|
====== Meeting notes ======
|
|
# Meeting notes #
|
|
|
|
|
|
|
|
## 2016-04-20 ##
|
|
|
|
|
|
===== 2016-04-20 =====
|
|
|
|
* Done: [[https://forge.switch.ch/versions/124|w16]], demo Jenkins
|
|
* Done: [[https://forge.switch.ch/versions/124|w16]], demo Jenkins
|
|
* Prévenir quand il y a quelque chose à installer sur IdP de test
|
|
* Prévenir quand il y a quelque chose à installer sur IdP de test
|
|
* Demo MFA sur IdP UniL
|
|
* Demo MFA sur IdP UniL
|
|
* Quel choix d'écrans pour la première implémentation? ED -> le plus simple
|
|
* Quel choix d'écrans pour la première implémentation? ED -> le plus simple
|
|
|
|
|
|
===== 2016-05-04 =====
|
|
## 2016-05-04 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/125|w18]]
|
|
* Done: [[https://forge.switch.ch/versions/125|w18]]
|
|
* Demo: [[https://ci.ed.switch.ch/jenkins/|Jenkins]], [[https://mfa-dev.ed.switch.ch/idp/|IdP dev]]
|
|
* Demo: [[https://ci.ed.switch.ch/jenkins/|Jenkins]], [[https://mfa-dev.ed.switch.ch/idp/|IdP dev]]
|
|
* Design MFA pour IdP 3.3 [[https://shibboleth.net/pipermail/dev/2016-April/008171.html|MFA enhancements in 3.3]] [[https://issues.shibboleth.net/jira/browse/IDP-962|IDP-962]]
|
|
* Design MFA pour IdP 3.3 [[https://shibboleth.net/pipermail/dev/2016-April/008171.html|MFA enhancements in 3.3]] [[https://issues.shibboleth.net/jira/browse/IDP-962|IDP-962]]
|
|
* Quelle version de base? 3.2 ou 3.3-dev?
|
|
* Quelle version de base? 3.2 ou 3.3-dev?
|
|
* Quelle méthode de déploiement (pour UniGE)? [[https://forge.switch.ch/issues/3664|3664]]
|
|
* Quelle méthode de déploiement (pour UniGE)? [[https://forge.switch.ch/issues/3664|3664]]
|
|
|
|
|
|
==== 3.2 ou 3.3? ====
|
|
### 3.2 ou 3.3? ###
|
|
=== 3.2 ===
|
|
|
|
|
|
#### 3.2 ####
|
|
|
|
|
|
* + actuelle version stable
|
|
* + actuelle version stable
|
|
* + développement de login flows connu
|
|
* + développement de login flows connu
|
|
* - les login flows compliqués devront être retravaillés pour 3.3
|
|
* - les login flows compliqués devront être retravaillés pour 3.3
|
|
=== 3.3 ===
|
|
|
|
|
|
#### 3.3 ####
|
|
|
|
|
|
* + meilleur support MFA
|
|
* + meilleur support MFA
|
|
* + possibilité d'essayer cette nouvelle fonction et d'influencer sur son développement
|
|
* + possibilité d'essayer cette nouvelle fonction et d'influencer sur son développement
|
|
* - nouveau code pas encore stabilisé
|
|
* - nouveau code pas encore stabilisé
|
... | @@ -26,37 +32,48 @@ |
... | @@ -26,37 +32,48 @@ |
|
|
|
|
|
Une mise à jour de l'IdP du projet Swiss edu-ID en version 3.2 est prévue d'ici 2 mois. Pas de plan particulier pour de futures mises à jour.
|
|
Une mise à jour de l'IdP du projet Swiss edu-ID en version 3.2 est prévue d'ici 2 mois. Pas de plan particulier pour de futures mises à jour.
|
|
|
|
|
|
=== Proposition ===
|
|
#### Proposition ####
|
|
|
|
|
|
Je commence le développement d'un premier login flow très simple en me basant sur la version **3.2** (voir [[https://forge.switch.ch/issues/3674|3674]]). On refera le point sur l'état de la 3.3 à la prochaine réunion.
|
|
Je commence le développement d'un premier login flow très simple en me basant sur la version **3.2** (voir [[https://forge.switch.ch/issues/3674|3674]]). On refera le point sur l'état de la 3.3 à la prochaine réunion.
