Project

General

Profile

Tâche #16111

Scénario #16078: Publier le support de France Connect par EoleSSO en 2.5.2

FranceConnect: Mise en conformité technique avec les dernières CGU

Added by Bruno Boiget over 7 years ago. Updated over 7 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Bruno Boiget
Target version:
Distribution EOLE - sprint 2016 19-21 - Equipe MENESR
Start date:
05/09/2016
Due date:
% Done:

100%

Estimated time:
8.00 h
Spent time:
5.50 h
Remaining (hours):
0.0

Description

De nouvelles documentations ont été publiées concernant les modalités de raccordement à FranceConnect (https://doc.integ01.dev-franceconnect.fr/cgu) :

https://doc.integ01.dev-franceconnect.fr/files/cgu_fs_processus_de_raccordement_v2.0.pdf

  • ajouter un lien 'qu’est ce que France Connect ?' (https://fcp.integ01.dev-franceconnect.fr/a-propos) en dessous du bouton de connexion
  • Intégrer le bandeau d'outils FranceConnect ou ajouter des liens vers les traces de connexion et échanges de données (https://fcp.integ01.dev-franceconnect.fr/traces)
  • Ajouter une interface pour permettre à l'utilisateur de supprimer l'association entre le compte local et France Connect ?
  • Dans le cadre d'une mise en oeuvre en production, le dispositif doit être validé par le SGMAP. il faudrait éventuellement prévoir une validation globale de l'implémentation dans un cadre défini (établissement scolaire ou seshat)

https://doc.integ01.dev-franceconnect.fr/files/cgu_fs_securite_v1.0.pdf

  • vérifier les droits d'accès sur les fichiers de stockage des correspondances de comptes
  • Ajouter des vérifications sur les paramètres reçus (id_token, access_token, ...)
  • Vérifier que la librairie python-oic vérifie la date d'expiration des jetons d'accès
  • Vérifier que le paramètre nonce fourni avec le jeton d'accès est le même que celui fourni lors de la requête initiale

nouvelle version du document : https://doc.integ01.dev-franceconnect.fr/files/CGU%20FS%20-%20Annexe%20Securite%20V2.1.pdf

  • vérifier le nom de domaine du serveur en cas d'appel direct entre serveurs (oidc_utils.py : appels à client.do_access_token_request et client.do_user_info_request de la librairie pyoidc). Concerne seulement les appels à un fournisseur de données (non utilisé par EoleSSO).

Associated revisions

Revision f5748c49 (diff)
Added by Bruno Boiget over 7 years ago

Adaptation du support France Connect aux dernières CGU publiées

  • Ajout d'un lien d'information paramétrable pour chaque fournisseur
  • Vérification du paramètre nonce à la réception du jeton d'accès
  • Echappements supplémentaires sur les paramètres reçus
  • Mise à jour des images des boutons Google et FranceConnect

ref #16111 @4h

Revision b889fc6e (diff)
Added by Bruno Boiget over 7 years ago

OpenID Connect : vérification de l'expiration de l'ID Token

ref #16111 @30m

History

#1 Updated by Bruno Boiget over 7 years ago

  • Status changed from Nouveau to À formaliser
  • Parent task deleted (#16078)

#2 Updated by Bruno Boiget over 7 years ago

  • Tracker changed from Tâche to Proposition Scénario
  • Subject changed from Mise en conformité avec les dernières CGU to FranceConnect: Mise en conformité avec les dernières CGU
  • Description updated (diff)

#3 Updated by Bruno Boiget over 7 years ago

  • Category set to Version mineure
  • Target version deleted (sprint 2016 19-21 - Equipe MENESR)
  • Estimated time set to 8.00 h

#4 Updated by Bruno Boiget over 7 years ago

  • Status changed from À formaliser to Nouveau

#5 Updated by Bruno Boiget over 7 years ago

  • Tracker changed from Proposition Scénario to Tâche
  • Target version set to sprint 2016 19-21 - Equipe MENESR
  • Parent task set to #16078
  • Remaining (hours) set to 8.0

#6 Updated by Bruno Boiget over 7 years ago

Points traités / vérifiés :

  • Ajout de 2 paramètres pour créer un lien vers une page d'informations spécifique à chaque fournisseur (URL + libellé). Le lien 'Qu'est ce que France Connect ?' est pré-paramétré.
  • Les droits sur les fichiers de correspondance des comptes semblent suffisamment restrictifs :
root@horus:/usr/share/sso/openid_users# ll -d /usr/share/sso/openid_users/
drwx------ 2 root root 4096 mai   12 16:02 /usr/share/sso/openid_users//
root@horus:/usr/share/sso/openid_users# ll /usr/share/sso/openid_users/*
-rw------- 1 root root 87 mai   12 16:07 /usr/share/sso/openid_users/fconnect_users.ini
-rw------- 1 root root  0 mai   12 15:16 /usr/share/sso/openid_users/google_users.ini
  • Ajout d'une validation supplémentaire sur le paramètre nonce renvoyé avec le jeton d'accès.

Actuellement, l'identifiant / mot de passe secret du client sont stockés dans config.eol. Voir si cela peut poser problème.

Les points facultatifs suivants pourront être traités dans un 2ème temps si besoin :

  • ajout d'un lien vers l'historique de connexion et d'échanges de données (France Connect)
  • ajout d'une interface permettant d'annuler l'association entre le compte local et un compte OpenID

Ces deux points nécessitent d'ajouter une page 'espace utilisateur' à EoleSSO (faire évoluer la page /loggedin ?), éventuellement d'y intégrer le kit d'outils FranceConnect dans le cas ou l'utilisateur s'est connecté par ce biais.

#7 Updated by Bruno Boiget over 7 years ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Bruno Boiget
  • % Done changed from 0 to 60

#8 Updated by Bruno Boiget over 7 years ago

  • Description updated (diff)
  • Remaining (hours) changed from 8.0 to 3.0

#9 Updated by Bruno Boiget over 7 years ago

  • Description updated (diff)

#10 Updated by Bruno Boiget over 7 years ago

  • Subject changed from FranceConnect: Mise en conformité avec les dernières CGU to FranceConnect: Mise en conformité technique avec les dernières CGU
  • % Done changed from 60 to 100
  • Remaining (hours) changed from 3.0 to 0.5

#11 Updated by Scrum Master over 7 years ago

  • Status changed from En cours to Résolu

#12 Updated by Joël Cuissinat over 7 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.5 to 0.0

Also available in: Atom PDF