-
Notifications
You must be signed in to change notification settings - Fork 24
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Connexion : Empêcher les utilisateurs de se connecter à un autre compte du SSO partageant un courriel existant #4810
Conversation
Quel est le contexte ? Encore une fois, le Sub OpenID Connect est le seul identifiant unique d'un utilisateur : on ne doit pas le changer même si on trouve un autre utilisateur avec le même email. |
Yes bien sûr. Je vois le problème qu'on a raté sur le premier PR alors, voilà l'explication : La test que j'ai ajouté echoue sans les autres changements proposés (un Dans notre base de données, Le ticket impliqué était assez clair que uniquement les comptes PEConnect sont impliqués par cette |
Vu en semble en réunion : cette solution n'est pas souhaitable car le sub est l'identifiant unique pour un SSO donné. Afin de bloquer la connexion via un autre mode de connexion je propose de modifier le bloc
en un truc du genre
où |
@tonial je propose de merger ce PR dans l'état actuel pour corriger le bug et puis que j'ouvre un autre PR pour bloquer la mise à jour des comptes ? C'est pour déplacer le pression donné par un erreur 500 et nous laisser le temps à faire le processus complet sur le changement (la recette jetable etc) |
Autre solution rapide / temporaire : envoyer ces utilisateurs de FranceConnect (ce |
07f1575
to
2dcbf48
Compare
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
Super !
J'ai ajouté quelques remarques sur les commentaires, mais sinon, c'est parfait !
… overloading fix(openid_connect): catch EmailInUseException in all SSO providers fix: pipeline failures fix: comments
2dcbf48
to
955acdb
Compare
🤔 Pourquoi ?
Sur OIDConnect, les nom d’utilisateurs (sub) sont uniques, mais non les e-mails. Les SSOs permettent donc la réutilisation des emails entre comptes, qui est invalide sur notre service. Désormais on a permis la modification de nom d'utilisateur quand il arrive du même SSO avec un autre
sub
. Cela cause des problèmes intransients pour nos utilisateurs, et ce PR remplace ce comportement avec les erreurs explicite sur le login. C'est une étape intermediare, où après on va enforcer qu'un email peut utiliser seulement un SSO.🚨 À vérifier
Captures d'écran
FranceConnect
InclusionConnect