|
|
|
|
|
|
==== Prochains développements ====
|
|
### Prochains développements ###
|
|
|
|
|
|
Roadmap: [[https://forge.switch.ch/versions/128|w22]]
|
|
Roadmap: [[https://forge.switch.ch/versions/128|w22]]
|
|
|
|
|
|
* [[https://forge.switch.ch/issues/3674|3674]] Login flow with one form
|
|
* [[https://forge.switch.ch/issues/3674|3674]] Login flow with one form
|
|
* [[https://forge.switch.ch/issues/3686|3686]] Review state of IdP 3.3
|
|
* [[https://forge.switch.ch/issues/3686|3686]] Review state of IdP 3.3
|
|
|
|
|
|
==== Prochaine réunion ====
|
|
### Prochaine réunion ###
|
|
|
|
|
|
Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la prochaine aura lieu le **1er juin**.
|
|
Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la prochaine aura lieu le **1er juin**.
|
|
|
|
|
|
===== 2016-06-01 =====
|
|
## 2016-06-01 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/128|w22]]
|
|
* Done: [[https://forge.switch.ch/versions/128|w22]]
|
|
* Demo: [[https://attribute-viewer.aai.switch.ch/Shibboleth.sso/Login?entityID=https://mfa-dev.ed.switch.ch/idp/shibboleth&target=https://attribute-viewer.aai.switch.ch/aai/&authnContextClassRef=https://mfa-dev.ed.switch.ch/idp/mfa/simple|simple flow]]
|
|
* Demo: [[https://attribute-viewer.aai.switch.ch/Shibboleth.sso/Login?entityID=https://mfa-dev.ed.switch.ch/idp/shibboleth&target=https://attribute-viewer.aai.switch.ch/aai/&authnContextClassRef=https://mfa-dev.ed.switch.ch/idp/mfa/simple|simple flow]]
|
|
* État version 3.3: implémentation avance mais pas terminée, pas de date de sortie -> reste avec 3.2
|
|
* État version 3.3: implémentation avance mais pas terminée, pas de date de sortie -> reste avec 3.2
|
|
* TODO: fournir des instructions d'installation pour l'IdP (au minimum liste des fichiers/changements)
|
|
* TODO: fournir des instructions d'installation pour l'IdP (au minimum liste des fichiers/changements)
|
|
===== 2016-06-15 =====
|
|
|
|
|
|
## 2016-06-15 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/129|w24]]
|
|
* Done: [[https://forge.switch.ch/versions/129|w24]]
|
|
* Direction: login avec deux écrans 1) username/password (initial authn) 2) OTP
|
|
* Direction: login avec deux écrans 1) username/password (initial authn) 2) OTP
|
|
===== 2016-06-29 =====
|
|
|
|
|
|
## 2016-06-29 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/130|w26]]
|
|
* Done: [[https://forge.switch.ch/versions/130|w26]]
|
|
* Demo: [[https://mfa-dev.ed.switch.ch/index.html|Demo SP]]
|
|
* Demo: [[https://mfa-dev.ed.switch.ch/index.html|Demo SP]]
|
|
|
|
|
|
* Support forceAuthn pour flow MFA
|
|
* Support forceAuthn pour flow MFA
|
|
* Documenter les directives Shibboleth/Apache autour de authNContextClass
|
|
* Documenter les directives Shibboleth/Apache autour de authNContextClass
|
|
===== 2016-07-13 =====
|
|
|
|
|
|
## 2016-07-13 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/131|w28]]
|
|
* Done: [[https://forge.switch.ch/versions/131|w28]]
|
|
* Établir liste des tâches restantes
|
|
* Établir liste des tâches restantes
|
|
===== 2016-07-27 =====
|
|
|
|
|
|
## 2016-07-27 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/132|w30]]
|
|
* Done: [[https://forge.switch.ch/versions/132|w30]]
|
|
* Demo: [[https://mfa-dev.ed.switch.ch/index.html|Simple flow sans erreur]]
|
|
* Demo: [[https://mfa-dev.ed.switch.ch/index.html|Simple flow sans erreur]]
|
|
* État version 3.3: implémentation terminée et [[https://wiki.shibboleth.net/confluence/display/IDP30/MultiFactorAuthnConfiguration|documentée]]
|
|
