Development #60476: stratégie oidc "utiliser l'email pour trouver un utilisateur grâce à son email" - Authentic 2 - Redmine Entr’ouvert

Development #60476

stratégie oidc "utiliser l'email pour trouver un utilisateur grâce à son email"

Ajouté par Frédéric Péters il y a plus de 2 ans. Mis à jour il y a plus de 2 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Paul Marillonnet

Catégorie:

Version cible:

Début:

11 janvier 2022

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Oui

Planning:

Non

Description

En "stratégie" pour un fournisseur oidc on a

utiliser l’identifiant technique (sub) pour trouver un utilisateur grâce à son UUID
utiliser l’identifiant technique (sub) pour trouver un utilisateur grâce à son identifiant

il serait utile d'avoir une possibilité de match par l'adresse email.

Fichiers

0001-auth_oidc-add-a-sub-to-email-matching-strategy-60476.patch (4,28 ko) 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60476.patch		Paul Marillonnet, 11 janvier 2022 09:25
0001-auth_oidc-relabel-STRATEGY_CREATE-option-for-disambi.patch (1,84 ko) 0001-auth_oidc-relabel-STRATEGY_CREATE-option-for-disambi.patch		Paul Marillonnet, 11 janvier 2022 10:27

Révisions associées

Révision 2795a2e7 (diff)
Ajouté par Paul Marillonnet il y a plus de 2 ans

auth_oidc: relabel STRATEGY_CREATE option for disambiguation (#60476)

Historique

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Fichier 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60476.patch 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60476.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

Je propose une solution en miroir de ce qui est fait dans idp_oidc (et qui reste conforme aux spécifications), c’est-à-dire que cela gère le cas où le sub servi par le fournisseur est l’email.
Est-ce que ça adresse bien le cas qui motivait la création du ticket ?

Mis à jour par Frédéric Péters il y a plus de 2 ans

Non c'est vraiment "utiliser l'email pour trouver..." et pas "utiliser le sub pour trouver..." qu'il faudrait.

La situation iMio est la bascule des agents des plateformes locales vers un "Wallonie Connect Agents", c'est un pseudonyme qui est utilisé comme sub entre les plateformes, l'email est "juste" un attribut.

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Statut changé de Solution proposée à Information nécessaire

Et le comportement STRATEGY_CREATE par défaut ne convient pas ? -> https://git.entrouvert.org/authentic.git/tree/src/authentic2_auth_oidc/backends.py#n251

Après réflexion je ne vois pas trop ce qu’on peut faire de mieux, on a déjà la résolution des attributs avec expressions de gabarit, depuis des claims possiblement retrouvées depuis l’endpoint user_info si nécessaire.

Mis à jour par Benjamin Dauvergne il y a plus de 2 ans

Oui de fait quand l'OU cible est configuré pour l'unicité de l'adresse de courriel alors en mode "strategy_create" le dédoublonnage sur le mail est fait implicitement; les autres stratégies supposent le provisionning déjà fait par ailleurs (via LDAP ou autre).

Mis à jour par Frédéric Péters il y a plus de 2 ans

Et le comportement STRATEGY_CREATE par défaut ne convient pas ?

J'ai lu "création" et je me suis dit "je ne veux pas de création".

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Frédéric Péters a écrit :

Et le comportement STRATEGY_CREATE par défaut ne convient pas ?

J'ai lu "création" et je me suis dit "je ne veux pas de création".

Oui je t’accorde que ça porte à confusion, il faut lire "création si la tentative d’appairage standard sur un compte existant n’aboutit pas" :)

Mis à jour par Frédéric Péters il y a plus de 2 ans

S'il y a appairage par email c'est très bien (je dois aussi avoir été trompé par un @entrouvert.com vs @entrouvert.org).

Mis à jour par Frédéric Péters il y a plus de 2 ans

De fait j'ai été trompé par le nom de l'option + une différence dans l'adresse.

(le ticket peut être rejeté, ou bien on se dit que l'option pourrait être un tout petit peu reformulée quand même)

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Fichier 0001-auth_oidc-relabel-STRATEGY_CREATE-option-for-disambi.patch 0001-auth_oidc-relabel-STRATEGY_CREATE-option-for-disambi.patch ajouté
Statut changé de Information nécessaire à Solution proposée

Frédéric Péters a écrit :

De fait j'ai été trompé par le nom de l'option + une différence dans l'adresse.

(le ticket peut être rejeté, ou bien on se dit que l'option pourrait être un tout petit peu reformulée quand même)

Oui, on peut reformuler.

#10

Mis à jour par Benjamin Dauvergne il y a plus de 2 ans

Statut changé de Solution proposée à Solution validée
Assigné à mis à Paul Marillonnet

Tu peux directement corriger la traduction dans un commit à part "update translation".

#11

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Statut changé de Solution validée à Résolu (à déployer)

commit 2795a2e70604f4c10d0498bd1c0b2b572b5bfc3f
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date:   Tue Jan 11 10:25:24 2022 +0100

    auth_oidc: relabel STRATEGY_CREATE option for disambiguation (#60476)

(poussé avec la traduction juste derrière)

#12

Mis à jour par Frédéric Péters il y a plus de 2 ans

Statut changé de Résolu (à déployer) à Solution déployée

#13

Mis à jour par Transition automatique il y a environ 2 ans

Automatic expiration

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Authentic 2

Demandes

Rapports personnalisés