1 Updated by Pierre Cros over 2 years ago

  • Assignee set to Benjamin Dauvergne

#2 Updated by Frédéric Péters over 2 years ago

  • Related to Bug #13184: Ne pas émettre de 403 sur une requête à /api/user/forms avec un NameID inconnu added

#3 Updated by Benjamin Dauvergne over 2 years ago

  • Due date set to 15 Dec 2017

#5 Updated by Frédéric Péters over 2 years ago

  • Related to Development #13981: Avoir régulièrement un provisionning "full" des rôles added

#6 Updated by Frédéric Péters over 2 years ago

Discussion GI Day, ça peut bien sûr passer par les messages celery actuel (ce qui est noté dans le ticket) mais on peut aussi imaginer inverser l'appel pour cette synchro de masse, que les modules appellent l'API d'authentic pour récupérer le nécessaire.

#7 Updated by Frédéric Péters about 2 years ago

#8 Updated by Frédéric Péters almost 2 years ago

Pour info, pour la partie rôles, j'ai maintenant sur le côté https://git.entrouvert.org/misc-fred.git/commit/?id=1cdca2c88cecf09fe34657760dc915feb0c4f509

#9 Updated by Benjamin Dauvergne almost 2 years ago

Testé en live sur authentic.dev (il y est toujours si vous voulez jouer), je veux bien des idées de test parce que là j'ai trouvé plus simple de tester directement sur le tenant authentic-devmo.dev.entrouvert.org.

Je batch les utilisateurs par paquet de 512 en séparant les utilisateurs normaux des utilisateurs ayant un rôle admin parce que ces derniers ne peuvent être provisionnés en masse actuellement.

On peut tenter d'aller jusqu'à du vrai full pour les utilisateurs, notamment pour supprimer les utilisateurs ayant disparus. Je ne sais pas si ça vaut la peine ou s'il vaut mieux développer quelque chose de plus simple comme l'envoi de tous les uuids.

#10 Updated by Benjamin Dauvergne almost 2 years ago

Ne pas relire ce ticket ici, mais sur le ticket hobo lié.

#11 Updated by Frédéric Péters almost 2 years ago

  • Status changed from Nouveau to Résolu (à déployer)

Mic mac dans les numéros de ticket et redmine pas suivi.

commit f31d522206397a9e8a849e53cf8e8aceac65b6a2
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date:   Fri Apr 13 16:30:12 2018 +0200

    agent/authentic2: add an hobo_provision command (#19853)

    To provision all users or roles, the role provisionning is full, i.e. it
    removes old roles. The user provisionning is not currently.

#12 Updated by Frédéric Péters over 1 year ago

  • Status changed from Résolu (à déployer) to Fermé

Also available in: Atom PDF