Project

General

Profile

Development #55124

possibilité d'obtenir l'assertion SAML retournée par un IdP tiers

Added by Frédéric Péters 3 months ago. Updated about 2 months ago.

Status:
Rejeté
Priority:
Normal
Category:
-
Target version:
-
Start date:
23 Jun 2021
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Ce n'est pas possible ou compliqué aujourd'hui et ça fait des séances de configuration où on tatonne et demande à répétition de tester.

De ce constat ce ticket pour avoir le détail de l'assertion dans les logs, ou intégrée dans le journal en donnée complétementaire à la ligne marquant un SSO de l'utilisateur, ou autre chose.

History

#1

Updated by Valentin Deniaud 3 months ago

  • Assignee set to Valentin Deniaud
#2

Updated by Valentin Deniaud 3 months ago

Cette partie se passe dans mellon, et en fait c'est presque déjà loggé, #14056 :

+        self.log.info('Got SAML Artifact Response', extra={'saml_response': result.content})

Mais le extra fait que ça n'apparaît que si on a dans l'application un format de log spécifique qui utilise saml_response. Je n'ai pas trouvé trace de ça, même dans le plugin fedict pour lequel ça avait semble-t-il était fait.

Et dans ce ticket il y a débat sur l'encombrement des logs par cette info, c'est vrai qu'à minima on ne voudrait ça que dans les logs a2 et pas dans les autres briques. On pourrait s'en sortir en gardant le code mellon tel qu'il est et faire que la config de log d'authentic exploite l'info contenue dans extra ?

#3

Updated by Benjamin Dauvergne 3 months ago

C'est effectivement peu pratique d'avoir à regarder les logs, je pencherai plutôt pour une vue de debug accessible quand on est superadmin, ça reprendrait globalement le code de la vu de login sauf la partie qui pose l'utilisateu ne session, ça ferait un rendu de tout ce qui est obtenu (attributs / assertions) dans une page HTML, qu'en penses-tu ?

Au passage on peut virer le log de l'assertion dans extra.

#4

Updated by Valentin Deniaud 3 months ago

Benjamin Dauvergne a écrit :

qu'en penses-tu ?

Ça me va, j'ai créé #55557. Par rapport à logger l'assertion tout le temps on perd juste la possibilité de faire un diff si un problème apparaît tout d'un coup.

#5

Updated by Benjamin Dauvergne 3 months ago

Valentin Deniaud a écrit :

Benjamin Dauvergne a écrit :

qu'en penses-tu ?

Ça me va, j'ai créé #55557. Par rapport à logger l'assertion tout le temps on perd juste la possibilité de faire un diff si un problème apparaît tout d'un coup.

Ok, on peut aussi mettre l'assertion dans les logs et puis voilà alors, sans passer par extra, c'est juste gros et pas très lisible.

#6

Updated by Benjamin Dauvergne about 2 months ago

  • Status changed from Nouveau to Rejeté

Rejeté au profit de #55557 via une vue sur {idp_url}/accounts/saml/login/debug/, nécessite DEBUG = True.

Also available in: Atom PDF