Project

General

Profile

Support #57494

auth_fc: situations ou un compte appairé est retourné avec un sub différent

Added by Serghei Mihai almost 3 years ago. Updated almost 3 years ago.

Status:
Nouveau
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
01 October 2021
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Lors des changements de nom de domaine d'authentic (de Publik) on déclare à la DINUM la nouvelle URL.
Dans le cas idéal la DINUM met à jour l'url au niveau du déploiement existant et tout va bien.

Mais on n'est pas à l'abri de la situation où la DINUM déclare l'authentic avec le nouveau nom de domaine comme un nouveau RP. Et donc des subs différents pour les comptes des usagers déjà fédérés.
Aujourd'hui on bloque l'usager en affichant un warning si l'appairage FC avec l'adresse mail existe mais que FC retourne un nouveau sub.

On pourrait envisager un setting activable après le changement du nom de domaine, qui permet de mettre à jour le sub sur la base du mail sans bloquer l'usager.

History

#1

Updated by Benjamin Dauvergne almost 3 years ago

Non non non, il ne faut pas faire ça, il faut se fâcher tout rouge si la DINUM change nos subs, c'est comme si on changeait les NameID et qu'on disait à nos clients de se débrouiller pour mettre à jour la correspondance dans toutes nos briques. C'est interdit de faire des choses pareils.

#2

Updated by Paul Marillonnet almost 3 years ago

En théorie si on se réfère au specs OIDC, les sub peuvent dans certains cas changer en cas de changement de domaine :

If the Client has not provided a value for sector_identifier_uri in Dynamic Client Registration [OpenID.Registration], the Sector Identifier used for pairwise identifier calculation is the host component of the registered redirect_uri.

https://openid.net/specs/openid-connect-core-1_0.html#PairwiseAlg

#3

Updated by Benjamin Dauvergne almost 3 years ago

Paul Marillonnet a écrit :

En théorie si on se réfère au specs OIDC, les sub peuvent dans certains cas changer en cas de changement de domaine :
[...]
https://openid.net/specs/openid-connect-core-1_0.html#PairwiseAlg

C'est du paramétrage, si tu changes le paramétrage, sûr c'est possible que les subs changent, il faut juste ne pas le faire, c'est pas prévu et ça n'a aucun rapport, de plus c'est un détail d'implémentation, ça ne fait pas partie de ce qui est normatif, chaque OP peut bien produire les subs comme il veut, s'il veut casser le fonctionnement de ses RPs tant pis pour lui.

Also available in: Atom PDF