* État version 3.3: implémentation terminée et [[https://wiki.shibboleth.net/confluence/display/IDP30/MultiFactorAuthnConfiguration|documentée]]
|
... | @@ -65,7 +82,9 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
... | @@ -65,7 +82,9 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
* PLH: partage spécifications/procédures
|
|
* PLH: partage spécifications/procédures
|
|
* AHU: résumé échanges RADIUS
|
|
* AHU: résumé échanges RADIUS
|
|
* DP/CB: tests nouveau code
|
|
* DP/CB: tests nouveau code
|
|
===== 2016-08-10 =====
|
|
|
|
|
|
## 2016-08-10 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/133|w32]]
|
|
* Done: [[https://forge.switch.ch/versions/133|w32]]
|
|
* ED: demo [[https://mfa-dev.ed.switch.ch/index.html|Password + Simple flows]]
|
|
* ED: demo [[https://mfa-dev.ed.switch.ch/index.html|Password + Simple flows]]
|
|
* PLH: [spécifications](uploads/682fd6d12b502befb66be5ab1be51941/ge173-specs_pour_gt_mfa.pdf) mises à disposition du groupe
|
|
* PLH: [spécifications](uploads/682fd6d12b502befb66be5ab1be51941/ge173-specs_pour_gt_mfa.pdf) mises à disposition du groupe
|
... | @@ -78,27 +97,38 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
... | @@ -78,27 +97,38 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
* ED: commence développement partie RADIUS [[https://forge.switch.ch/versions/134|w34]]
|
|
* ED: commence développement partie RADIUS [[https://forge.switch.ch/versions/134|w34]]
|
|
* PLH ouvert au feedback sur les [spécifications](uploads/682fd6d12b502befb66be5ab1be51941/ge173-specs_pour_gt_mfa.pdf)
|
|
* PLH ouvert au feedback sur les [spécifications](uploads/682fd6d12b502befb66be5ab1be51941/ge173-specs_pour_gt_mfa.pdf)
|
|
* DP/CB: tests nouveau code
|
|
* DP/CB: tests nouveau code
|
|
==== Questions ====
|
|
|
|
|
|
### Questions ###
|
|
|
|
|
|
* Pourrait-on envisager une authnContextClassRef commune à plusieurs institutions pour signifier l'usage d'une authentification forte (sans qu'elle soit liée à une technologie en particulier)? -> Oui, c'est ce qu'a défini le [[https://spaces.internet2.edu/display/MIPWG/MFA+Interoperability+Profile+Working+Group+Home|MFA Interoperability Profile Working Group]] avec le [[https://spaces.internet2.edu/display/MIPWG/Final+Products+of+the+MFA+Interoperability+Profile+Working+Group|InCommon MFA Profile]].
|
|
* Pourrait-on envisager une authnContextClassRef commune à plusieurs institutions pour signifier l'usage d'une authentification forte (sans qu'elle soit liée à une technologie en particulier)? -> Oui, c'est ce qu'a défini le [[https://spaces.internet2.edu/display/MIPWG/MFA+Interoperability+Profile+Working+Group+Home|MFA Interoperability Profile Working Group]] avec le [[https://spaces.internet2.edu/display/MIPWG/Final+Products+of+the+MFA+Interoperability+Profile+Working+Group|InCommon MFA Profile]].
|
|
* Quelle authnContextClassRef est demandée par le SP lors du renouvellement d'une session expirée? -> La configuration de la protection de l'URL demandée s'applique et détermine la classe.
|
|
* Quelle authnContextClassRef est demandée par le SP lors du renouvellement d'une session expirée? -> La configuration de la protection de l'URL demandée s'applique et détermine la classe.
|
|
* Quels sont les différents réglages de durée de session sur le SP en fonction de la méthode d'authentification? -> Il n'y a pas de réglage par méthode d'authentification sur le SP. Les timeouts sur l'élément [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions|Sessions]]: ''lifetime'', ''timeout'' et ''maxTimeSinceAuthn'' s'appliquent à toutes les méthodes.
