Project

General

Profile

Development #69416

gestion des personnes morales : servir les données PM aussi via l’endpoint user_info

Added by Paul Marillonnet 7 days ago. Updated 2 days ago.

Status:
Résolu (à déployer)
Priority:
Normal
Category:
-
Target version:
-
Start date:
22 September 2022
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

Actuellement on ne le fait qu’en synchrone via l’id token envoyé au RP, au retour de connexion de l’usager.
Lorsque le RP requête l’endpoint user_info, il ne voit pas ces infos PM.
C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.


Files

Associated revisions

Revision 3e7ae285 (diff)
Added by Paul Marillonnet 6 days ago

idp_oidc: add profile field to access token model (#69416)

Revision 25a7c666 (diff)
Added by Paul Marillonnet 3 days ago

idp_oidc: serve user profile information in UserInfo endpoint (#69416)

Revision 5e184a34 (diff)
Added by Paul Marillonnet 2 days ago

translation update (#69416)

History

#1

Updated by Paul Marillonnet 7 days ago

  • Assignee set to Paul Marillonnet
#3

Updated by Benjamin Dauvergne 7 days ago

Paul Marillonnet a écrit :

C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.

Y a pas vraiment de principe OIDC, la plupart des implémentations se satisfont d'un id_token quasi vide qu'on peut utiliser ensuite comme Bearer token sur user_info, mais à l'instar de la façon dont Google gère ça j'ai trouvé plus simple de tout balancer dans l'id_token (on a déjà toutes les informations via le scope pour savoir quoi présenter ou pas).

#4

Updated by Paul Marillonnet 7 days ago

Benjamin Dauvergne a écrit :

Paul Marillonnet a écrit :

C’est mal, tant sur le plan fonctionnel de la gestion des PM, que par principe OIDC voulant que l’endpoint user_info soit capable de retourner les mêmes infos que celles contenues dans l’id token.

Y a pas vraiment de principe OIDC, la plupart des implémentations se satisfont d'un id_token quasi vide qu'on peut utiliser ensuite comme Bearer token sur user_info, mais à l'instar de la façon dont Google gère ça j'ai trouvé plus simple de tout balancer dans l'id_token (on a déjà toutes les informations via le scope pour savoir quoi présenter ou pas).

Ok, je me fiais à ça https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims concernant les claims de base, qui indique qu’on doit pouvoir toutes les récupérer par n’importe lequel des deux moyens, mais je n’ai pas connaissance des variations entre les principales implémentations.

#7

Updated by Paul Marillonnet 6 days ago

  • Status changed from Nouveau to En cours
#9

Updated by Benjamin Dauvergne 2 days ago

  • Status changed from Solution proposée to Solution validée
#10

Updated by Paul Marillonnet 2 days ago

  • Status changed from Solution validée to Résolu (à déployer)
commit 25a7c66673c40b927ea69bdae5fb1e47971457ce
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date:   Fri Sep 23 11:41:52 2022 +0200

    idp_oidc: serve user profile information in UserInfo endpoint (#69416)

commit 3e7ae285a74b82ccccb30c08ae92f0eb7800d6de
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date:   Fri Sep 23 11:34:31 2022 +0200

    idp_oidc: add profile field to access token model (#69416)

Also available in: Atom PDF