Development #67987
panneau d'information sur les informations à transmettre, sur les écrans de paramétrage saml/oidc
0%
Description
Quand on configure une méthode d'authentification externe on doit communiquer des informations pour permettre à l'"autre côté" de configurer la connexion; ça serait utile d'avoir un récap en haut de l'écran de configuration, qui donnerait par exemple pour du SAML l'adresse des métadonnées.
Files
Associated revisions
History
Updated by Valentin Deniaud 11 months ago
- File 1666799744.png 1666799744.png added
Pas très inspiré au niveau de l'interface, tu avais une idée en tête ou juste un paragraphe comme ceci conviendrait ?
Updated by Benjamin Dauvergne 11 months ago
La phrase me semble de trop et pas forcément clair. Je verrais plutôt en dessous des informations déjà affichés une présentation ainsi :
.h3 Informations pour la configuration de votre fournisseur d'identité * URL des métadonnées : [https://....] * Attributs attendus: * username (obligatoire) * email (obligatoire) * first_name * Clé publique : > -----BEGIN CERTIFICATE----- > MIIC/TCCAeWgAwIBAgIUe/2RmSPWPz90rF3xm4q+jPPrGlcwDQYJKoZIhvcNAQEL > BQAwDjEMMAoGA1UEAwwDSURQMB4XDTE5MDQwMzEwMDEwM1oXDTQ2MDgxOTEwMDEw > M1owDjEMMAoGA1UEAwwDSURQMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC > AQEA39a9HT0PFMAy5Tcdik+LEWuDqqEdt8UrZr7TH/GpfAneDC0skDeHi9ErsEet > ZYuBkk7YDpNvpaXprhG7EWwO9LnBN5oxN7Jp7PEOyD8+v4GSKjySbmTubaGcR5F3 > 3EfPVp9yin79kN+iIi/VtoL6cacfzsIBjNmBBzs4RhIjoSce+0uTuV+EN73p5ZSt > mThamA/qnUeRDnVG5Y/hya3ldsg+rb6ObahnUYcAcP9sR/SKku3YQNVG0f4u1JYY > in7gKGZ8ty7YeVI6ulVNmG/fZXo8nw3OJ9VDG1Ye3yOz7tqhGCh9HjUsoVikPsoD > iDXQAgVynaEqo33SZGmgceGZowIDAQABo1MwUTAdBgNVHQ4EFgQUg0v91gd9cDen > b+C5YH/Kfj+1db4wHwYDVR0jBBgwFoAUg0v91gd9cDenb+C5YH/Kfj+1db4wDwYD > VR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAiAvkSPyv5oCuJmETM/B/ > HKd252g90yzdKM38gs1fFXt6IErcI5t6UlFZFrIs6K1yE5dEjgxFZFKFbakO618C > xdh6MI8obfhAbqCDLVSkWtm9M0HX1I1HxJ/b+0BR6RtT9w8gDRL4ZRb/+y+82GRH > Sm+9A8VXgWaTKRsUnRXUQPVXrQ4mU0R+f5tXpa1CVpH3Z8krYbvZSzB086alim12 > 5Kbe21CSN83wCZm0mjkKwFrrjCnKv3wSNqHHXQoYeGfON6B33d0rJRLwjIWJ7BDC > tkks8tLgCsYhKGNwprDy8Eo/lDCzQe03Ob1HPEh2XaENJoAx0XT6kJDyX41N8JPK > tA== > -----END CERTIFICATE----- * URL du consommateur d'assertion (AssertionConsumerService) : ... * URL de déconnexion (SingleLogoutService) : ...
Les deux autres URLs et la clé ne sont généralement pas nécessaires m'enfin on peut tomber sur des outils bizarres qui se configurent comme ça (j'en ai vu). Les attributs par contre c'est bien utile des les rappeler ici, pour tout avoir d'un coup. J'ai essayé d'avoir dans l'ordre du plus utile au moins utile.
Updated by Frédéric Péters 11 months ago
- File Screenshot 2022-10-26 at 18-58-38 Authentic - Moyens d’authentification.png Screenshot 2022-10-26 at 18-58-38 Authentic - Moyens d’authentification.png added
Vite fait je n'ai pas trouvé de ticket d'exemple pour un raccordement SAML, pour OIDC par exemple #69133, on écrit :
De notre côté, les URL à autoriser sont :
- URL de redirection (redirect_uri) https://xxx/accounts/oidc/callback/
- URL de redirection après déconnexion (post_logout_redirect_uri) https://xxx/logout/
Cela étant, en testant, je ne suis pas sûr que ça marche vraiment d'attendre d'être sur la page d'un moyen d'authentification, parce que le déroulé est 1/ j'ajoute oidc, 2/ je suis sur un formulaire avec plein d'infos techniques à taper, 3/ seulement une fois que tout a été tapé correctement j'arrive sur la page d'info.
