Development #65877
idp_oidc : les hooks de l’api /users/ doivent tenir compte de la résolution des claims lorsque l’appelant est un client oidc connu
0%
Description
Déjà un bon début dans le plugin GL : la résolution est en dur dans le code car on connaît à coup sûr l’unique config de mapping de attribut du profil -> claim oidc.
Ici, et suite à #62710, il faudrait généraliser un peu pour re-générer les valeurs des claims en fonction de cette config.
Fichiers
Demandes liées
Historique
Mis à jour par Paul Marillonnet il y a presque 2 ans
- Lié à Development #62710: rapatriement du script client de synchronisation depuis le plugin authentic2-gnm vers auth_oidc ajouté
Mis à jour par Paul Marillonnet il y a presque 2 ans
- Fichier 0001-idp_oidc-perform-claim-resolution-when-api-is-called.patch 0001-idp_oidc-perform-claim-resolution-when-api-is-called.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Voilà pour cette partie, en reprenant la piste évoquée dans #62710-11, à savoir un flag claim_resolution passé en paramètre pour indiquer que le client souhaite que les attributs des usagers retournés par l’UsersAPI soient résolus en claims oidc.
Mis à jour par Paul Marillonnet il y a presque 2 ans
- Lié à Development #65890: idp_oidc: tolérer la synchro pour les clients en identifier_policy:=POLICY_UUID ajouté
Mis à jour par Paul Marillonnet il y a presque 2 ans
Paul Marillonnet a écrit :
Voilà pour cette partie, en reprenant la piste évoquée dans #62710-11, à savoir un flag
claim_resolutionpassé en paramètre pour indiquer que le client souhaite que les attributs des usagers retournés par l’UsersAPIsoient résolus en claims oidc.
Et je me rends compte que dans le cas général, il ne faudrait servir que les usagers qui ont déjà effectué un SSO vers ce client. Je vais regarder, sans doute un autre ticket à venir.
Mis à jour par Paul Marillonnet il y a presque 2 ans
- Lié à Development #65942: idp_oidc : un client ayant accès à l’/api/users/ ne doit avoir accès qu’aux usagers s’étant déjà connecté chez lui ajouté
Mis à jour par Paul Marillonnet il y a presque 2 ans
- Lié à Development #65943: idp_oidc : pour un usager donné, un client ayant accès à l’/api/users/ ne doit voir que les informations d’identité auxquelles il a accès dans la configuration oidc ajouté
Mis à jour par Paul Marillonnet il y a presque 2 ans
- Lié à Development #66114: idp_oidc : effectuer systématiquement la réduction des informations retournées à un client en fonction des autorisations qu’il possède ajouté
Mis à jour par Paul Marillonnet il y a presque 2 ans
- Assigné à mis à Paul Marillonnet
(Oublié de m’assigner le ticket.)
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Je ne comprends pas le besoin de claim_resolution, pourquoi le client OIDC aurait le choix ?
Mis à jour par Paul Marillonnet il y a plus d'un an
- Statut changé de Solution proposée à En cours
Benjamin Dauvergne a écrit :
Je ne comprends pas le besoin de claim_resolution, pourquoi le client OIDC aurait le choix ?
Oui tu as raison, je ne me souviens plus de la raison de ce choix, je vais retirer ça.