Development #69416
gestion des personnes morales : servir les données PM aussi via l’endpoint user_info
0%
Description
Actuellement on ne le fait qu’en synchrone via l’id token envoyé au RP, au retour de connexion de l’usager.
Lorsque le RP requête l’endpoint user_info, il ne voit pas ces infos PM.
C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.
Fichiers
Révisions associées
idp_oidc: serve user profile information in UserInfo endpoint (#69416)
translation update (#69416)
Historique
Mis à jour par Benjamin Dauvergne il y a plus d'un an
Paul Marillonnet a écrit :
C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.
Y a pas vraiment de principe OIDC, la plupart des implémentations se satisfont d'un id_token quasi vide qu'on peut utiliser ensuite comme Bearer token sur user_info, mais à l'instar de la façon dont Google gère ça j'ai trouvé plus simple de tout balancer dans l'id_token (on a déjà toutes les informations via le scope pour savoir quoi présenter ou pas).
Mis à jour par Paul Marillonnet il y a plus d'un an
Benjamin Dauvergne a écrit :
Paul Marillonnet a écrit :
C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.
Y a pas vraiment de principe OIDC, la plupart des implémentations se satisfont d'un id_token quasi vide qu'on peut utiliser ensuite comme Bearer token sur user_info, mais à l'instar de la façon dont Google gère ça j'ai trouvé plus simple de tout balancer dans l'id_token (on a déjà toutes les informations via le scope pour savoir quoi présenter ou pas).
Ok, je me fiais à ça https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims concernant les claims de base, qui indique qu’on doit pouvoir toutes les récupérer par n’importe lequel des deux moyens, mais je n’ai pas connaissance des variations entre les principales implémentations.
Mis à jour par Paul Marillonnet il y a plus d'un an
- Fichier 0002-idp_oidc-serve-user-profile-information-in-UserInfo-.patch 0002-idp_oidc-serve-user-profile-information-in-UserInfo-.patch ajouté
- Fichier 0001-idp_oidc-add-profile-field-to-access-token-model-694.patch 0001-idp_oidc-add-profile-field-to-access-token-model-694.patch ajouté
- Statut changé de En cours à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a plus d'un an
- Statut changé de Solution proposée à Solution validée
Mis à jour par Paul Marillonnet il y a plus d'un an
- Statut changé de Solution validée à Résolu (à déployer)
commit 25a7c66673c40b927ea69bdae5fb1e47971457ce
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date: Fri Sep 23 11:41:52 2022 +0200
idp_oidc: serve user profile information in UserInfo endpoint (#69416)
commit 3e7ae285a74b82ccccb30c08ae92f0eb7800d6de
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date: Fri Sep 23 11:34:31 2022 +0200
idp_oidc: add profile field to access token model (#69416)
Mis à jour par Transition automatique il y a plus d'un an
- Statut changé de Résolu (à déployer) à Solution déployée
idp_oidc: add profile field to access token model (#69416)