https://dev.entrouvert.org/https://dev.entrouvert.org/favicon.ico?15861920342022-11-14T12:18:32ZRedmine Entr’ouvertAuthentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4219192022-11-14T12:18:32ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-5 priority-4 priority-default closed" href="/issues/71267">Development #71267</a>: a2_rbac : avoir un rôle interne d’administration des clients d’API</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4220922022-11-14T15:46:01ZPaul Marillonnet
<ul><li><strong>Assigné à</strong> mis à <i>Paul Marillonnet</i></li></ul><p>Il y aurait aussi une partie hobo à gérer, je vais créer un ticket.</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4220972022-11-14T15:48:49ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-2 priority-4 priority-default" href="/issues/71288">Development #71288</a>: gérer les accès en fonction de la collectivité d’appartenance du client d’API</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4229692022-11-17T10:31:43ZPaul Marillonnet
<ul></ul><p>Paul Marillonnet a écrit :</p>
<blockquote>
<p>C’est à mon avis typiquement le genre de chose qu’on voudrait pouvoir classer par collectivité (au sens OU) pour pouvoir restreindre les accès à l’API.<br />Un exemple parmi d’autres, un déploiement multi-collectivités où on veut ouvrir l’API sur l’une des collectivités et pas les autres.</p>
</blockquote>
<p>Et en fait ça passe déjà nécessairement par des rôles de gestion dans les collectivités. Pas sûr qu’on gagne à ajouter quoi que ce soit ici, je vérifie et rejette le ticket ensuite.</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4232582022-11-18T07:43:58ZPaul Marillonnet
<ul></ul><p>Si, c’est sans doute quand même intéressant d’avoir des rôles de gestion des clients d’API cloisonnés à une collectivité. Ce serait purement a2, rien dans hobo ; lorsque la personne qui détient le rôle édite un client d’API, il faut vérifier que les rôles ajoutés ne sont pas en dehors de l’OU d’appartenance du rôle de gestion.</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4233832022-11-18T10:33:53ZPaul Marillonnet
<ul></ul><p>Paul Marillonnet a écrit :</p>
<blockquote>
<p>Si, c’est sans doute quand même intéressant d’avoir des rôles de gestion des clients d’API cloisonnés à une collectivité. Ce serait purement a2, rien dans hobo ; lorsque la personne qui détient le rôle édite un client d’API, il faut vérifier que les rôles ajoutés ne sont pas en dehors de l’OU d’appartenance du rôle de gestion.</p>
</blockquote>
<p>Et avec ça un autre bout intéressant : en finir avec les permissions globales dans l’API a2, et au lieu de ça filtrer automatiquement les querysets en fonction des permissions équivalentes par OU détenues par l’appelant.</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4233902022-11-18T10:46:11ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-1 priority-4 priority-default" href="/issues/71463">Development #71463</a>: api/rbac : au lieu d’une vérification booléenne sur une permission globale, filtrer automatiquement les querysets en fonction des permissions équivalentes par OU détenues par l’appelant</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4280792022-12-07T15:28:08ZPaul Marillonnet
<ul><li><strong>Fichier</strong> <a href="/attachments/72797">0002-api_views-handle-ou-wise-api-client-checks-71275.patch</a> <a class="icon-only icon-download" title="Télécharger" href="/attachments/download/72797/0002-api_views-handle-ou-wise-api-client-checks-71275.patch">0002-api_views-handle-ou-wise-api-client-checks-71275.patch</a> ajouté</li><li><strong>Fichier</strong> <a href="/attachments/72798">0001-models-add-ou-field-to-api-clients-71275.patch</a> <a class="icon-only icon-download" title="Télécharger" href="/attachments/download/72798/0001-models-add-ou-field-to-api-clients-71275.patch">0001-models-add-ou-field-to-api-clients-71275.patch</a> ajouté</li><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Solution proposée</i></li><li><strong>Patch proposed</strong> changé de <i>Non</i> à <i>Oui</i></li></ul><p>Voici ce qu’on pourrait passer pour la partie modèle et adaptation de l’endpoint <code>/check-api-client/</code>, je vais faire un ticket pour la partie <code>/manage/</code>, qu’on discute de ce qu’on peut y faire.</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4280842022-12-07T15:36:01ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-1 priority-4 priority-default" href="/issues/72151">Development #72151</a>: /manage/ : gérer dans les écrans de clients d’API l’appartenance à une collectivité</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4286012022-12-09T10:37:54ZBenjamin Dauvergne
<ul><li><strong>Statut</strong> changé de <i>Solution proposée</i> à <i>Solution validée</i></li></ul><p>Je mettrai directement ou comme non-null et valeur par défaut get_default_ou(), aucune raison d'avoir des API client sans OU (on a déjà le souci sur les utilisateurs ne le reproduisons pas ici).</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4286512022-12-09T11:11:26ZPaul Marillonnet
<ul></ul><p>Benjamin Dauvergne a écrit :</p>
<blockquote>
