Développement #32007
closedNiveau d'authentification et TOTP
0%
Description
Ticket pour mettre mes patches et avoir des avis, parce que des trucs commencent à marcher.
Pour l'instant c'est un peu fourre tout parce que les niveaux d'auth et TOTP devraient être dans des tickets séparés, mais les rassembler permet de tester plus facilement et de mieux se rendre compte du design.
Tout est interne à authentic, la partie ou les autres briques respectent les niveaux viendra plus tard.
Le fonctionnement d'authentification multifacteur visé :- Potentiellement plein de facteurs d'authentification, à hiérarchiser via des niveaux d'authentification.
Par ex, login/pass niveau 1, code sur téléphone niveau 2, scanneur d'iris niveau 42... - Dans authentic, on configure les endroits de publik qu'on estime critiques, et on y associe des niveaux d'authentification via les rôles.
Par ex un agent peut traiter des demandes mais aussi ajouter des utilisateurs, on mettra le rôle/la permission ajouter des utilisateurs niveau 2, et il pourra traiter des demandes normalement, mais devra s'identifier à l'aide d'un deuxième facteur pour gérer les utilisateurs.
Ça fonctionne avec les patches de ce ticket :
- créer un nouvel utilisateur, l'associer à un rôle de traitement de certaines demandes (ou d'administrateur d'une brique autre qu'authentic, n'importe quoi qui laisse faire quelque chose dans le backoffice)
- créer un deuxième rôle en mettant un niveau d'authentification de 2 dans le formulaire de création
- ajouter à ce rôle la permission pour créer des utilisateurs, et l'associer à l'utilisateur
- se connecter avec l'utilisateur, aller dans le backoffice (par ex authentic.dev.public.love/manage)
- le menu gadjo s'affiche bien, on peut aller sur wcs sans pb
- cliquer sur le bouton "utilisateurs" du backoffice: hop, on tombe sur le deuxième facteur
Bon et là arrive un premier problème, l'utilisateur doit se dire, pourquoi le monde est-il si cruel, je ne peux pas passer cette étape.
Je traiterai ça plus tard parce que la réponse n'est pas tranchée (l'obliger à configurer le deuxième facteur la première fois? lui laisser la responsabilité de le faire et le laisser passer tant que ce n'est pas fait?), en tout cas pour l'instant c'est bien inutile parce qu'il peut aller récupérer le QR code à tout moment sur son profil authentic, bonjour la sécurité.
Files