Development #67987
panneau d'information sur les informations à transmettre, sur les écrans de paramétrage saml/oidc
0%
Description
Quand on configure une méthode d'authentification externe on doit communiquer des informations pour permettre à l'"autre côté" de configurer la connexion; ça serait utile d'avoir un récap en haut de l'écran de configuration, qui donnerait par exemple pour du SAML l'adresse des métadonnées.
Fichiers
Révisions associées
Historique
Mis à jour par Valentin Deniaud il y a plus d'un an
- Fichier 1666799744.png 1666799744.png ajouté
Pas très inspiré au niveau de l'interface, tu avais une idée en tête ou juste un paragraphe comme ceci conviendrait ?
Mis à jour par Benjamin Dauvergne il y a plus d'un an
La phrase me semble de trop et pas forcément clair. Je verrais plutôt en dessous des informations déjà affichés une présentation ainsi :
.h3 Informations pour la configuration de votre fournisseur d'identité * URL des métadonnées : [https://....] * Attributs attendus: * username (obligatoire) * email (obligatoire) * first_name * Clé publique : > -----BEGIN CERTIFICATE----- > MIIC/TCCAeWgAwIBAgIUe/2RmSPWPz90rF3xm4q+jPPrGlcwDQYJKoZIhvcNAQEL > BQAwDjEMMAoGA1UEAwwDSURQMB4XDTE5MDQwMzEwMDEwM1oXDTQ2MDgxOTEwMDEw > M1owDjEMMAoGA1UEAwwDSURQMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC > AQEA39a9HT0PFMAy5Tcdik+LEWuDqqEdt8UrZr7TH/GpfAneDC0skDeHi9ErsEet > ZYuBkk7YDpNvpaXprhG7EWwO9LnBN5oxN7Jp7PEOyD8+v4GSKjySbmTubaGcR5F3 > 3EfPVp9yin79kN+iIi/VtoL6cacfzsIBjNmBBzs4RhIjoSce+0uTuV+EN73p5ZSt > mThamA/qnUeRDnVG5Y/hya3ldsg+rb6ObahnUYcAcP9sR/SKku3YQNVG0f4u1JYY > in7gKGZ8ty7YeVI6ulVNmG/fZXo8nw3OJ9VDG1Ye3yOz7tqhGCh9HjUsoVikPsoD > iDXQAgVynaEqo33SZGmgceGZowIDAQABo1MwUTAdBgNVHQ4EFgQUg0v91gd9cDen > b+C5YH/Kfj+1db4wHwYDVR0jBBgwFoAUg0v91gd9cDenb+C5YH/Kfj+1db4wDwYD > VR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAiAvkSPyv5oCuJmETM/B/ > HKd252g90yzdKM38gs1fFXt6IErcI5t6UlFZFrIs6K1yE5dEjgxFZFKFbakO618C > xdh6MI8obfhAbqCDLVSkWtm9M0HX1I1HxJ/b+0BR6RtT9w8gDRL4ZRb/+y+82GRH > Sm+9A8VXgWaTKRsUnRXUQPVXrQ4mU0R+f5tXpa1CVpH3Z8krYbvZSzB086alim12 > 5Kbe21CSN83wCZm0mjkKwFrrjCnKv3wSNqHHXQoYeGfON6B33d0rJRLwjIWJ7BDC > tkks8tLgCsYhKGNwprDy8Eo/lDCzQe03Ob1HPEh2XaENJoAx0XT6kJDyX41N8JPK > tA== > -----END CERTIFICATE----- * URL du consommateur d'assertion (AssertionConsumerService) : ... * URL de déconnexion (SingleLogoutService) : ...
Les deux autres URLs et la clé ne sont généralement pas nécessaires m'enfin on peut tomber sur des outils bizarres qui se configurent comme ça (j'en ai vu). Les attributs par contre c'est bien utile des les rappeler ici, pour tout avoir d'un coup. J'ai essayé d'avoir dans l'ordre du plus utile au moins utile.
Mis à jour par Frédéric Péters il y a plus d'un an
- Fichier Screenshot 2022-10-26 at 18-58-38 Authentic - Moyens d’authentification.png Screenshot 2022-10-26 at 18-58-38 Authentic - Moyens d’authentification.png ajouté
Vite fait je n'ai pas trouvé de ticket d'exemple pour un raccordement SAML, pour OIDC par exemple #69133, on écrit :
De notre côté, les URL à autoriser sont :
- URL de redirection (redirect_uri) https://xxx/accounts/oidc/callback/
- URL de redirection après déconnexion (post_logout_redirect_uri) https://xxx/logout/
Cela étant, en testant, je ne suis pas sûr que ça marche vraiment d'attendre d'être sur la page d'un moyen d'authentification, parce que le déroulé est 1/ j'ajoute oidc, 2/ je suis sur un formulaire avec plein d'infos techniques à taper, 3/ seulement une fois que tout a été tapé correctement j'arrive sur la page d'info.
