gateway - fournisseurs d'authent et gestion des org
7 views
Skip to first unread message
gaetan....@gmail.com
Oct 31, 2025, 11:26:22 AM (6 days ago) Oct 31
to georchestra
Bonjour,
Une petite note mémo sur le fonctionnement de la gateway avec les organisations lorsqu'on utiliser un fournisseur d'identité (provider) comme Proconnect ou FranceConnect.
Je vous met en PJ n petit schéma qui reprend le fonctionnement.
Une petite note mémo sur le fonctionnement de la gateway avec les organisations lorsqu'on utiliser un fournisseur d'identité (provider) comme Proconnect ou FranceConnect.
Je vous met en PJ n petit schéma qui reprend le fonctionnement.
Voici des notes sur le fonctionnement actuel.
1) réconciliation par email
Pour Proconnect, qui nécessite une org, alors l'org sera fournie dans les claims. Donc un nouveau user sera intégré dans une org existante selon l'orgUniqueId ou une nouvelle org (si l'uid de l'orgUniqueId n'est pas trouvée dans le ldap).
1) réconciliation par email
La gateway permet de réconcilier un user provenant d'un provider (e.g FranceConnect) et un user du ldap à partir de son email. Ceci via le paramètre searchEmal (voir
https://docs.georchestra.org/gateway/en/latest/user_guide/authentication/?h=searchemail#provider-configuration-options
https://docs.georchestra.org/gateway/en/latest/user_guide/authentication/?h=searchemail#provider-configuration-options
C'est géré au global ou par provider.
2) Organisation par défaut
Vous pouvez utiliser un defaultOrganization pour que tous les users provenants d'un provider soit affectés à cette org.
Cela fonctionne uniquement si le provider ne fourni pas d'org ou si l'org est nulle (exemple : le provider ne retourne pas d'org ou une valeur nulle pour un claims devant reoturner un organisme).
3) ProConnect et les org
2) Organisation par défaut
Vous pouvez utiliser un defaultOrganization pour que tous les users provenants d'un provider soit affectés à cette org.
Cela fonctionne uniquement si le provider ne fourni pas d'org ou si l'org est nulle (exemple : le provider ne retourne pas d'org ou une valeur nulle pour un claims devant reoturner un organisme).
3) ProConnect et les org
Pour Proconnect, qui nécessite une org, alors l'org sera fournie dans les claims. Donc un nouveau user sera intégré dans une org existante selon l'orgUniqueId ou une nouvelle org (si l'uid de l'orgUniqueId n'est pas trouvée dans le ldap).
Voici à présent des cas spécifiques qui nécessitent à mon sens d'être revus :
- La gateway force Organisation par défaut
- La gateway force Organisation par défaut
Imaginons le cas d'usage suivant :
Angela se connecte pour la premiere fois via franceconnect. Elle arrive par défaut dans l'org "public" (définie dans la config de la gateway).
Robert, administrateur, change son org et la met dans "region-bretagne".
Angela se deconnecte, et revient plus tard dans georchestra via franceconnect. Son org est de nouveau public -> elle devrait être dans "region-bretagne".
On observe que si un utilisateur provenant d'un provider se connecte, si le provider ne renseigne pas d'org, alors c'est l'org par défaut (si configuré) qui est utilisé sans tenir compte de la valeur existante de l'org.
- Organisation par défaut pour tous
- Organisation par défaut pour tous
L'ajout d'un org par défaut est utilisé pour tous les providers. Il serait intétessant de pouvoir gérer au cas par cas l'organisation par défaut.
- Réconciliation des orgs pour proconnect
Le fonctionnement actuel devrait être optionnel et configurable pour soit utiliser systématiquement l'org du provider, ou bien indiquer qu'on ne veut pas l'org du provider, et donc laisser le provider tel que défini dans le ldap (e.g. l'admin à la main).
Je pense que des issues permettront d'échanger plus loin.
Gaetan B
Reply all
Reply to author
Forward
0 new messages