Project

General

Profile

Development #69416

gestion des personnes morales : servir les données PM aussi via l’endpoint user_info

Added by Paul Marillonnet 8 months ago. Updated 8 months ago.

Status:
Fermé
Priority:
Normal
Category:
-
Target version:
-
Start date:
22 September 2022
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

Actuellement on ne le fait qu’en synchrone via l’id token envoyé au RP, au retour de connexion de l’usager.
Lorsque le RP requête l’endpoint user_info, il ne voit pas ces infos PM.
C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.


Files

Associated revisions

Revision 3e7ae285 (diff)
Added by Paul Marillonnet 8 months ago

idp_oidc: add profile field to access token model (#69416)

Revision 25a7c666 (diff)
Added by Paul Marillonnet 8 months ago

idp_oidc: serve user profile information in UserInfo endpoint (#69416)

Revision 5e184a34 (diff)
Added by Paul Marillonnet 8 months ago

translation update (#69416)

History

#1

Updated by Paul Marillonnet 8 months ago

  • Assignee set to Paul Marillonnet
#3

Updated by Benjamin Dauvergne 8 months ago

Paul Marillonnet a écrit :

C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.

Y a pas vraiment de principe OIDC, la plupart des implémentations se satisfont d'un id_token quasi vide qu'on peut utiliser ensuite comme Bearer token sur user_info, mais à l'instar de la façon dont Google gère ça j'ai trouvé plus simple de tout balancer dans l'id_token (on a déjà toutes les informations via le scope pour savoir quoi présenter ou pas).

#4

Updated by Paul Marillonnet 8 months ago

Benjamin Dauvergne a écrit :

Paul Marillonnet a écrit :

C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.

Y a pas vraiment de principe OIDC, la plupart des implémentations se satisfont d'un id_token quasi vide qu'on peut utiliser ensuite comme Bearer token sur user_info, mais à l'instar de la façon dont Google gère ça j'ai trouvé plus simple de tout balancer dans l'id_token (on a déjà toutes les informations via le scope pour savoir quoi présenter ou pas).

Ok, je me fiais à ça https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims concernant les claims de base, qui indique qu’on doit pouvoir toutes les récupérer par n’importe lequel des deux moyens, mais je n’ai pas connaissance des variations entre les principales implémentations.

#7

Updated by Paul Marillonnet 8 months ago

  • Status changed from Nouveau to En cours
#9

Updated by Benjamin Dauvergne 8 months ago

  • Status changed from Solution proposée to Solution validée
#10

Updated by Paul Marillonnet 8 months ago

  • Status changed from Solution validée to Résolu (à déployer)
commit 25a7c66673c40b927ea69bdae5fb1e47971457ce
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date:   Fri Sep 23 11:41:52 2022 +0200

    idp_oidc: serve user profile information in UserInfo endpoint (#69416)

commit 3e7ae285a74b82ccccb30c08ae92f0eb7800d6de
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date:   Fri Sep 23 11:34:31 2022 +0200

    idp_oidc: add profile field to access token model (#69416)
#12

Updated by Transition automatique 8 months ago

  • Status changed from Résolu (à déployer) to Solution déployée
#13

Updated by Transition automatique 6 months ago

Automatic expiration

Also available in: Atom PDF