Project

General

Profile

Support #50138

gérer le cas ou plusieurs comptes matchent les critères de LOOKUP_BY_ATTRIBUTES

Added by Serghei Mihai 12 days ago. Updated 8 days ago.

Status:
Information nécessaire
Priority:
Normal
Assignee:
-
Target version:
-
Start date:
14 Jan 2021
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Un agent qui a plusieurs comptes avec le même mail dans Publik et se fédére avec la l'IDP de la collectivité ou il a cette même adresse mail, arrive sur Publik avec un compte nouveau, alors qu'il s'attendrait d'être lié à un des comptes existants (et retrouver les rôles qui y ont été associés).

La critères définis dans LOOKUP_BY_ATTRIBUTES pourraient être plus explicites, mais s'ils ne le sont pas seul un warning est levé dans les logs:

            logger.warning('looking for user by attributes %r: too many users found(%d), failing',
                           lookup_by_attributes, len(users))

et un nouveau compte est créé.

On pourrait lier systématiquement à un des comptes locaux trouvés (le premier?) et avoir un setting qui désactive cela.

History

#2

Updated by Benjamin Dauvergne 12 days ago

  • Status changed from Nouveau to Information nécessaire

On a éclaircir le problème du client d'abord avant de vouloir écrire du code, on a deux LDAP et un IdP SAML, a priori je ne connais pas les liens entre eux.

#4

Updated by Serghei Mihai 8 days ago

Constaté de nouveau sur l'instance de Villeurbanne, où 2 comptes (issus de l'annuaire, dans la même OU) ont le même mail.

#5

Updated by Nicolas Roche 8 days ago

(J'ai un peu peur d'embrouiller le ticket avec une problématique qui n'a rien à voir : 2 adfs. Dans #44499 on a conclu que finalement c'est plutôt bien qu'un agent puisse avoir 2 casquettes ; ici se serait : être connecté depuis la mairie ou depuis l'extérieur.)

#6

Updated by Benjamin Dauvergne 8 days ago

Le problèmes ce n'est pas n LDAP, ou n ADFS, c'est est-ce que l'annuaire derrière tout ça est le même et donc même compte, et donc on peut trouver un identifiant commun à mettre dans un attribut pour activer LOOKUP_BY_ATTRIBUTES ou bien non. Autre chose, dans le cas où on a provisionning via LDAP + ADFS, il faut désactiver la création dans la configuration Mellon, comme ça impossible de créer un compte différent de ceux dans le LDAP.

Constaté de nouveau sur l'instance de Villeurbanne, où 2 comptes (issus de l'annuaire, dans la même OU) ont le même mail.

Donc 2 comptes du même annuaire ont le même mail ? Donc le mail n'est pas le bon attribut pour raccorder à l'ADFS, utilisons le sAMAccountName qui ne peut être commun, si on a une forêt au cul de l'ADFS (i.e. plusieurs annuaire et donc sAMAccountName commun possible) alors il utiliser UserPrincipalName qui lui sera unique car incluant le domaine.

#7

Updated by Serghei Mihai 8 days ago

Benjamin Dauvergne a écrit :

Donc 2 comptes du même annuaire ont le même mail ? Donc le mail n'est pas le bon attribut pour raccorder à l'ADFS, utilisons le sAMAccountName qui ne peut être commun, si on a une forêt au cul de l'ADFS (i.e. plusieurs annuaire et donc sAMAccountName commun possible) alors il utiliser UserPrincipalName qui lui sera unique car incluant le domaine.

Mille fois d'accord avec toi, mais lorsque malgré des critères de recherche poussés on tombe sur plusieurs comptes il ne faut pas en créer un nouveau, IMO, quitte à s'arrêter et lever une erreur (genre plusieurs comptes existent, blah blah. Contactez votre admin pour qu'il revoie les critères).

Also available in: Atom PDF