Project

General

Profile

Development #2083

Système configurable de filtrage selon attributs

Added by Thomas Noël over 6 years ago. Updated over 3 years ago.

Status:
Rejeté
Priority:
Normal
Assignee:
Category:
-
Target version:
Start date:
04 Dec 2012
Due date:
% Done:

0%

Patch proposed:
Planning:
No

Description

À terme, le service "eduspot" filtrera les utilisateurs et n'acceptera pas tout le monde. Grosso modo, les IdP de la fédération devront retourner un attribut indiquant si l'accès wifi est autorisé ou pas.

Pour rendre cela souple et configurable, il faut intégrer un système de filtrage en fonction des attributs, configurable.

Mail original de Benoit B. (Paris 1) :

actuellement UnivNautes offre le service Eduspot à l'ensemble de la
population d'un établissement ayant un compte valide, quel que soit
son statut (étudiant, personnel, personnel affilié, ou simple invité
externe à l'établissement).

Certains établissements pourraient ne pas souhaiter offrir le service
eduspot à certaines catégories d'usagers (invités notamment).

-> offrir au fournisseur de service eduspot un attribut lui permettant
de décider s'il accorde ou non le service en fonction du statut de
l'usager (genre eduPersonAffiliation) ?

-> offrir au fournisseur d'identité la possibilité de décider si un de
ses usagers est éligible au service eduspot, par la fourniture d'un
attribut de type eduPersonEntitlement ?

History

#1 Updated by Thomas Noël over 6 years ago

Idée de base :
  • avoir un dictionnaire "attributes" le plus clair possible
  • permettre l'écriture d'une petite fonction Python (True/False) dans l'interface pfSense
  • proposer une fonction par défaut

#2 Updated by Thomas Noël over 6 years ago

  • Description updated (diff)

#3 Updated by Thomas Noël over 6 years ago

  • Target version changed from Version "carte de France" to Future version

#4 Updated by Thomas Noël almost 6 years ago

  • Assignee set to Thomas Noël

#5 Updated by Thomas Noël almost 6 years ago

From Mike :

AuthSAML2 envoi le signal authz_decision avec en paramètre les attributs
reçus dans l'assertion.

En se connectant au signal, il suffit de renvoyer 'False' pour refuser
l'accès.

On doit pouvoir ajouter une fonction connectée au signal qui testerait
une valeur pour un attribut. Peut-être que via l'UI tu pourrais rendre
configurable l'activation de cette fonction, le nom de l'attribut et la
ou les valeurs à tester ?

#6 Updated by Thomas Noël over 3 years ago

  • Status changed from Nouveau to Rejeté

Also available in: Atom PDF