Développement #33708
Multi-facteurs : interactions avec les SP
0%
Description
Suite de #33556, et dernier ticket de la série.
Il s'agit de permettre aux SP de profiter de l'authentification forte, tout en ayant le moins de boulot possible. On centralise donc la notion de niveau d'authentification dans authentic, et les SP ne connaissent pas ce concept.
À la place, on leur envoie la liste des rôles d'un utilisateur déjà tronquée en fonction de son niveau d'authentification connu par a2. Le SP peut ensuite demander des rôles supplémentaires via une requête SAML, et a2 traduira ça en une montée de niveau adéquate.
Todo : actuellement le SP ne sait pas quels rôles il peut demander, donc l'intérêt est limité. Dans le cadre de Publik il le sait grâce au provisionning, mais c'est trop spécifique. Reste donc à envoyer les rôles statiques en plus des rôles dynamiques dans la réponse SAML.
Files
Related issues
History
Updated by Valentin Deniaud over 5 years ago
- File 0003-idp_saml-handle-authentication-level-increase-reques.patch 0003-idp_saml-handle-authentication-level-increase-reques.patch added
- File 0001-attributes_ng-limit-roles-depending-on-authenticatio.patch 0001-attributes_ng-limit-roles-depending-on-authenticatio.patch added
- File 0002-django_rbac-annotate-roles-with-actual-auth-level-gi.patch 0002-django_rbac-annotate-roles-with-actual-auth-level-gi.patch added
- Status changed from Nouveau to Solution proposée
- Patch proposed changed from No to Yes
Updated by Valentin Deniaud over 5 years ago
- Related to Développement #32376: Introduire une distinction entre rôles statiques et dynamiques added
Updated by Valentin Deniaud over 5 years ago
- File 0004-attributes_ng-retrieve-both-static-and-session-roles.patch 0004-attributes_ng-retrieve-both-static-and-session-roles.patch added
Valentin Deniaud a écrit :
Todo : actuellement le SP ne sait pas quels rôles il peut demander, donc l'intérêt est limité. Dans le cadre de Publik il le sait grâce au provisionning, mais c'est trop spécifique. Reste donc à envoyer les rôles statiques en plus des rôles dynamiques dans la réponse SAML.
Chose permise par ce patch. À voir si on veut envoyer les rôles statiques en renfort du provisionning, quoi qu'il en soit ça sera à faire dans hobo.
Updated by Valentin Deniaud over 5 years ago
- File 0005-models-mind-auth-level-at-service-access-authorizati.patch 0005-models-mind-auth-level-at-service-access-authorizati.patch added
Petit patch qui permet d'activer le multi-facteurs sur un service en particulier.
Updated by Valentin Deniaud almost 5 years ago
- Status changed from Solution proposée to Nouveau
- Assignee deleted (
Valentin Deniaud)