Projet

Général

Profil

Development #2083

Système configurable de filtrage selon attributs

Ajouté par Thomas Noël il y a plus de 11 ans. Mis à jour il y a presque 8 ans.

Statut:
Rejeté
Priorité:
Normal
Assigné à:
Thomas Noël
Catégorie:
-
Version cible:
Future version
Début:
04 décembre 2012
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Planning:

Description

À terme, le service "eduspot" filtrera les utilisateurs et n'acceptera pas tout le monde. Grosso modo, les IdP de la fédération devront retourner un attribut indiquant si l'accès wifi est autorisé ou pas.

Pour rendre cela souple et configurable, il faut intégrer un système de filtrage en fonction des attributs, configurable.

Mail original de Benoit B. (Paris 1) :

actuellement UnivNautes offre le service Eduspot à l'ensemble de la
population d'un établissement ayant un compte valide, quel que soit
son statut (étudiant, personnel, personnel affilié, ou simple invité
externe à l'établissement).

Certains établissements pourraient ne pas souhaiter offrir le service
eduspot à certaines catégories d'usagers (invités notamment).

-> offrir au fournisseur de service eduspot un attribut lui permettant
de décider s'il accorde ou non le service en fonction du statut de
l'usager (genre eduPersonAffiliation) ?

-> offrir au fournisseur d'identité la possibilité de décider si un de
ses usagers est éligible au service eduspot, par la fourniture d'un
attribut de type eduPersonEntitlement ?

Historique

#1

Mis à jour par Thomas Noël il y a plus de 11 ans

Idée de base :
  • avoir un dictionnaire "attributes" le plus clair possible
  • permettre l'écriture d'une petite fonction Python (True/False) dans l'interface pfSense
  • proposer une fonction par défaut
#2

Mis à jour par Thomas Noël il y a plus de 11 ans

  • Description mis à jour (diff)
#3

Mis à jour par Thomas Noël il y a plus de 11 ans

  • Version cible changé de Version "carte de France" à Future version
#4

Mis à jour par Thomas Noël il y a plus de 10 ans

  • Assigné à mis à Thomas Noël
#5

Mis à jour par Thomas Noël il y a plus de 10 ans

From Mike :

AuthSAML2 envoi le signal authz_decision avec en paramètre les attributs
reçus dans l'assertion.

En se connectant au signal, il suffit de renvoyer 'False' pour refuser
l'accès.

On doit pouvoir ajouter une fonction connectée au signal qui testerait
une valeur pour un attribut. Peut-être que via l'UI tu pourrais rendre
configurable l'activation de cette fonction, le nom de l'attribut et la
ou les valeurs à tester ?

#6

Mis à jour par Thomas Noël il y a presque 8 ans

  • Statut changé de Nouveau à Rejeté

Formats disponibles : Atom PDF