Development #33708
Multi-facteurs : interactions avec les SP
0%
Description
Suite de #33556, et dernier ticket de la série.
Il s'agit de permettre aux SP de profiter de l'authentification forte, tout en ayant le moins de boulot possible. On centralise donc la notion de niveau d'authentification dans authentic, et les SP ne connaissent pas ce concept.
À la place, on leur envoie la liste des rôles d'un utilisateur déjà tronquée en fonction de son niveau d'authentification connu par a2. Le SP peut ensuite demander des rôles supplémentaires via une requête SAML, et a2 traduira ça en une montée de niveau adéquate.
Todo : actuellement le SP ne sait pas quels rôles il peut demander, donc l'intérêt est limité. Dans le cadre de Publik il le sait grâce au provisionning, mais c'est trop spécifique. Reste donc à envoyer les rôles statiques en plus des rôles dynamiques dans la réponse SAML.
Fichiers
Demandes liées
Historique
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Fichier 0003-idp_saml-handle-authentication-level-increase-reques.patch 0003-idp_saml-handle-authentication-level-increase-reques.patch ajouté
- Fichier 0001-attributes_ng-limit-roles-depending-on-authenticatio.patch 0001-attributes_ng-limit-roles-depending-on-authenticatio.patch ajouté
- Fichier 0002-django_rbac-annotate-roles-with-actual-auth-level-gi.patch 0002-django_rbac-annotate-roles-with-actual-auth-level-gi.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Lié à Development #32376: Introduire une distinction entre rôles statiques et dynamiques ajouté
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Fichier 0004-attributes_ng-retrieve-both-static-and-session-roles.patch 0004-attributes_ng-retrieve-both-static-and-session-roles.patch ajouté
Valentin Deniaud a écrit :
Todo : actuellement le SP ne sait pas quels rôles il peut demander, donc l'intérêt est limité. Dans le cadre de Publik il le sait grâce au provisionning, mais c'est trop spécifique. Reste donc à envoyer les rôles statiques en plus des rôles dynamiques dans la réponse SAML.
Chose permise par ce patch. À voir si on veut envoyer les rôles statiques en renfort du provisionning, quoi qu'il en soit ça sera à faire dans hobo.
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Fichier 0005-models-mind-auth-level-at-service-access-authorizati.patch 0005-models-mind-auth-level-at-service-access-authorizati.patch ajouté
Petit patch qui permet d'activer le multi-facteurs sur un service en particulier.
Mis à jour par Valentin Deniaud il y a environ 4 ans
- Statut changé de Solution proposée à Nouveau
- Assigné à
Valentin Deniaudsupprimé