Development #65877
idp_oidc : les hooks de l’api /users/ doivent tenir compte de la résolution des claims lorsque l’appelant est un client oidc connu
0%
Description
Déjà un bon début dans le plugin GL : la résolution est en dur dans le code car on connaît à coup sûr l’unique config de mapping de attribut du profil -> claim oidc.
Ici, et suite à #62710, il faudrait généraliser un peu pour re-générer les valeurs des claims en fonction de cette config.
Files
Related issues
History
Updated by Paul Marillonnet 10 months ago
- Related to Development #62710: rapatriement du script client de synchronisation depuis le plugin authentic2-gnm vers auth_oidc added
Updated by Paul Marillonnet 10 months ago
- File 0001-idp_oidc-perform-claim-resolution-when-api-is-called.patch 0001-idp_oidc-perform-claim-resolution-when-api-is-called.patch added
- Status changed from Nouveau to Solution proposée
- Patch proposed changed from No to Yes
Voilà pour cette partie, en reprenant la piste évoquée dans #62710-11, à savoir un flag claim_resolution passé en paramètre pour indiquer que le client souhaite que les attributs des usagers retournés par l’UsersAPI soient résolus en claims oidc.
Updated by Paul Marillonnet 10 months ago
- Related to Development #65890: idp_oidc: tolérer la synchro pour les clients en identifier_policy:=POLICY_UUID added
Updated by Paul Marillonnet 10 months ago
Paul Marillonnet a écrit :
Voilà pour cette partie, en reprenant la piste évoquée dans #62710-11, à savoir un flag
claim_resolutionpassé en paramètre pour indiquer que le client souhaite que les attributs des usagers retournés par l’UsersAPIsoient résolus en claims oidc.
Et je me rends compte que dans le cas général, il ne faudrait servir que les usagers qui ont déjà effectué un SSO vers ce client. Je vais regarder, sans doute un autre ticket à venir.
Updated by Paul Marillonnet 10 months ago
- Related to Development #65942: idp_oidc : un client ayant accès à l’/api/users/ ne doit avoir accès qu’aux usagers s’étant déjà connecté chez lui added
Updated by Paul Marillonnet 10 months ago
- Related to Development #65943: idp_oidc : pour un usager donné, un client ayant accès à l’/api/users/ ne doit voir que les informations d’identité auxquelles il a accès dans la configuration oidc added
Updated by Paul Marillonnet 10 months ago
- Related to Development #66114: idp_oidc : effectuer systématiquement la réduction des informations retournées à un client en fonction des autorisations qu’il possède added
Updated by Paul Marillonnet 9 months ago
- Assignee set to Paul Marillonnet
(Oublié de m’assigner le ticket.)
Updated by Benjamin Dauvergne 4 months ago
Je ne comprends pas le besoin de claim_resolution, pourquoi le client OIDC aurait le choix ?
Updated by Paul Marillonnet 3 months ago
- Status changed from Solution proposée to En cours
Benjamin Dauvergne a écrit :
Je ne comprends pas le besoin de claim_resolution, pourquoi le client OIDC aurait le choix ?
Oui tu as raison, je ne me souviens plus de la raison de ce choix, je vais retirer ça.