Project

General

Profile

Development #33708

Multi-facteurs : interactions avec les SP

Added by Valentin Deniaud 6 months ago. Updated 6 months ago.

Status:
Solution proposée
Priority:
Normal
Category:
-
Target version:
-
Start date:
05 Jun 2019
Due date:
% Done:

0%

Patch proposed:
Yes
Planning:
No

Description

Suite de #33556, et dernier ticket de la série.
Il s'agit de permettre aux SP de profiter de l'authentification forte, tout en ayant le moins de boulot possible. On centralise donc la notion de niveau d'authentification dans authentic, et les SP ne connaissent pas ce concept.
À la place, on leur envoie la liste des rôles d'un utilisateur déjà tronquée en fonction de son niveau d'authentification connu par a2. Le SP peut ensuite demander des rôles supplémentaires via une requête SAML, et a2 traduira ça en une montée de niveau adéquate.

Todo : actuellement le SP ne sait pas quels rôles il peut demander, donc l'intérêt est limité. Dans le cadre de Publik il le sait grâce au provisionning, mais c'est trop spécifique. Reste donc à envoyer les rôles statiques en plus des rôles dynamiques dans la réponse SAML.

0003-idp_saml-handle-authentication-level-increase-reques.patch View (5.13 KB) Valentin Deniaud, 05 Jun 2019 02:30 PM

0001-attributes_ng-limit-roles-depending-on-authenticatio.patch View (2.07 KB) Valentin Deniaud, 05 Jun 2019 02:30 PM

0002-django_rbac-annotate-roles-with-actual-auth-level-gi.patch View (3.25 KB) Valentin Deniaud, 05 Jun 2019 02:30 PM

0004-attributes_ng-retrieve-both-static-and-session-roles.patch View (2.77 KB) Valentin Deniaud, 13 Jun 2019 10:41 AM

0005-models-mind-auth-level-at-service-access-authorizati.patch View (8.92 KB) Valentin Deniaud, 21 Jun 2019 02:19 PM


Related issues

Related to django-mellon - Development #32376: Introduire une distinction entre rôles statiques et dynamiques Solution proposée 16 Apr 2019

History

#2 Updated by Valentin Deniaud 6 months ago

  • Related to Development #32376: Introduire une distinction entre rôles statiques et dynamiques added

#3 Updated by Valentin Deniaud 6 months ago

Valentin Deniaud a écrit :

Todo : actuellement le SP ne sait pas quels rôles il peut demander, donc l'intérêt est limité. Dans le cadre de Publik il le sait grâce au provisionning, mais c'est trop spécifique. Reste donc à envoyer les rôles statiques en plus des rôles dynamiques dans la réponse SAML.

Chose permise par ce patch. À voir si on veut envoyer les rôles statiques en renfort du provisionning, quoi qu'il en soit ça sera à faire dans hobo.

#4 Updated by Valentin Deniaud 6 months ago

Petit patch qui permet d'activer le multi-facteurs sur un service en particulier.

Also available in: Atom PDF