|
|
* Quels sont les différents réglages de durée de session sur le SP en fonction de la méthode d'authentification? -> Il n'y a pas de réglage par méthode d'authentification sur le SP. Les timeouts sur l'élément [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions|Sessions]]: ''lifetime'', ''timeout'' et ''maxTimeSinceAuthn'' s'appliquent à toutes les méthodes.
|
|
===== 2016-08-24 =====
|
|
|
|
|
|
## 2016-08-24 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/134|w34]]
|
|
* Done: [[https://forge.switch.ch/versions/134|w34]]
|
|
* ED: seulement essai + nettoyage minimal de TinyRadius [[https://github.com/edysli/TinyRadius]]
|
|
* ED: seulement essai + nettoyage minimal de TinyRadius [[https://github.com/edysli/TinyRadius]]
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* ED: vacances 26.8-2.9 donc pas grand chose...
|
|
* ED: vacances 26.8-2.9 donc pas grand chose...
|
|
===== 2016-09-07 =====
|
|
|
|
|
|
## 2016-09-07 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/136|w36]]
|
|
* Done: [[https://forge.switch.ch/versions/136|w36]]
|
|
* ED: début modification simple flow pour valider les OTP
|
|
* ED: début modification simple flow pour valider les OTP
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* ED: suite validation OTP
|
|
* ED: suite validation OTP
|
|
===== 2016-09-21 =====
|
|
|
|
|
|
## 2016-09-21 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/137|w38]]
|
|
* Done: [[https://forge.switch.ch/versions/137|w38]]
|
|
* ED: demo [[https://mfa-dev.ed.switch.ch/index.html|login complet avec OTP]]
|
|
* ED: demo [[https://mfa-dev.ed.switch.ch/index.html|login complet avec OTP]]
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* ED: ? (voir propositions) + absence 4-13.10 -> prochaine réunion 19.10
|
|
* ED: ? (voir propositions) + absence 4-13.10 -> prochaine réunion 19.10
|
|
===== 2016-10-19 =====
|
|
|
|
==== Done ====
|
|
## 2016-10-19 ##
|
|
|
|
|
|
|
|
### Done ###
|
|
|
|
|
|
* [[https://forge.switch.ch/versions/139|w42]]
|
|
* [[https://forge.switch.ch/versions/139|w42]]
|
|
* Nouveau dépôt Git [[https://gitlab.switch.ch/etienne.dysli-metref/idpv3-mfa.git]]
|
|
* Nouveau dépôt Git [[https://gitlab.switch.ch/etienne.dysli-metref/idpv3-mfa.git]]
|
|
* UniGE
|
|
* UniGE
|
... | @@ -116,7 +146,9 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
... | @@ -116,7 +146,9 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
* permettre la saisie du code TOTP avec deux formats (123456 et 123 456).
|
|
* permettre la saisie du code TOTP avec deux formats (123456 et 123 456).
|
|
* un système d'enrôlement à GoogleAuth a été mis au point (avec authentification à deux facteurs: mot de passe et une smartcard nécessaire pour l'impression du QRCode).
|
|
* un système d'enrôlement à GoogleAuth a été mis au point (avec authentification à deux facteurs: mot de passe et une smartcard nécessaire pour l'impression du QRCode).
|
|
* une démonstration auprès des demandeurs a eu lieu ce lundi.
|
|
* une démonstration auprès des demandeurs a eu lieu ce lundi.
|
|
==== A discuter ====
|
|
|
|
|
|
### A discuter ###
|
|
|
|
|
|
* problème de l'erreur côté SP lorsque deux chemins sont protégés différemment (cf mon message du 5 octobre 2016).
|
|
* problème de l'erreur côté SP lorsque deux chemins sont protégés différemment (cf mon message du 5 octobre 2016).
