Development #70808
moyen d'authentification OIDC : mieux expliquer les stratégies
0%
Description
Actuellement sur un moyen d'authentification OIDC on a le choix d'une « stratégie » parmi :
- créer le compte si l’appairage sur l’adresse de courriel a échoué (l’appairage échouera si l’unicité du courriel est désactivée à l’échelle globale et au sein de la collectivité)
- utiliser l’identifiant technique (sub) pour trouver un utilisateur grâce à son UUID
- utiliser l’identifiant technique (sub) pour trouver un utilisateur grâce à son identifiant
- utiliser le claim email (ou l’identifiant technique (sub) si le claim est absent) pour trouver un utilisateur grâce à son adresse de courriel
C'est plutôt confus.
On devrait expliciter ce qu'on entend par « Stratégie », c'est la stratégie d'appairage, autrement dit le moyen de retrouver un compte existant selon ce qui provient de l'OP, avec la création du compte local si elle échoue, ou pas.
On devrait scinder en deux :
1) la stratégie de recherche pour appairage
2) une case à cocher "créer le compte si aucun appairage n'a réussi"
Par ailleurs, on ne devrait pas proposer la stratégie de recherche par email si le choix « email unique » n'est pas coché. Ou, autre chose, ne pas dépendre de ce critère et toujours prendre l'usager avec le plus petit id en cas de doublons.
Enfin, les deux choix « appairage selon l'uuid » ou « appairage selon username » devraient être mis en fin de liste, ça me semble être des cas d'usage qu'on n'a jamais rencontré... non ?
Demandes liées
Historique
Mis à jour par Frédéric Péters il y a environ un an
- Lié à Development #67022: auth_oidc: simplifier les stratégies en en faisant un choix multiple ajouté