| Prochaine révision | Révision précédente Prochaine révisionLes deux révisions suivantes |
| informatique:securite:authentic [2016/07/01 08:26] – créée bn8 | informatique:securite:authentic [2021/10/07 14:36] – [Authentic] bn8 |
|---|
| ====== Authentic ====== | ====== Authentic ====== |
| |
| FIXME | ===== Configuration d'une application cliente CAS ===== |
| | |
| | Pour cela, il faut accéder à l'interface d'admin d'Authentic : https://connexion.exenple.fr/admin/ (par exemple) |
| | |
| | Puis, aller dans : **Authentic2_Idp_Cas / Applications / Ajouter** et renseigner le formulaire comme suit : |
| | * **Nom :** FQDN de l'application par exemple, c'est juste pour l'affichage |
| | * **Identifiant court :** une version abrégée est auto-complété automatiquement, mais vous pouvez l'ajuster : il ne doit pas contenir que des lettres, des chiffres ou des tirets. |
| | * **Collectivité :** choisir le plus souvent //Collectivité par défaut// qui sera l'unique choix |
| | * **URLs :** renseigner l'URL de service : il s'agit de l'URL passée dans le paramètre //GET// ''service'' lors de la redirection de l'utilisateur vers le serveur CAS pour connexion. Plusieurs URLs peuvent être renseignées en les séparant par des retours à la ligne |
| | * **Nom de l'attribut :** sélectionner l'attribut qui doit être envoyé comme étant le login de l'utilisateur. Le plus souvent, il faudra sélectionner ''identifiant (django_user_username)'' correspondant à l'attribut LDAP considéré comme le login de l'utilisateur dans sa version synchronisée dans la base de données d'Authentic. Pour certaines applications, il pourra être utile dans sélectionner un autre, comme l'adresse email (''courriel (django_user_email)''). |
| | * **Mandataire :** pour des cas particuliers uniquement, lorsque l'application est accédée au travers une autre application agissant en tant que //proxy CAS// |
| | * **Déconnexion / URL :** renseigner l'URL de déconnexion de l'application. **Il faut faire attention ici que l'URL de déconnexion ne provoque pas dans la foulée une reconnexion**, car la déconnexion ne fonctionnera pas dans ce cas. |
| | * **Utiliser une iframe au lieu d’un tag img pour la déconnexion :** peut-être coché si l'application ne supporte pas l'appel de cette URL dans une balise HTML ''<img>''. Le plus souvent, tester sans et cocher la case si cela ne fonctionne pas correctement. Remarque : l'inclusion dans une ''iframe'' peut également être bloqué par l'application cliente, notamment via l'entête HTTP ''X-Frame-Options''. |
| | * **Temps d’expiration pour les iframe de déconnexion (en ms) :** à ajuster en fonction de la lenteur de prise en compte d'une déconnexion par l'application cliente. Il s'agit d'un //timeout//, donc mieux vaut prévoir assez large si l'application est un peu lente. |
| | * **Attributs pour les tickets :** on renseigne ici les attributs qui seront transmis à l'application en plus du login de l'utilisateur (sélectionné ci-dessus). Il faudra renseigner ici, pour chaque attribut : |
| | * **Identifiant court :** le nom de l'attribut, tel que communiqué à l'application cliente |
| | * **Nom de l'attribut :** sélectionner le nom de l'attribut correspondant. On distingue ici trois types d'attributs en fonction de ce qu'il y a entre parenthèses après leur nom : |
| | * ''django_*'' : il s'agit des attributs synchronisés régulièrement (et à chaque connexion) depuis l'annuaire LDAP et stockés en base de données par Authentic. Il est préférable de les utiliser en priorité lorsqu'il existe. Note : attribut mono-valué uniquement pour le monent du fait d'un [[https://dev.entrouvert.org/issues/51453|bug]]. |
| | * ''LDAP'' : attributs récupérés directement depuis l'annuaire LDAP qui peuvent être mono-valués ou multi-valués. |
| | * pas de suffixe entre parenthèses : il s'agit le plus souvent d'attributs générés à la voler par Authentic, soit en fonction d'une méthode issue de la configuration (voir paramètre ''ATTRIBUTE_SOURCES''), soit d'attributs standard prévus par Authentic. |
| |
| ===== Bug connu ===== | ===== Bug connu ===== |
| * django-import-export | * django-import-export |
| </note> | </note> |
| | |
| | ===== Debug de message SAML ===== |
| | |
| | Utilisé l'outil en ligne : http://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php |
| | |