|
|
* choix de l'identifiant de authnContextClassRef (p.ex. http://id.incommon.org/assurance/mfa)
|
|
* choix de l'identifiant de authnContextClassRef (p.ex. http://id.incommon.org/assurance/mfa)
|
|
* améliorations du code du module MFA dans l'IdP:
|
|
* améliorations du code du module MFA dans l'IdP:
|
... | @@ -125,34 +157,43 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
... | @@ -125,34 +157,43 @@ Je serai en vacances du 14 au 29 mai donc la réunion du 18.5 tombe et la procha |
|
* mapping du nom de login (username) sur un attribut (p.ex. idp.radius.userid-attribute = eduPersonUniqueId)
|
|
* mapping du nom de login (username) sur un attribut (p.ex. idp.radius.userid-attribute = eduPersonUniqueId)
|
|
* unit tests pour vérifier que l'IdP et en particulier la partie MFA fonctionne après un déploiement
|
|
* unit tests pour vérifier que l'IdP et en particulier la partie MFA fonctionne après un déploiement
|
|
|
|
|
|
===== 2016-11-02 =====
|
|
## 2016-11-02 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/140|w44]]
|
|
* Done: [[https://forge.switch.ch/versions/140|w44]]
|
|
* ED: rien (packages Debian)
|
|
* ED: rien (packages Debian)
|
|
* UniGE: développement procédure enrôlement pour Google Authenticator
|
|
* UniGE: développement procédure enrôlement pour Google Authenticator
|
|
* Discuté:
|
|
* Discuté:
|
|
* Il y a des personnes qui refusent de donner leur numéro de téléphone mobile ou d'utiliser leur smartphone personnel comme token. => Ni Google Auth, ni SMS OTP sont possibles et leur distribuer une Yubikey serait trop cher. Toutefois, si ces personnes sont raccordées au réseau filaire dans les locaux de l'UniGE, elles ont accès aux services sans second facteur. Ces "refuseurs" ne sont donc coupés que de l'accès à distance.
|
|
* Il y a des personnes qui refusent de donner leur numéro de téléphone mobile ou d'utiliser leur smartphone personnel comme token. => Ni Google Auth, ni SMS OTP sont possibles et leur distribuer une Yubikey serait trop cher. Toutefois, si ces personnes sont raccordées au réseau filaire dans les locaux de l'UniGE, elles ont accès aux services sans second facteur. Ces "refuseurs" ne sont donc coupés que de l'accès à distance.
|
|
===== 2016-11-16 =====
|
|
|
|
|
|
## 2016-11-16 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/141|w46]]
|
|
* Done: [[https://forge.switch.ch/versions/141|w46]]
|
|
* ED: message d'erreur sur page OTP, variables dans templates Velocity, comportement SP lors de changement de authnContextClassRef
|
|
* ED: message d'erreur sur page OTP, variables dans templates Velocity, comportement SP lors de changement de authnContextClassRef
|
|
* PLH: séance avec client (RH) -> Les applications RH seront entièrement protégées par MFA (pas de mélange dans une session). Ces applications seront regroupées dans un onglet du portail, lui-même protégé par MFA (SP supplémentaire).
|
|
* PLH: séance avec client (RH) -> Les applications RH seront entièrement protégées par MFA (pas de mélange dans une session). Ces applications seront regroupées dans un onglet du portail, lui-même protégé par MFA (SP supplémentaire).
|
|
* PLH, AHU: continuent développement des procédures d'enrôlement
|
|
* PLH, AHU: continuent développement des procédures d'enrôlement
|
|
* Implémentation bouton SMS et mise en prod sur 3.2 avant de passer à la version 3.3.
|
|
* Implémentation bouton SMS et mise en prod sur 3.2 avant de passer à la version 3.3.
|
|
* Renommer login flow "simple" -> "radius"?
|
|
* Renommer login flow "simple" -> "radius"?
|
|
===== 2016-11-30 =====
|
|
|
|
|
|
## 2016-11-30 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/142|w48]]
|
|
* Done: [[https://forge.switch.ch/versions/142|w48]]
|
|
* ED: bouton SMS avec message, flow et authnClassRef renommés
|
|
* ED: bouton SMS avec message, flow et authnClassRef renommés
|
|
* PLH: procédure d'enrôlement
|
|
* PLH: procédure d'enrôlement
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* Qui fait quoi les deux prochaines semaines?
