Development #68360
Project management #68358: Demandes d'évolution pour la nouvelle certification FranceConnect
Cinématique de Réconciliation de compte - NOK
0%
Description
Comme vu ensemble, il n'est pas possible de baser la réconciliation sur le mail seulement. Nous rencontrons actuellement trop de problèmes avec des FS qui ont fait ce choix lorsque c'était encore possible. Le mail n'est pas une donnée vérifiée par FranceConnect et peut être notamment utilisée par plusieurs personnes. Il faudrait utiliser la totalité des données que vous récupérez via FranceConnect pour faire une réconciliation automatique : scope=preferred_username+email+given_name+family_name. Pour les cas où la réconciliation automatique n'aboutit pas, il faudrait alors faire une réconciliation manuelle, en demandant par exemple un secret à l'usager (numéro de dossier, numéro de sécurité sociale, numéro de permis de conduire...) Pour information, j'ai fait un test de liaison depuis le compte local de TEST_CINDY avec l'identité FranceConnect TEST_JENNIFER : la liaison a aboutit alors qu'il s'agit de 2 personnes totalement différentes (email inclus). De plus, il faut modifier la phrase "Votre compte FranceConnect JENNIFER CANAPE a été associé.". En effet, il n'existe pas de compte FranceConnect. FranceConnect permet de se connecter / s'inscrire via un compte déjà existant (Ameli, les impots...).
Fichiers
Demandes liées
Révisions associées
Historique
Mis à jour par Brice Mallet il y a plus d'un an
- Lié à Development #69989: Section "Changement de mot de passe" - NOK (point 26) ajouté
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Assigné à changé de Paul Marillonnet à Benjamin Dauvergne
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Je vais ajouter un flag pour désactiver la réconciliation par mail, ça permettra de passer les recettes.
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Fichier 0002-auth_fc-add-flag-to-disable-link-by-email-68360.patch 0002-auth_fc-add-flag-to-disable-link-by-email-68360.patch ajouté
- Fichier 0001-settings-mute-warning-about-auto-fields-68360.patch 0001-settings-mute-warning-about-auto-fields-68360.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Le 0001 c'est un peu gratuit, c'est les warnings qui m'abiment les yeux.
Mis à jour par Benjamin Dauvergne il y a plus d'un an
J'ai passé le 0001 directement, ça n'avait aucune conséquence à part faire taire le warning.
Mis à jour par Paul Marillonnet il y a plus d'un an
Je ne me souvenais plus qu’on avait cette exception UserOutsideDefaultOu (qu’on remplace ici par EmailExistsError dans 0002).
Qu’est-ce qu’il y a de choquant à tenter de lier l’identité FC à un compte qui n’est pas dans l’OU par défaut et qui justifierait de lever une erreur ?
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Paul Marillonnet a écrit :
Je ne me souvenais plus qu’on avait cette exception UserOutsideDefaultOu (qu’on remplace ici par EmailExistsError dans 0002).
Qu’est-ce qu’il y a de choquant à tenter de lier l’identité FC à un compte qui n’est pas dans l’OU par défaut et qui justifierait de lever une erreur ?
Dans un premier temps j'ai fait le changement parce que je rajoute un cas de raise pour gérer le cas de la désactivation mais l'email est unique et donc on ne veut pas lier mais on ne veut pas créer non plus, aussi le cas User.MultipleObjectsReturned n'était pas traité et je ne voulais pas remonter cette erreur technique dans le code plus haut et le nouveau nom me semble rendre les choses plus claires que cette histoire d'OU qui est un peu fausse puisqu'une seule OU est possible; voir plus loin.
Après pour le fond, les comptes FCs sont forcément des usagers et les usagers vont dans l'ou par défaut, c'est en dur dans le code, on ne va pas lier ailleurs. Mais c'est vrai qu'on pourrait limiter la recherche à cette OU pour rendre le code plus simple et aussi cacher le bouton de liaison si le compte actuellement connecté n'est pas dans l'OU par défaut.
Mis à jour par Paul Marillonnet il y a plus d'un an
- Statut changé de Solution proposée à Solution validée
Benjamin Dauvergne a écrit :
Après pour le fond, les comptes FCs sont forcément des usagers et les usagers vont dans l'ou par défaut, c'est en dur dans le code, on ne va pas lier ailleurs. Mais c'est vrai qu'on pourrait limiter la recherche à cette OU pour rendre le code plus simple et aussi cacher le bouton de liaison si le compte actuellement connecté n'est pas dans l'OU par défaut.
Ok, fair enough, c’est bon pour moi ainsi. Ack.
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Statut changé de Solution validée à Résolu (à déployer)
commit 0848d1cb3bf03f55d924a707793873a09fbc493b
Author: Benjamin Dauvergne <bdauvergne@entrouvert.com>
Date: Wed Nov 23 14:42:32 2022 +0100
auth_fc: add flag to disable link by email (#68360)Mis à jour par Paul Marillonnet il y a plus d'un an
- Lié à Development #72414: désactiver la possibilité de lier son identité FC à son compte si ce dernier n’est pas dans la collectivité par défaut ajouté
Mis à jour par Transition automatique il y a plus d'un an
- Statut changé de Résolu (à déployer) à Solution déployée
Mis à jour par Paul Marillonnet il y a plus d'un an
- Lié à Development #72870: sur les nouveaux raccordements, désactiver par défaut la réconciliation sur le courriel de l’usager ajouté
auth_fc: add flag to disable link by email (#68360)