Development #60488: auth_oidc : strategie appairage sub -> email - Authentic 2 - Redmine Entr’ouvert

Development #60488

auth_oidc : strategie appairage sub -> email

Ajouté par Paul Marillonnet il y a plus de 2 ans. Mis à jour il y a plus de 2 ans.

Statut:

Nouveau

Priorité:

Normal

Assigné à:

Catégorie:

Version cible:

Début:

11 janvier 2022

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Oui

Planning:

Non

Description

Dans #60476 je suis parti dans une fausse piste en proposant cette solution, qui ne s’applique pas à ce ticket là si mais qui reste néanmoins une fonctionnalité intéressante (et cadrée par les spécs OIDC).
Aussi, ce serait le dual de ce qu’on a déjà dans la partie fournisseur OIDC, à savoir la fourniture de l’email dans le sub (POLICY_EMAIL).

Fichiers

0001-auth_oidc-add-a-sub-to-email-matching-strategy-60488.patch (5,07 ko) 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60488.patch

Paul Marillonnet, 11 janvier 2022 10:03

Historique

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Fichier 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60488.patch 0001-auth_oidc-add-a-sub-to-email-matching-strategy-60488.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

Mis à jour par Paul Marillonnet il y a plus de 2 ans

Statut changé de Solution proposée à Nouveau

Deux choses à éclaircir, après discussion dans le salon tech :
· il s’agit donc d’un sub que l’usager peut potentiellement modifier côté fournisseur OIDC ;
· on doit aussi sans doute tenir compte de la configuration de gestion de la casse des adresses de courriel dans a2 lors de la réception du sub.

Mis à jour par Benjamin Dauvergne il y a plus de 2 ans

Paul Marillonnet a écrit :

Deux choses à éclaircir, après discussion dans le salon tech :
· il s’agit donc d’un sub que l’usager peut potentiellement modifier côté fournisseur OIDC

Clairement ce mode est un cas exceptionnel à n'utiliser que pour l'authentification d'agents ou externes, pas les usagers, c'est trop casse gueule pour eux.

· on doit aussi sans doute tenir compte de la configuration de gestion de la casse des adresses de courriel dans a2 lors de la réception du sub.

Oui à prendre en compte dans le code de recherche de l'utilisateur, il faut juste changer email en email__iexact dans ton code.

Il y a aussi l'OU cible que tu ne prends pas en compte.

Mis à jour par Thomas Noël il y a plus de 2 ans

Benjamin Dauvergne a écrit :

Paul Marillonnet a écrit :

Deux choses à éclaircir, après discussion dans le salon tech :
· il s’agit donc d’un sub que l’usager peut potentiellement modifier côté fournisseur OIDC

Clairement ce mode est un cas exceptionnel à n'utiliser que pour l'authentification d'agents ou externes, pas les usagers, c'est trop casse gueule pour eux.

Comme j'aime bien poivrer les discussions, on a un exemple récent d'une ville qui change l'email de tous ses agents.

Ceci pour dire que ce patch est quand même bien théorique, cette fonctionnalité, jamais on ne va l'utiliser :)

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Authentic 2

Demandes

Rapports personnalisés