|
|
* ED: rendre texte bouton SMS modifiable (property)
|
|
* ED: rendre texte bouton SMS modifiable (property)
|
|
* UniGE: tests de la version actuelle
|
|
* UniGE: tests de la version actuelle
|
|
===== 2016-12-14 =====
|
|
|
|
|
|
## 2016-12-14 ##
|
|
|
|
|
|
* Done: [[https://forge.switch.ch/versions/143|w50]]
|
|
* Done: [[https://forge.switch.ch/versions/143|w50]]
|
|
* ED: renommé "send sms" en "request sms" dans les messages et le code
|
|
* ED: renommé "send sms" en "request sms" dans les messages et le code
|
|
* ED: publication version 1.0.0
|
|
* ED: publication version 1.0.0
|
|
* CB: version 1.0.0 installée en test, démo
|
|
* CB: version 1.0.0 installée en test, démo
|
|
* Suite du projet en décembre et janvier? première réunion le 11.1.2017 pour voir si d'autres sont nécessaires
|
|
* Suite du projet en décembre et janvier? première réunion le 11.1.2017 pour voir si d'autres sont nécessaires
|
|
Problème quand le bouton "demander sms" est situé avant le bouton "envoyer" sur la page: si l'utilisateur appuie sur ''entrée'' dans le champ OTP, un SMS est envoyé au lieu de soumettre le code OTP. Le premier élément ''<input type="submit">'' dans l'élément ''form'' est pris comme action par défaut (voir HTML5 [[https://www.w3.org/TR/html5/forms.html#implicit-submission|implicit submission]]). Une solution pourrait être de dupliquer l'élément ''form'' pour que le bouton "demander sms" soit seul dans un formulaire.
|
|
Problème quand le bouton "demander sms" est situé avant le bouton "envoyer" sur la page: si l'utilisateur appuie sur ''entrée'' dans le champ OTP, un SMS est envoyé au lieu de soumettre le code OTP. Le premier élément ''<input type="submit">'' dans l'élément ''form'' est pris comme action par défaut (voir HTML5 [[https://www.w3.org/TR/html5/forms.html#implicit-submission|implicit submission]]). Une solution pourrait être de dupliquer l'élément ''form'' pour que le bouton "demander sms" soit seul dans un formulaire.
|
|
===== 2017-01-11 =====
|
|
|
|
|
|
## 2017-01-11 ##
|
|
|
|
|
|
* ED va adapter cette extension pour l'IdP 3.3 dans le cadre du projet edu-ID (Q3 2017), y compris processus d'enrôlement.
|
|
* ED va adapter cette extension pour l'IdP 3.3 dans le cadre du projet edu-ID (Q3 2017), y compris processus d'enrôlement.
|
|
* OJ: La configuration avec Apache 2.4 fonctionne bien, en particulier pour combiner les conditions sur l'adresse IP du client et la méthode d'authentification.
|
|
* OJ: La configuration avec Apache 2.4 fonctionne bien, en particulier pour combiner les conditions sur l'adresse IP du client et la méthode d'authentification.
|
|
* Ils reste un comportement inconsistant du point de vue de l'utilisateur: lorsqu'il passe d'un SP1 demandant seulement un mot de passe à un SP2 demandant un second facteur, l'écran du second facteur apparaît directement; alors que s'il passe à une autre URL sur le même SP mais cette fois protégée par MFA, il faut une étape supplémentaire (attraper l'erreur 401 dans Apache) pour faire apparaître l'écran du second facteur.
|
|
* Ils reste un comportement inconsistant du point de vue de l'utilisateur: lorsqu'il passe d'un SP1 demandant seulement un mot de passe à un SP2 demandant un second facteur, l'écran du second facteur apparaît directement; alors que s'il passe à une autre URL sur le même SP mais cette fois protégée par MFA, il faut une étape supplémentaire (attraper l'erreur 401 dans Apache) pour faire apparaître l'écran du second facteur.
|
... | @@ -160,22 +201,31 @@ Problème quand le bouton "demander sms" est situé avant le bouton "envoyer" su |
... | @@ -160,22 +201,31 @@ Problème quand le bouton "demander sms" est situé avant le bouton "envoyer" su |
|
* Est-il possible de remplacer le bouton "Recevoir un code par SMS" par un lien? Histoire de ne pas avoir deux éléments HTML ''type=submit'' dans la page.
|
|
* Est-il possible de remplacer le bouton "Recevoir un code par SMS" par un lien? Histoire de ne pas avoir deux éléments HTML ''type=submit'' dans la page.
|
|
* Discussion sur le problème de la livraison du second facteur à l'utilisateur: rapidité vs. vérification.
|
|
* Discussion sur le problème de la livraison du second facteur à l'utilisateur: rapidité vs. vérification.
