Development #60476
stratégie oidc "utiliser l'email pour trouver un utilisateur grâce à son email"
0%
Description
En "stratégie" pour un fournisseur oidc on a
- utiliser l’identifiant technique (sub) pour trouver un utilisateur grâce à son UUID
- utiliser l’identifiant technique (sub) pour trouver un utilisateur grâce à son identifiant
il serait utile d'avoir une possibilité de match par l'adresse email.
Fichiers
Révisions associées
Historique
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Fichier 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60476.patch 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60476.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Je propose une solution en miroir de ce qui est fait dans idp_oidc
(et qui reste conforme aux spécifications), c’est-à-dire que cela gère le cas où le sub servi par le fournisseur est l’email.
Est-ce que ça adresse bien le cas qui motivait la création du ticket ?
Mis à jour par Frédéric Péters il y a plus de 2 ans
Non c'est vraiment "utiliser l'email pour trouver..." et pas "utiliser le sub pour trouver..." qu'il faudrait.
La situation iMio est la bascule des agents des plateformes locales vers un "Wallonie Connect Agents", c'est un pseudonyme qui est utilisé comme sub entre les plateformes, l'email est "juste" un attribut.
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Statut changé de Solution proposée à Information nécessaire
Et le comportement STRATEGY_CREATE
par défaut ne convient pas ? -> https://git.entrouvert.org/authentic.git/tree/src/authentic2_auth_oidc/backends.py#n251
Après réflexion je ne vois pas trop ce qu’on peut faire de mieux, on a déjà la résolution des attributs avec expressions de gabarit, depuis des claims possiblement retrouvées depuis l’endpoint user_info
si nécessaire.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
Oui de fait quand l'OU cible est configuré pour l'unicité de l'adresse de courriel alors en mode "strategy_create" le dédoublonnage sur le mail est fait implicitement; les autres stratégies supposent le provisionning déjà fait par ailleurs (via LDAP ou autre).
Mis à jour par Frédéric Péters il y a plus de 2 ans
Et le comportement STRATEGY_CREATE par défaut ne convient pas ?
J'ai lu "création" et je me suis dit "je ne veux pas de création".
Mis à jour par Paul Marillonnet il y a plus de 2 ans
Frédéric Péters a écrit :
Et le comportement STRATEGY_CREATE par défaut ne convient pas ?
J'ai lu "création" et je me suis dit "je ne veux pas de création".
Oui je t’accorde que ça porte à confusion, il faut lire "création si la tentative d’appairage standard sur un compte existant n’aboutit pas" :)
Mis à jour par Frédéric Péters il y a plus de 2 ans
S'il y a appairage par email c'est très bien (je dois aussi avoir été trompé par un @entrouvert.com vs @entrouvert.org).
Mis à jour par Frédéric Péters il y a plus de 2 ans
De fait j'ai été trompé par le nom de l'option + une différence dans l'adresse.
(le ticket peut être rejeté, ou bien on se dit que l'option pourrait être un tout petit peu reformulée quand même)
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Fichier 0001-auth_oidc-relabel-STRATEGY_CREATE-option-for-disambi.patch 0001-auth_oidc-relabel-STRATEGY_CREATE-option-for-disambi.patch ajouté
- Statut changé de Information nécessaire à Solution proposée
Frédéric Péters a écrit :
De fait j'ai été trompé par le nom de l'option + une différence dans l'adresse.
(le ticket peut être rejeté, ou bien on se dit que l'option pourrait être un tout petit peu reformulée quand même)
Oui, on peut reformuler.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Statut changé de Solution proposée à Solution validée
- Assigné à mis à Paul Marillonnet
Tu peux directement corriger la traduction dans un commit à part "update translation".
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 2795a2e70604f4c10d0498bd1c0b2b572b5bfc3f Author: Paul Marillonnet <pmarillonnet@entrouvert.com> Date: Tue Jan 11 10:25:24 2022 +0100 auth_oidc: relabel STRATEGY_CREATE option for disambiguation (#60476)
(poussé avec la traduction juste derrière)
Mis à jour par Frédéric Péters il y a plus de 2 ans
- Statut changé de Résolu (à déployer) à Solution déployée
auth_oidc: relabel STRATEGY_CREATE option for disambiguation (#60476)