Project

General

Profile

Development #65877

idp_oidc : les hooks de l’api /users/ doivent tenir compte de la résolution des claims lorsque l’appelant est un client oidc connu

Added by Paul Marillonnet about 2 years ago. Updated over 1 year ago.

Status:
En cours
Priority:
Normal
Category:
-
Target version:
-
Start date:
01 June 2022
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

Déjà un bon début dans le plugin GL : la résolution est en dur dans le code car on connaît à coup sûr l’unique config de mapping de attribut du profil -> claim oidc.
Ici, et suite à #62710, il faudrait généraliser un peu pour re-générer les valeurs des claims en fonction de cette config.


Files


Related issues

Related to Authentic 2 - Development #62710: rapatriement du script client de synchronisation depuis le plugin authentic2-gnm vers auth_oidcFermé13 March 2022

Actions
Related to Authentic 2 - Development #65890: idp_oidc: tolérer la synchro pour les clients en identifier_policy:=POLICY_UUIDNouveau01 June 2022

Actions
Related to Authentic 2 - Development #65942: idp_oidc : un client ayant accès à l’/api/users/ ne doit avoir accès qu’aux usagers s’étant déjà connecté chez luiFermé02 June 2022

Actions
Related to Authentic 2 - Development #65943: idp_oidc : pour un usager donné, un client ayant accès à l’/api/users/ ne doit voir que les informations d’identité auxquelles il a accès dans la configuration oidcEn cours02 June 2022

Actions
Related to Authentic 2 - Development #66114: idp_oidc : effectuer systématiquement la réduction des informations retournées à un client en fonction des autorisations qu’il possèdeNouveau09 June 2022

Actions

History

#1

Updated by Paul Marillonnet about 2 years ago

  • Related to Development #62710: rapatriement du script client de synchronisation depuis le plugin authentic2-gnm vers auth_oidc added
#2

Updated by Paul Marillonnet about 2 years ago

Voilà pour cette partie, en reprenant la piste évoquée dans #62710-11, à savoir un flag claim_resolution passé en paramètre pour indiquer que le client souhaite que les attributs des usagers retournés par l’UsersAPI soient résolus en claims oidc.

#3

Updated by Paul Marillonnet about 2 years ago

  • Related to Development #65890: idp_oidc: tolérer la synchro pour les clients en identifier_policy:=POLICY_UUID added
#4

Updated by Paul Marillonnet about 2 years ago

Paul Marillonnet a écrit :

Voilà pour cette partie, en reprenant la piste évoquée dans #62710-11, à savoir un flag claim_resolution passé en paramètre pour indiquer que le client souhaite que les attributs des usagers retournés par l’UsersAPI soient résolus en claims oidc.

Et je me rends compte que dans le cas général, il ne faudrait servir que les usagers qui ont déjà effectué un SSO vers ce client. Je vais regarder, sans doute un autre ticket à venir.

#5

Updated by Paul Marillonnet about 2 years ago

  • Related to Development #65942: idp_oidc : un client ayant accès à l’/api/users/ ne doit avoir accès qu’aux usagers s’étant déjà connecté chez lui added
#6

Updated by Paul Marillonnet about 2 years ago

  • Related to Development #65943: idp_oidc : pour un usager donné, un client ayant accès à l’/api/users/ ne doit voir que les informations d’identité auxquelles il a accès dans la configuration oidc added
#7

Updated by Paul Marillonnet about 2 years ago

  • Related to Development #66114: idp_oidc : effectuer systématiquement la réduction des informations retournées à un client en fonction des autorisations qu’il possède added
#8

Updated by Paul Marillonnet about 2 years ago

  • Assignee set to Paul Marillonnet

(Oublié de m’assigner le ticket.)

#9

Updated by Benjamin Dauvergne over 1 year ago

Je ne comprends pas le besoin de claim_resolution, pourquoi le client OIDC aurait le choix ?

#10

Updated by Paul Marillonnet over 1 year ago

  • Status changed from Solution proposée to En cours

Benjamin Dauvergne a écrit :

Je ne comprends pas le besoin de claim_resolution, pourquoi le client OIDC aurait le choix ?

Oui tu as raison, je ne me souviens plus de la raison de ce choix, je vais retirer ça.

Also available in: Atom PDF