Supprimer UsersHub

[bouttier]

Avantages :

• arrêter de maintenir un outil qui n’est pas notre cœur de métier
• arrêter d’utiliser un outil par ailleurs peu maintenu
  • bugs
  • non conformité RGPD (md5sum)
  • pas à l’état de l’art en matière de sécurité
  • retirer un outil externe partageant la même base de données

Cheminement :

• Ajouter une interface OAuth à UsersHub
• Intégrer dans GeoNature une gestion minimal des utilisateurs (en cherchant au maximum à utiliser des composants existant)
• Intégrer le schéma utilisateurs à GeoNature, ne plus utiliser l’API pypnusershub
• Faire le ménage dans le schéma utilisateurs de GeoNature (suppression des applications, profiles, etc.)

Les administrateurs pourront alors soit utiliser GeoNature de manière autonome, soit en l’interconnectant en OAuth à UsersHub s’ils utilisent encore UsersHub par ailleurs, soit en l’interconnectant en OAuth à un autre fournisseur d’authentification.

En lien : #1393

[camillemonchicourt]

Oui ça fait un moment que j'aimerai utiliser un système plus standard et existant. On avait regardé quelques solutions existantes mais sans succès par manque de temps et de connaissance du sujet.

Je suis favorable, tant qu'on peut continuer à partager la gestion de nos utilisateurs, de leurs comptes et de leurs accès et droits dans les différents outils centralisés et partagés entre outils. Que cela ne soit pas (obligatoirement ?) géré et intégré dans GeoNature.

A voir aussi au niveau de GeoNature : UH nous gère autant à gérer les utilisateurs que les observateurs, avec là-aussi ses avantages et ses inconvénients, mais ce n'est pas anodin et a pas mal de conséquences si on change de solution.

[Gaetanbrl]

D'autres communauté se posent ou bien se sont posées la question d'une solution "standard" ou sur étagère. Keycloak (que l'on doit tester dans l'année j'espère) a pas mal été cité avec notamment l'avantage d'avoir un code source ouvert (licence Apache 2.0), une IHM pas dégueu et connectable à un LDAP existant (pour ceux que le LDAP intéresse).

[camillemonchicourt]

Oui ça fait partie des solutions à étudier.

[bouttier]

IMHO, l’utilisation de Keycloack est au choix de l’admin qui déploie GeoNature ; nous on se contente de fournir la possibilité de connecter GeoNature à une source OAuth (telle que Keycloack). Par contre on peut se poser la question de fournir un outil plus complet pour l’« install_all », et ça peut être Keycloack.

[Gaetanbrl]

Par contre on peut se poser la question de fournir un outil plus complet

En tout cas ca peut permettre d'éviter d'avoir des issues récurrente car l'outil choisi (ou imposé par une DSI) n'est pas ou mal compatible avec GeoNature

[camillemonchicourt]

A noter aussi concernant Keycloak que c'est une solution sur laquelle la DINUM se positionne et investit. Notamment avec le développement de l'extension Keycloak-FranceConnect. Ainsi qu'avec le travail réalisé sur Keycloakify - https://github.com/blue-hats/ateliers/blob/main/ateliers.org#8-juillet--pr%C3%A9sentation-de-loutil-keycloakify

[mvergez]

Whoa c'est top ça ! Merci @camillemonchicourt ! On utilise aussi Keycloakify pour personnaliser les pages de login