<p>Je mettrai directement ou comme non-null et valeur par défaut get_default_ou(), aucune raison d'avoir des API client sans OU (on a déjà le souci sur les utilisateurs ne le reproduisons pas ici).</p>
</blockquote>
<p>Mais justement je pensais que ces utilisateurs qui n’appartiennent à aucune OU ne vont être atteignables par aucun client d’API réduit à une OU, et que c’est justement la raison pour laquelle il faut tolérer que ces clients puissent ne pas avoir d’OU. Je loupe un truc ? Comment on ferait pour atteindre les utilisateurs sans OU sans cette possibilité APIClient.ou := null ?</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4286612022-12-09T11:21:11ZBenjamin Dauvergne
<ul></ul><p>Paul Marillonnet a écrit :</p>
<blockquote>
<p>Benjamin Dauvergne a écrit :</p>
<blockquote>
<p>Je mettrai directement ou comme non-null et valeur par défaut get_default_ou(), aucune raison d'avoir des API client sans OU (on a déjà le souci sur les utilisateurs ne le reproduisons pas ici).</p>
</blockquote>
<p>Mais justement je pensais que ces utilisateurs qui n’appartiennent à aucune OU ne vont être atteignables par aucun client d’API réduit à une OU, et que c’est justement la raison pour laquelle il faut tolérer que ces clients puissent ne pas avoir d’OU. Je loupe un truc ? Comment on ferait pour atteindre les utilisateurs sans OU sans cette possibilité APIClient.ou := null ?</p>
</blockquote>
<p>Y a pas de lien entre APIClient.ou et les utilisateurs visibles ou alors je n'ai pas bien lu le patch. Si un APIClient veut voir tous les utilisateurs il faut lui filer la permission globale custom_user.search_user. Pour moi APIClient.ou c'est juste pour compartimenté l'administration des APIClient en BO.</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4296312022-12-13T12:59:37ZPaul Marillonnet
<ul></ul><p>Benjamin Dauvergne a écrit :</p>
<blockquote>
<p>Y a pas de lien entre APIClient.ou et les utilisateurs visibles ou alors je n'ai pas bien lu le patch. Si un APIClient veut voir tous les utilisateurs il faut lui filer la permission globale custom_user.search_user. Pour moi APIClient.ou c'est juste pour compartimenté l'administration des APIClient en BO.</p>
</blockquote>
<p>Ok, cette compartimentation peut être une première étape en effet.<br />À terme je pense qu’il faudrait tendre vers :</p>
<blockquote>
<p>Il y aurait avec ça un autre patche (dans un futur cycle toujours) pour s’assurer dans le /manage/ qu’un gestionnaire des clients d’API d’une collectivité Lambda ne peut pas aller accorder des rôles avec des permissions globales ni des permissions d’une autre collectivité Gamma, seulement les permissions pour la collectivité Lambda (car c’est la collectivité d’appartenance du rôle de gestion de clients d’API qu’il détient).</p>
</blockquote>
<p>(Dans le fil de discussion de la release du 8 décembre).</p> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4296492022-12-13T13:49:48ZPaul Marillonnet
<ul><li><strong>Statut</strong> changé de <i>Solution validée</i> à <i>Résolu (à déployer)</i></li></ul><pre>
commit 4240f989ae5f3d7be2773bf8eed3fdb05fe42d17
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date: Thu Nov 17 10:56:30 2022 +0100
api_views: handle ou-wise api-client checks (#71275)
commit a7ffb583f830a2649f5703ba0d27435e1d9fe19c
Author: Paul Marillonnet <pmarillonnet@entrouvert.com>
Date: Thu Nov 17 10:13:53 2022 +0100
models: add ou field to api clients (#71275)
</pre> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4297042022-12-13T15:01:07ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-1 status-6 priority-4 priority-default closed" href="/issues/72355">Bug #72355</a>: tests cassés suite à l’introduction des rôles de gestion des clients d’API par OU dans authentic</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4297062022-12-13T15:03:16ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-5 priority-4 priority-default closed" href="/issues/72354">Development #72354</a>: Buid hobo en erreur suite à changement dans authentic</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4319182022-12-21T13:40:34ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-5 priority-4 priority-default closed" href="/issues/72688">Development #72688</a>: /manage/ : l’écran de gestion des clients d’API doit filtrer en fonction de l’OU du/des rôles de gestion détenus par l’usager</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4320332022-12-22T08:49:37ZPaul Marillonnet
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-5 priority-4 priority-default closed" href="/issues/72703">Development #72703</a>: /manage/ : l’écran de gestion des clients d’API doit filtrer les rôles ajoutables au client en fonction de l’OU du client d’API</i> ajouté</li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4321782022-12-23T07:44:11ZFrédéric Pétersfpeters@entrouvert.com
<ul><li><strong>Statut</strong> changé de <i>Résolu (à déployer)</i> à <i>Solution déployée</i></li></ul> Authentic 2 - Development #71275: contrôle d’accès : gérer l’appartenance à des collectivités pour les clients d’APIhttps://dev.entrouvert.org/issues/71275?journal_id=4466562023-02-26T03:42:01ZTransition automatique
<ul></ul><p>Automatic expiration</p>