|
|
* Prochaine réunion dans un mois (8.2.2017)
|
|
* Prochaine réunion dans un mois (8.2.2017)
|
|
===== 2017-02-08 =====
|
|
|
|
|
|
## 2017-02-08 ##
|
|
|
|
|
|
* UniGE: procédure d'enrôlement simplifiée pour mettre en place la MFA plus facilement: création du deuxième facteur uniquement à partir de la vérification du premier facteur (mot de passe).
|
|
* UniGE: procédure d'enrôlement simplifiée pour mettre en place la MFA plus facilement: création du deuxième facteur uniquement à partir de la vérification du premier facteur (mot de passe).
|
|
* Prochaine réunion dans un mois (8.3.2017)
|
|
* Prochaine réunion dans un mois (8.3.2017)
|
|
==== Lien à la place d'un bouton pour l'envoi d'un SMS ====
|
|
|
|
|
|
### Lien à la place d'un bouton pour l'envoi d'un SMS ###
|
|
|
|
|
|
Il faut remplacer l'élément ''<button type=submit .../>'' par un lien pointant vers la même URL que le formulaire avec le paramètre ''_eventId'', c'est-à-dire: <code><a href="${flowExecutionUrl}&_eventId=requestsmsotp">...</a></code>Voir à ce sujet la documentation de Spring Webflow [[http://docs.spring.io/spring-webflow/docs/2.4.x/reference/htmlsingle/#webflow-event-link|11.6.3. Using a HTML link to signal an event]]. La variable ''${flowExecutionUrl}'' est automatiquement remplacée.
|
|
Il faut remplacer l'élément ''<button type=submit .../>'' par un lien pointant vers la même URL que le formulaire avec le paramètre ''_eventId'', c'est-à-dire: <code><a href="${flowExecutionUrl}&_eventId=requestsmsotp">...</a></code>Voir à ce sujet la documentation de Spring Webflow [[http://docs.spring.io/spring-webflow/docs/2.4.x/reference/htmlsingle/#webflow-event-link|11.6.3. Using a HTML link to signal an event]]. La variable ''${flowExecutionUrl}'' est automatiquement remplacée.
|
|
===== 2017-03-08 =====
|
|
|
|
|
|
## 2017-03-08 ##
|
|
|
|
|
|
* rien de nouveau
|
|
* rien de nouveau
|
|
* prochaine réunion 12.4.2017 14:30
|
|
* prochaine réunion 12.4.2017 14:30
|
|
===== 2017-04-12 =====
|
|
|
|
|
|
## 2017-04-12 ##
|
|
|
|
|
|
Réunion annulée par manque de contenu. ;-)
|
|
Réunion annulée par manque de contenu. ;-)
|
|
|
|
|
|
===== 2017-05-17 =====
|
|
## 2017-05-17 ##
|
|
|
|
|
|
Réunion annulée car aucune discussion ne s'avère nécessaire. Les dernières nouvelles selon PLH:
|
|
Réunion annulée car aucune discussion ne s'avère nécessaire. Les dernières nouvelles selon PLH:
|
|
|
|
|
|
> Nous avons présenté au métier RH l'intégration de la MFA dans notre portail institutionnel pour répondre à leurs beoins ainsi que les interfaces de connexions MFA.
|
|
> Nous avons présenté au métier RH l'intégration de la MFA dans notre portail institutionnel pour répondre à leurs beoins ainsi que les interfaces de connexions MFA.
|
|
> Il s'avère qu'ils n'ont pas de remarques particulières sur les interfaces Shibboleth et elles leur semblent adaptées.
|
|
> Il s'avère qu'ils n'ont pas de remarques particulières sur les interfaces Shibboleth et elles leur semblent adaptées.
|
|
> Nous continuons donc le projet car il reste du travail sur d'autres demandes qu'ils ont.
|
|
> Nous continuons donc le projet car il reste du travail sur d'autres demandes qu'ils ont.
|
|
|
|
|
|
Le projet n'est pas encore en production à l'UniGE. Une phase pilote, pour un déploiement progressif, va démarrer. |
|
Le projet n'est pas encore en production à l'UniGE. Une phase pilote, pour un déploiement progressif, va démarrer. |
|
\ No newline at end of file |
|
|