Tâche #16111
Scénario #16078: Publier le support de France Connect par EoleSSO en 2.5.2
FranceConnect: Mise en conformité technique avec les dernières CGU
Description
De nouvelles documentations ont été publiées concernant les modalités de raccordement à FranceConnect (https://doc.integ01.dev-franceconnect.fr/cgu) :
https://doc.integ01.dev-franceconnect.fr/files/cgu_fs_processus_de_raccordement_v2.0.pdf
- ajouter un lien 'qu’est ce que France Connect ?' (https://fcp.integ01.dev-franceconnect.fr/a-propos) en dessous du bouton de connexion
- Intégrer le bandeau d'outils FranceConnect ou ajouter des liens vers les traces de connexion et échanges de données (https://fcp.integ01.dev-franceconnect.fr/traces)
- Ajouter une interface pour permettre à l'utilisateur de supprimer l'association entre le compte local et France Connect ?
- Dans le cadre d'une mise en oeuvre en production, le dispositif doit être validé par le SGMAP. il faudrait éventuellement prévoir une validation globale de l'implémentation dans un cadre défini (établissement scolaire ou seshat)
https://doc.integ01.dev-franceconnect.fr/files/cgu_fs_securite_v1.0.pdf
- vérifier les droits d'accès sur les fichiers de stockage des correspondances de comptes
- Ajouter des vérifications sur les paramètres reçus (id_token, access_token, ...)
- Vérifier que la librairie python-oic vérifie la date d'expiration des jetons d'accès
- Vérifier que le paramètre nonce fourni avec le jeton d'accès est le même que celui fourni lors de la requête initiale
nouvelle version du document : https://doc.integ01.dev-franceconnect.fr/files/CGU%20FS%20-%20Annexe%20Securite%20V2.1.pdf
- vérifier le nom de domaine du serveur en cas d'appel direct entre serveurs (
oidc_utils.py : appels à client.do_access_token_request et client.do_user_info_request de la librairie pyoidc). Concerne seulement les appels à un fournisseur de données (non utilisé par EoleSSO).
Révisions associées
Adaptation du support France Connect aux dernières CGU publiées
- Ajout d'un lien d'information paramétrable pour chaque fournisseur
- Vérification du paramètre nonce à la réception du jeton d'accès
- Echappements supplémentaires sur les paramètres reçus
- Mise à jour des images des boutons Google et FranceConnect
ref #16111 @4h
OpenID Connect : vérification de l'expiration de l'ID Token
ref #16111 @30m
Historique
#1 Mis à jour par Bruno Boiget il y a presque 8 ans
- Statut changé de Nouveau à À formaliser
- Tâche parente
#16078supprimé
#2 Mis à jour par Bruno Boiget il y a presque 8 ans
- Tracker changé de Tâche à Proposition Scénario
- Sujet changé de Mise en conformité avec les dernières CGU à FranceConnect: Mise en conformité avec les dernières CGU
- Description mis à jour (diff)
#3 Mis à jour par Bruno Boiget il y a presque 8 ans
- Catégorie mis à Version mineure
- Version cible
sprint 2016 19-21 - Equipe MENESRsupprimé - Temps estimé mis à 8.00 h
#4 Mis à jour par Bruno Boiget il y a presque 8 ans
- Statut changé de À formaliser à Nouveau
#5 Mis à jour par Bruno Boiget il y a presque 8 ans
- Tracker changé de Proposition Scénario à Tâche
- Version cible mis à sprint 2016 19-21 - Equipe MENESR
- Tâche parente mis à #16078
- Restant à faire (heures) mis à 8.0
#6 Mis à jour par Bruno Boiget il y a presque 8 ans
Points traités / vérifiés :
- Ajout de 2 paramètres pour créer un lien vers une page d'informations spécifique à chaque fournisseur (URL + libellé). Le lien 'Qu'est ce que France Connect ?' est pré-paramétré.
- Les droits sur les fichiers de correspondance des comptes semblent suffisamment restrictifs :
root@horus:/usr/share/sso/openid_users# ll -d /usr/share/sso/openid_users/ drwx------ 2 root root 4096 mai 12 16:02 /usr/share/sso/openid_users// root@horus:/usr/share/sso/openid_users# ll /usr/share/sso/openid_users/* -rw------- 1 root root 87 mai 12 16:07 /usr/share/sso/openid_users/fconnect_users.ini -rw------- 1 root root 0 mai 12 15:16 /usr/share/sso/openid_users/google_users.ini
- Ajout d'une validation supplémentaire sur le paramètre nonce renvoyé avec le jeton d'accès.
Actuellement, l'identifiant / mot de passe secret du client sont stockés dans config.eol. Voir si cela peut poser problème.
Les points facultatifs suivants pourront être traités dans un 2ème temps si besoin :
- ajout d'un lien vers l'historique de connexion et d'échanges de données (France Connect)
- ajout d'une interface permettant d'annuler l'association entre le compte local et un compte OpenID
Ces deux points nécessitent d'ajouter une page 'espace utilisateur' à EoleSSO (faire évoluer la page /loggedin ?), éventuellement d'y intégrer le kit d'outils FranceConnect dans le cas ou l'utilisateur s'est connecté par ce biais.
#7 Mis à jour par Bruno Boiget il y a presque 8 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Bruno Boiget
- % réalisé changé de 0 à 60
#8 Mis à jour par Bruno Boiget il y a presque 8 ans
- Description mis à jour (diff)
- Restant à faire (heures) changé de 8.0 à 3.0
#9 Mis à jour par Bruno Boiget il y a presque 8 ans
- Description mis à jour (diff)
#10 Mis à jour par Bruno Boiget il y a presque 8 ans
- Sujet changé de FranceConnect: Mise en conformité avec les dernières CGU à FranceConnect: Mise en conformité technique avec les dernières CGU
- % réalisé changé de 60 à 100
- Restant à faire (heures) changé de 3.0 à 0.5
#11 Mis à jour par Scrum Master il y a presque 8 ans
- Statut changé de En cours à Résolu
#12 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.5 à 0.0