De cette réflexion je serais à dire qu'au moins une part des infos gagnerait à être affichées dès peut-être la popup d'ajout, cf maquette.
Mais de ce que je lis de Benjamin, pour du SAML, s'il faut mentionner ainsi une clé publique ça va moins le faire; peut-être que ça passe alors avec un lien pour télécharger le .pem.
Updated by Valentin Deniaud 11 months ago
Benjamin Dauvergne a écrit :
La phrase me semble de trop et pas forcément clair. Je verrais plutôt en dessous des informations déjà affichés une présentation ainsi :
Noté, merci.
Les deux autres URLs et la clé ne sont généralement pas nécessaires
Et donc je ne pense pas les inclure pour cette première version, ça pourra être rajouté plus tard.
Frédéric Péters a écrit :
2/ je suis sur un formulaire avec plein d'infos techniques à taper
(c'est un comportement qui se veut pratique, si ce n'est pas bien ça peut être retiré)
3/ seulement une fois que tout a été tapé correctement j'arrive sur la page d'info
(on peut cliquer sur annuler ou fil d'ariane et arriver sur la page d'info (c'est prévu et ça ne plante rien))
De cette réflexion je serais à dire qu'au moins une part des infos gagnerait à être affichées dès peut-être la popup d'ajout, cf maquette.
OK je vais probablement faire les deux, page d'info et popup.
Updated by Valentin Deniaud 11 months ago
- File 0001-wip.patch 0001-wip.patch added
- File 1666871326.png 1666871326.png added
- File 1666871272.png 1666871272.png added
- File 1666871262.png 1666871262.png added
- Status changed from Nouveau to Solution proposée
- Patch proposed changed from No to Yes
Pas vraiment satisfait de la tête que ça donne à la page d'infos, je l'enlèverai si je ne trouve pas mieux.
Benjamin Dauvergne a écrit :
username (obligatoire)
Sûr que c'est obligatoire ? Je crois qu'il y a plein de raccordements où on demande juste l'email (par contre le NameID est obligatoire et des fois le truc en face est pas configuré pour le renvoyer, je sais pas si tu parlais de ça)
Updated by Benjamin Dauvergne 11 months ago
Le caractère obligatoire est à déduire de la règle de mapping correspondante (SetAttributeAction.mandatory pour SAML et OIDCClaimMapping.required).
Updated by Valentin Deniaud 11 months ago
Benjamin Dauvergne a écrit :
Le caractère obligatoire est à déduire de la règle de mapping correspondante (SetAttributeAction.mandatory pour SAML et OIDCClaimMapping.required).
D'accord mais si on y va comme ça c'est tous les attributs qui peuvent potentiellement être obligatoires, je préférerais n'indiquer que le mail d'obligatoire, ça correspondrait ainsi au « cas général ».
Updated by Benjamin Dauvergne 11 months ago
Le but ici était bien d'afficher la liste des attributs attendus, au vu des règles configurées, il me semble que ça fait partie des informations à transmettre à l'IdP.
Updated by Valentin Deniaud 10 months ago
- File 0001-authenticators-add-idp-configuration-info-for-saml-a.patch 0001-authenticators-add-idp-configuration-info-for-saml-a.patch added
Benjamin Dauvergne a écrit :
Le but ici était bien d'afficher la liste des attributs attendus, au vu des règles configurées
Dac j'avais en tête que les infos étaient affichées avant la création et donc qu'on allait y faire mention des attributs « classiques ». Mais oui sur la page d'info ça a sa place, j'ai ajouté.
Valentin Deniaud a écrit :
Pas vraiment satisfait de la tête que ça donne à la page d'infos, je l'enlèverai si je ne trouve pas mieux.
Compromis, un nouvel onglet « Informations pour le paramétrage ».
Updated by Benjamin Dauvergne 10 months ago
- Status changed from Solution proposée to Solution validée
Updated by Valentin Deniaud 9 months ago
- Status changed from Solution validée to Résolu (à déployer)
commit 94404f7928bcddc9f0c52b426c148b087f165925
Author: Valentin Deniaud <vdeniaud@entrouvert.com>
Date: Thu Oct 27 13:44:43 2022 +0200
authenticators: add idp configuration info for saml and oidc (#67987)
Updated by Transition automatique 9 months ago
- Status changed from Résolu (à déployer) to Solution déployée
authenticators: add idp configuration info for saml and oidc (#67987)