Produits Entr'ouvert » Authentic 2

Tu peux permettre un paramètre supplémentaire à la vue token pour ce besoin, ce n'est pas un souci, sinon tu testes tous les comptes concernés et tu prends le premier qui valide (ce que fait le backend je pense, à voir).

pouvoir restreindre d'un client ROPC à une OU donnée, et donc logiquement de (ii) lors de l'authentification de l'usager, restreindre l'ensemble d'usagers candidats pour l'authn à cette OU

Oui mais on n'a pas envie de devoir créer autant de client oidc qu'il y a d'OU d'utilisateurs.

La situation est vraiment la même que concernant l'écran de connexion où un <select> a été ajouté pour choisir une collectivité, mais dans l'API.

Sans sortir du cadre oidc, si jamais ajouter une clé au dictionnaire n'est pas autorié, ça peut aussi s'imaginer comme étant un realm ajouté à l'username.

(ce que fait le backend je pense, à voir).

oui ça prend le premier qui valide, le cas limite imaginé étant celui de la même personne dans deux OU, avec même email même mot de passe, et donc la demande de collectivité comme critère différenciant.

Frédéric Péters a écrit :

(ce que fait le backend je pense, à voir).

oui ça prend le premier qui valide, le cas limite imaginé étant celui de la même personne dans deux OU, avec même email même mot de passe, et donc la demande de collectivité comme critère différenciant.

On peut déprécier le support des realm¹ au niveau du username ou en tout cas pour le cas commun gérer en plus de ça comme un slug d'ou. Du code actuel le dernier usage des realm est dans le backend LDAP pour la construction du username par défaut mais ça peut très bien disparaître.

Dans ce cas la modification serait à faire les backends d'authentification par login et mot de passe : modèle et LDAP; coté LDAP ça veut dire matcher le '@<realm>' contre le slug de l'OU associé à la connexion LDAP (et pas contre le champ realm prévu).

PS: avant l'existence des OUs on avait la possibilité d'ajouter @{nimportekoi} à un username pour permettre à plusieurs personne d'avoir le même username, c'était les OUs du pauvre.

Frédéric Péters a écrit :

Oui mais on n'a pas envie de devoir créer autant de client oidc qu'il y a d'OU d'utilisateurs.

L'idée était bien sûr que les clients qui peuvent taper dans plusieurs OU ne soient pas liés à une OU en particulier (lien 0…* <-> 0…* voire 0…* <-> 0…1 entre respectivement clients et OU).

Mais l'idée de Benj de rajouter simplement un paramètre à la vue token me va très bien, je vais partir là-dessus.

Paul Marillonnet a écrit :

Mais l'idée de Benj de rajouter simplement un paramètre à la vue token me va très bien, je vais partir là-dessus.

• ajouter un paramètre ou* à la vue token
• gérer le suffix @<ou_slug> dans les backends d'authent

Choisis celui que tu veux (je trouve le suffixe pas si mal, ça permet aussi d'avoir ça en front quand on oublie d'activer le sélecteur d'OU, mais il y a peut-être des inconvénients que je n'imagine pas).

Tu peux virer le warning, personne ne s'attendra à ce que ça marche en flow SSO classique (à vrai dire credential grant ne semble pas vraiment faire partie d'OIDC, ils l'ont gardé parce que c'était dans OAUTH2 mais le rapport est faible).