Development #55124
possibilité d'obtenir l'assertion SAML retournée par un IdP tiers
0%
Description
Ce n'est pas possible ou compliqué aujourd'hui et ça fait des séances de configuration où on tatonne et demande à répétition de tester.
De ce constat ce ticket pour avoir le détail de l'assertion dans les logs, ou intégrée dans le journal en donnée complétementaire à la ligne marquant un SSO de l'utilisateur, ou autre chose.
Historique
Mis à jour par Valentin Deniaud il y a presque 3 ans
Cette partie se passe dans mellon, et en fait c'est presque déjà loggé, #14056 :
+ self.log.info('Got SAML Artifact Response', extra={'saml_response': result.content})
Mais le extra fait que ça n'apparaît que si on a dans l'application un format de log spécifique qui utilise saml_response. Je n'ai pas trouvé trace de ça, même dans le plugin fedict pour lequel ça avait semble-t-il était fait.
Et dans ce ticket il y a débat sur l'encombrement des logs par cette info, c'est vrai qu'à minima on ne voudrait ça que dans les logs a2 et pas dans les autres briques. On pourrait s'en sortir en gardant le code mellon tel qu'il est et faire que la config de log d'authentic exploite l'info contenue dans extra ?
Mis à jour par Benjamin Dauvergne il y a presque 3 ans
C'est effectivement peu pratique d'avoir à regarder les logs, je pencherai plutôt pour une vue de debug accessible quand on est superadmin, ça reprendrait globalement le code de la vu de login sauf la partie qui pose l'utilisateu ne session, ça ferait un rendu de tout ce qui est obtenu (attributs / assertions) dans une page HTML, qu'en penses-tu ?
Au passage on peut virer le log de l'assertion dans extra.
Mis à jour par Valentin Deniaud il y a presque 3 ans
Benjamin Dauvergne a écrit :
qu'en penses-tu ?
Ça me va, j'ai créé #55557. Par rapport à logger l'assertion tout le temps on perd juste la possibilité de faire un diff si un problème apparaît tout d'un coup.
Mis à jour par Benjamin Dauvergne il y a presque 3 ans
Valentin Deniaud a écrit :
Benjamin Dauvergne a écrit :
qu'en penses-tu ?
Ça me va, j'ai créé #55557. Par rapport à logger l'assertion tout le temps on perd juste la possibilité de faire un diff si un problème apparaît tout d'un coup.
Ok, on peut aussi mettre l'assertion dans les logs et puis voilà alors, sans passer par extra, c'est juste gros et pas très lisible.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Statut changé de Nouveau à Rejeté
Rejeté au profit de #55557 via une vue sur {idp_url}/accounts/saml/login/debug/
, nécessite DEBUG = True
.