Projet

Général

Profil

Development #751

Improve the manager based on RBAC

Ajouté par Mikaël Ates il y a plus de 12 ans. Mis à jour il y a plus de 6 ans.

Statut:
Fermé
Priorité:
Haut
Assigné à:
Catégorie:
-
Version cible:
Début:
12 octobre 2011
Echéance:
% réalisé:

100%

Temps estimé:
Patch proposed:
Non
Planning:

Demandes liées

Lié à Authentic 2 - Bug #6143: /manage : we should allow a superadmin activate is_adminFermé12 décembre 2014

Actions
Lié à Authentic 2 - Development #5541: Add a page to manage providersFermé19 septembre 2014

Actions
Lié à Authentic 2 - Bug #5658: Review permission checking in the managerRejeté09 octobre 2014

Actions
Bloque Authentic 2 - Development #5262: Manage authorizations to connect to a service providerRejeté12 août 2014

Actions

Révisions associées

Révision 152f1a6f (diff)
Ajouté par Benjamin Dauvergne il y a presque 9 ans

custom_user: add view permission to user and group model

refs #751

Révision d65195b1 (diff)
Ajouté par Benjamin Dauvergne il y a presque 9 ans

custom_user: add new permission on groups, change_permissions_group

refs #751

Révision 25ad9166 (diff)
Ajouté par Benjamin Dauvergne il y a presque 9 ans

manager: rewrite manager using RBAC for authorization and limiting view of models

Also add page to manage organizational units and roles.

fixes #6143
fixes #751

Historique

#1

Mis à jour par Benjamin Dauvergne il y a plus de 9 ans

  • Patch proposed mis à Non

Discussion on authorization in authentic restarted thanks to current tickets #5261 and #4775:

First my idea for an authorization framework datamodel:

Action  = (Slug)
Permission = (Action, Object) # ex. ('login', SAML provider#01)
Role = (Name, Slug, [Permission])
UserRoleMapping = (User, Role)
GroupRoleMapping = (Group, Role)

Maybe we should restrain from defining any kind of data model and just try to create an API that allow service providers to know when they can allow login or not.

Some grand goal for any authorization framework:
  • be as simple as possible for getting a working implementation fast, but allow extensions,
  • provide a hierarchical role model with inheritance
  • long term: allow to import authorization model from service provider locally, maybe not natively but by allowing multiple authorization backend to be loaded at the same time and answer to authorization requests:
    • a backend could for example synchronize a list of distant roles so that all management can be done in authentic without having to manually recreate the role mode on its side (roles from w.c.s.),
    • reversely roles defined in authentic could be given some context and be replicated to the service provider when they are local to it.
I will start here a list of authorization that we could ask to this system:
  • login on service provider #04 to user/group #05
  • add attribute 'xyz' with value 'abc' to user/group #07 on service provider #02
  • manage users in group 'Administrators of service provider #05'
#2

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

  • Priorité changé de Normal à Bas
#3

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

  • Lié à Bug #6143: /manage : we should allow a superadmin activate is_admin ajouté
#4

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

#5

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

  • Sujet changé de Authentic2 administration based on RBAC à Improve the manager based on RBAC
  • Assigné à changé de Mikaël Ates à Benjamin Dauvergne
  • Priorité changé de Bas à Haut
#6

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

  • Lié à Bug #5658: Review permission checking in the manager ajouté
#7

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

  • Version cible changé de future à 2.1.12
#9

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

  • Version cible changé de 2.1.12 à 2.1.13
#10

Mis à jour par Benjamin Dauvergne il y a environ 9 ans

  • Version cible changé de 2.1.13 à 2.2.0
#11

Mis à jour par Benjamin Dauvergne il y a presque 9 ans

  • Statut changé de Nouveau à Résolu (à déployer)
  • % réalisé changé de 0 à 100
#12

Mis à jour par Benjamin Dauvergne il y a environ 8 ans

  • Statut changé de Résolu (à déployer) à Solution déployée
#13

Mis à jour par Benjamin Dauvergne il y a plus de 6 ans

  • Statut changé de Solution déployée à Fermé

Formats disponibles : Atom PDF