De cette réflexion je serais à dire qu'au moins une part des infos gagnerait à être affichées dès peut-être la popup d'ajout, cf maquette.
Mais de ce que je lis de Benjamin, pour du SAML, s'il faut mentionner ainsi une clé publique ça va moins le faire; peut-être que ça passe alors avec un lien pour télécharger le .pem.
Mis à jour par Valentin Deniaud il y a plus d'un an
Benjamin Dauvergne a écrit :
La phrase me semble de trop et pas forcément clair. Je verrais plutôt en dessous des informations déjà affichés une présentation ainsi :
Noté, merci.
Les deux autres URLs et la clé ne sont généralement pas nécessaires
Et donc je ne pense pas les inclure pour cette première version, ça pourra être rajouté plus tard.
Frédéric Péters a écrit :
2/ je suis sur un formulaire avec plein d'infos techniques à taper
(c'est un comportement qui se veut pratique, si ce n'est pas bien ça peut être retiré)
3/ seulement une fois que tout a été tapé correctement j'arrive sur la page d'info
(on peut cliquer sur annuler ou fil d'ariane et arriver sur la page d'info (c'est prévu et ça ne plante rien))
De cette réflexion je serais à dire qu'au moins une part des infos gagnerait à être affichées dès peut-être la popup d'ajout, cf maquette.
OK je vais probablement faire les deux, page d'info et popup.
Mis à jour par Valentin Deniaud il y a plus d'un an
- Fichier 0001-wip.patch 0001-wip.patch ajouté
- Fichier 1666871326.png 1666871326.png ajouté
- Fichier 1666871272.png 1666871272.png ajouté
- Fichier 1666871262.png 1666871262.png ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Pas vraiment satisfait de la tête que ça donne à la page d'infos, je l'enlèverai si je ne trouve pas mieux.
Benjamin Dauvergne a écrit :
username (obligatoire)
Sûr que c'est obligatoire ? Je crois qu'il y a plein de raccordements où on demande juste l'email (par contre le NameID est obligatoire et des fois le truc en face est pas configuré pour le renvoyer, je sais pas si tu parlais de ça)
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Le caractère obligatoire est à déduire de la règle de mapping correspondante (SetAttributeAction.mandatory pour SAML et OIDCClaimMapping.required).
Mis à jour par Valentin Deniaud il y a plus d'un an
Benjamin Dauvergne a écrit :
Le caractère obligatoire est à déduire de la règle de mapping correspondante (SetAttributeAction.mandatory pour SAML et OIDCClaimMapping.required).
D'accord mais si on y va comme ça c'est tous les attributs qui peuvent potentiellement être obligatoires, je préférerais n'indiquer que le mail d'obligatoire, ça correspondrait ainsi au « cas général ».
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Le but ici était bien d'afficher la liste des attributs attendus, au vu des règles configurées, il me semble que ça fait partie des informations à transmettre à l'IdP.
Mis à jour par Valentin Deniaud il y a plus d'un an
- Fichier 0001-authenticators-add-idp-configuration-info-for-saml-a.patch 0001-authenticators-add-idp-configuration-info-for-saml-a.patch ajouté
Benjamin Dauvergne a écrit :
Le but ici était bien d'afficher la liste des attributs attendus, au vu des règles configurées
Dac j'avais en tête que les infos étaient affichées avant la création et donc qu'on allait y faire mention des attributs « classiques ». Mais oui sur la page d'info ça a sa place, j'ai ajouté.
Valentin Deniaud a écrit :
Pas vraiment satisfait de la tête que ça donne à la page d'infos, je l'enlèverai si je ne trouve pas mieux.
Compromis, un nouvel onglet « Informations pour le paramétrage ».
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Statut changé de Solution proposée à Solution validée
Mis à jour par Valentin Deniaud il y a plus d'un an
- Statut changé de Solution validée à Résolu (à déployer)
commit 94404f7928bcddc9f0c52b426c148b087f165925
Author: Valentin Deniaud <vdeniaud@entrouvert.com>
Date: Thu Oct 27 13:44:43 2022 +0200
authenticators: add idp configuration info for saml and oidc (#67987)
Mis à jour par Transition automatique il y a plus d'un an
- Statut changé de Résolu (à déployer) à Solution déployée
authenticators: add idp configuration info for saml and oidc (#67987)