Problème avec plusieurs connecteurs CAS vers sur le même service mais avec des paramètres différents

[Thomas Jaisson]

Bonjour,

J'interviens sur l'ENT https://ent.iledefrance.fr/.

Afin de permettre l'accès à la plateforme moodle de l'académie de Paris depuis cet ENT, j'ai défini au niveau de la structure académique, un connecteur partagé avec les sous structures.

Le modèle de réponse CAS de ce connecteur doit être réglé sur "Universalis" car cela permet à la plateforme moodle de connaitre l'établissement de l'utilisateur et de l'aiguiller vers le bon espace.

Malheureusement, l'administrateur d'un établissement a créé un autre connecteur pointant vers le même service mais avec un autre paramétrage CAS.

Bien sûr, cet administrateur était mal informé et aurait dû employer mon connecteur. Mais l'ENT est nouveau et les administrateurs sont pris d'une frénésie de mise en place de connecteurs. Il pensait faire ce qu'il fallait.

C'est à présent le modèle de réponse CAS de ce connecteur (Uid) qui s'applique. Pas uniquement pour l'établissement en question mais pour tout l'ENT !

Mon connecteur ne fonctionne plus. J'estime qu'il s'agit d'une vulnérabilité. Elle est aggravée par le fait que :

1- je n'ai pas de méthode rapide pour rechercher l'établissement responsable (il même possible que je ne puisse pas le trouver car je ne vois que Paris et l'ENT héberge aussi Créteil et Versailles)

2- même si je le trouve - comme c'est mon cas ici - le dysfonctionnement de la mise en cache des paramètres CAS dont souffre encore cette version rend impossible la correction du problème.

Le même problème vient également de se produire sur un connecteur vers le service Educ'Arte que j'expérimente en lien avec le développeur de ce service.

Existe-t-il une méthode pour se prémunir de cette vulnérabilité ?

Quand plusieurs connecteurs pointent vers le même service, comment Entcore choisit-t-il le type de réponse CAS à envoyer ?

Cordialement,

Thomas Jaisson

Chargé de mission ENT

Rectorat de Paris

[Rafik Djedjig]

Bonjour Thomas,

Nous connaissons bien ces dysfonctionnements et nous travaillons sur leurs résolutions en 2 temps :

# 1. Mise en place de palliatif "rapide" :

voir le commit suivant qui doit être tester : https://github.com/entcore/entcore/commit/76f1716ba60a8f2310ea791f934b116f808f53c9

 - suppression des patterns d'URL de services CAS personnalisés. Il sont désormais uniquement générés automatiquement à partir de l'URL de service

- rafraîchissement systématique du cache après chaque modification (et plus par cron) => On doit bien vérifier les performances

- contrôle de gestion d'URL de service et de pattern renforcé (=> limité au SSO CAS, vérification de format d'URL plus strict ...)

# 2 : Plan d'évolution plus profond qui sera livrer dans la prochaine génération de console d'administration

voir le plan de conception : https://opendigitaleducation.atlassian.net/wiki/spaces/FK/pages/36762267/Registre+d+application+et+connecteur. 

Vos commentaires et contributions sont les bienvenus

Bien cordialement,

Rafik

--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "ENT Core".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse entcore+unsubscribe@googlegroups.com.
Pour obtenir davantage d'options, consultez la page https://groups.google.com/d/optout.