Development #9966: Prévenir la déliaison lors du provisionning au SSO - Plugin FS FranceConnect - Redmine Entr’ouvert

Development #9966

Prévenir la déliaison lors du provisionning au SSO

Ajouté par Mikaël Ates il y a environ 8 ans. Mis à jour il y a environ 8 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Version cible:

Début:

12 février 2016

Echéance:

% réalisé:

Temps estimé:

Hors marché:

Non

Patch proposed:

Oui

Planning:

Description

L'option A2_FC_CREATE = True permet d'activer la création d'un User si aucun user n'a le sub qui est reçu dans le jeton UserInfo lors d'un SSO réussi.

Sans possibilité pour l'utilisateur de choisir entre l'association a un compte existant ou la création, le cas d'usage le plus simple semble être celui de la création de compte sur le RP exclusivement à partir d'un unique serveur de SSO (sinon les utilisateurs pouvant se créer un compte autrement ne pourrait pas se lier lors d'un SSO avec l'OP).

Dans l'état actuel, si l'utilisateur supprime la liaison et se déconnecte, il perd son compte local sur le RP puisqu'au prochain SSO il ne pourra pas se lier à son compte existant et un nouveau compte lui sera créé.

Il semble donc préférable de désactiver la déliaison si A2_FC_CREATE = True.

Si on souhaite laisser cette possibilité, dans le cas où le comportement décrit (déliaison = perte de compte sur le RP) est acceptable, on pourrait ajouter un setting qui désactiverait la possibilité de déliaison par défaut.

Fichiers

0001-Add-a-setting-to-enable-unlinking-when-account-creat.patch (2,69 ko) 0001-Add-a-setting-to-enable-unlinking-when-account-creat.patch

Mikaël Ates, 12 février 2016 19:02

Historique

Mis à jour par Benjamin Dauvergne il y a environ 8 ans

Comme je le dis dans l'autre ticket la question c'est de savoir: est-ce que d'autre mode d'authentification sont possibles ? est-ce que l'utilisateur peut ajouter ce mode d'authentification à son compte de lui même (i.e. s'ajouter un mot de passe) ?

Par contre ce que tu soulignes et qui est juste c'est que si d'autres méthodes d'authentification sont possibles il faudrait donner le choix à l'utilisateur même en mode A2_FC_CREATE entre créer un nouveau compte ou bien s'authentifier pour finir la liaison à un compte existant.

Mis à jour par Mikaël Ates il y a environ 8 ans

Comme je l'indique, dans l'état actuel, il n'y a pas encore d'implémenté la possibilité de choisir au sso entre se créer un compte automatiquement ou se lier avec un compte existant. C'est à discuter dans #9967. Donc en attendant un développement potentiel issue de #9967, je préconise de rendre la possibilité de délier paramétrable lorsque CREATE est à True.