Development #9966
Prévenir la déliaison lors du provisionning au SSO
0%
Description
L'option A2_FC_CREATE = True permet d'activer la création d'un User si aucun user n'a le sub qui est reçu dans le jeton UserInfo lors d'un SSO réussi.
Sans possibilité pour l'utilisateur de choisir entre l'association a un compte existant ou la création, le cas d'usage le plus simple semble être celui de la création de compte sur le RP exclusivement à partir d'un unique serveur de SSO (sinon les utilisateurs pouvant se créer un compte autrement ne pourrait pas se lier lors d'un SSO avec l'OP).
Dans l'état actuel, si l'utilisateur supprime la liaison et se déconnecte, il perd son compte local sur le RP puisqu'au prochain SSO il ne pourra pas se lier à son compte existant et un nouveau compte lui sera créé.
Il semble donc préférable de désactiver la déliaison si A2_FC_CREATE = True.
Si on souhaite laisser cette possibilité, dans le cas où le comportement décrit (déliaison = perte de compte sur le RP) est acceptable, on pourrait ajouter un setting qui désactiverait la possibilité de déliaison par défaut.
Fichiers
Historique
Mis à jour par Benjamin Dauvergne il y a environ 8 ans
Comme je le dis dans l'autre ticket la question c'est de savoir: est-ce que d'autre mode d'authentification sont possibles ? est-ce que l'utilisateur peut ajouter ce mode d'authentification à son compte de lui même (i.e. s'ajouter un mot de passe) ?
Par contre ce que tu soulignes et qui est juste c'est que si d'autres méthodes d'authentification sont possibles il faudrait donner le choix à l'utilisateur même en mode A2_FC_CREATE entre créer un nouveau compte ou bien s'authentifier pour finir la liaison à un compte existant.
Mis à jour par Mikaël Ates il y a environ 8 ans
Comme je l'indique, dans l'état actuel, il n'y a pas encore d'implémenté la possibilité de choisir au sso entre se créer un compte automatiquement ou se lier avec un compte existant. C'est à discuter dans #9967. Donc en attendant un développement potentiel issue de #9967, je préconise de rendre la possibilité de délier paramétrable lorsque CREATE est à True.
Mis à jour par Mikaël Ates il y a environ 8 ans
- Fichier 0001-Add-a-setting-to-enable-unlinking-when-account-creat.patch ajouté
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a environ 8 ans
Y a un souci d'indentation au niveau du premier unlink =
.
Mis à jour par Mikaël Ates il y a environ 8 ans
Mis à jour par Mikaël Ates il y a environ 8 ans
- Fichier
0001-Add-a-setting-to-enable-unlinking-when-account-creat.patchsupprimé
Mis à jour par Mikaël Ates il y a environ 8 ans
- Statut changé de Nouveau à Fermé
commit 061360b6e069916f602153224ecde0447b4ce007