Development #76083
ne plus limiter le lookup d'un utilisateur existant aux utilisateurs sans fédération
0%
Description
Ça vient de #33739#note-14,
Question que je me pose : et si l'utilisateur obtenu via lookup_by_attributes est déjà référencé dans un UserSAMLIdentifier (c'est-à-dire déjà fédéré avec un autre name_id) ? Je serais dans ce cas pour ne pas le prendre en compte. C'est à dire, au lieu de juste :
users_found = User.objects.filter(**{key: value})
faire :
users_found = User.objects.filter(saml_identifiers=None, **{key: value})
mais il n'y a plus de souvenir précis de pourquoi ça, et ça a déjà fait galéré il y a deux ans (#44499#note-9) et à nouveau maintenant (#75119#note-26).
Si on ne parvient plus à justifier ce saml_identifiers=None, on pourrait le retirer totalement ?
Révisions associées
Historique
Mis à jour par Thomas Noël il y a environ un an
Frédéric Péters a écrit :
on pourrait le retirer totalement ?
Je ne sais pas ce qui a pris le moi d'il y a 4 ans qui a écrit #33739#note-14 ... Effectivement aujourd'hui je pense qu'on devrait toujours chercher à se raccrocher à un compte trouvé par lookup d'attribut (typiquement le mail), quelque soit sa vie précédente.
Ça nous évitera les soucis quand on est lié à plusieurs IdP, ou quand on change d'IdP, ou quand les nameid changent sur un seul IdP... tout ça peut arriver et c'est pas grave.
Mis à jour par Robot Gitea il y a environ un an
- Statut changé de Nouveau à Solution proposée
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/django-mellon/pulls/4
- Titre : adapters: do not exclude already linked users (#76083)
- Modifications : https://git.entrouvert.org/entrouvert/django-mellon/pulls/4/files
Mis à jour par Paul Marillonnet il y a environ un an
Thomas Noël a écrit :
Ça nous évitera les soucis quand on est lié à plusieurs IdP, ou quand on change d'IdP, ou quand les nameid changent sur un seul IdP... tout ça peut arriver et c'est pas grave.
Oui, rien que le cas du ticket le plus récent justifie complètement cela.
Mis à jour par Robot Gitea il y a environ un an
- Statut changé de Solution proposée à Solution validée
Paul Marillonnet (pmarillonnet) a approuvé une pull request sur Gitea concernant cette demande :
Mis à jour par Robot Gitea il y a environ un an
- Statut changé de Solution validée à Résolu (à déployer)
Thomas NOËL (tnoel) a mergé une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/django-mellon/pulls/4
- Titre : adapters: do not exclude already linked users (#76083)
- Modifications : https://git.entrouvert.org/entrouvert/django-mellon/pulls/4/files
Mis à jour par Transition automatique il y a environ un an
- Statut changé de Résolu (à déployer) à Solution déployée
adapters: do not exclude already linked users (#76083)
When two IdP are used with common directory accounts of if we migrate
from a test IdP to a production IdP, it can be useful to relink existing
users to the new source.