search

italia / Satosa-Saml2Spid

SATOSA SAML-to-SAML proxy with Spid compliances
Apache License 2.0
41 stars 25 forks source link

Apertura pagina di scelta #8

Closed enricooliva closed 3 years ago

enricooliva commented 3 years ago

Richiesta di supporto.

Ho utilizzato il plugin satosa.micro_services.ldap_attribute_store.LdapAttributeStore ma la ricerca per codice fiscale nel nostro LDAP restituire più risultati con ruoli (realm) diversi ad esempio staff e stud.

Come si può aprire una pagina di scelta dei record di LDAP dal plugin di LdapAttributeStore o da MultiLdapAttributeStore, esiste un esempio?

peppelinux commented 3 years ago

Ciao Enrico,

multildap è una utilità che ti consente di interrogare fonti LDAP multiple e all'occorrenza applicare anche regole di sovrascrittura e modifica dei records. Torna comodo perchè può essere testato out-of-band, fuori dal contesto SATOSA. Lo stesso settings file potrà essere incluso poi in SATOSA.

probabilmente quello che ci chiedi riguarda una sorta di pagina di disambiguazione, se ho capito bene. Ovvero l'utente sceglierebbe su quale account fare ricongiungimento una volta giunto da SPID?

enricooliva commented 3 years ago

Ottimo il multi LDAP. Si cercavo, una pagina di disambiguazione da fare aprire a livello del multi LDAP, al rientro da SPID ma prima del SP chiamante.

Mi si è aperta anche questa questione nel multi LDAP è possibile la scelta del LDAP da interrogare in base al SP di provenienza.

Grazie Enrico

Il ven 19 feb 2021, 01:11 Giuseppe De Marco notifications@github.com ha scritto:

Ciao Enrico,

multildap è una utilità che ti consente di interrogare fonti LDAP multiple e all'occorrenza applicare anche regole di sovrascrittura e modifica dei records. Torna comodo perchè può essere testato out-of-band, fuori dal contesto SATOSA. Lo stesso settings file potrà essere incluso poi in SATOSA.

probabilmente quello che ci chiedi riguarda una sorta di pagina di disambiguazione, se ho capito bene. Ovvero l'utente sceglierebbe su quale account fare ricongiungimento una volta giunto da SPID?

— You are receiving this because you authored the thread. Reply to this email directly, view it on GitHub https://github.com/italia/Satosa-Saml2Spid/issues/8#issuecomment-781719219, or unsubscribe https://github.com/notifications/unsubscribe-auth/AC2LP2PSSNNPQVSQRF2GJ5TS7WUDFANCNFSM4X22SS4Q .

peppelinux commented 3 years ago

https://github.com/IdentityPython/SATOSA/blob/78198547f307addec269050f3c0587c103b8f19f/example/plugins/microservices/ldap_attribute_store.yaml.example#L6

Eccolo qui

Sulla disambuigazione pare che non ci sia ad oggi una implementazione interna al proxy ma si potrebbe sviluppare

enricooliva commented 3 years ago

Si trovato 🤦👍 molto chiaro grazie.

Per la pagina di disambiguazione posso riuscire estendendo un BaseProcessor o occorre intervenire sul core di Satosa? Non so dove ritornare dalla pagina di disambiguazione.

Il ven 19 feb 2021, 08:46 Giuseppe De Marco notifications@github.com ha scritto:

https://github.com/IdentityPython/SATOSA/blob/78198547f307addec269050f3c0587c103b8f19f/example/plugins/microservices/ldap_attribute_store.yaml.example#L6

Eccolo qui

Sulla disambuigazione pare che non ci sia ad oggi una implementazione interna al proxy ma si potrebbe sviluppare

— You are receiving this because you authored the thread. Reply to this email directly, view it on GitHub https://github.com/italia/Satosa-Saml2Spid/issues/8#issuecomment-781898071, or unsubscribe https://github.com/notifications/unsubscribe-auth/AC2LP2L6G3VZSLEMYIKTE4TS7YJMZANCNFSM4X22SS4Q .

peppelinux commented 3 years ago

così su due piedi ti direi che c'è qualcosa in più da fare ... dovresti "risalire" e non è qualcosa che si fa in mezza giornata. cmq è pericoloso e sconsigliabile chiedere ad un utente questo genere di azione.

Ci sono alcuni casi in cui un utente potrebbe impersonificarsi in un altro, io consiglierei di lavorare su una procedura di ricongiungimento degli accounts oppure con multildap sistemare in cima alla lista gli LDAP con priorità, il match avverebbe li

enricooliva commented 3 years ago

Ok grazie stavamo riflettendo proprio su quello.

Il ven 19 feb 2021, 11:18 Giuseppe De Marco notifications@github.com ha scritto:

così su due piedi ti direi che c'è qualcosa in più da fare ... dovresti "risalire" e non è qualcosa che si fa in mezza giornata. cmq è pericoloso è sconsigliabile chiedere ad un utente questo genere di azione.

Ci sono alcuni casi in cui un utente potrebbe impersonificarsi in un altro, io consiglierei di lavorare su una procedura di ricongiungimento degli accounts oppure con multildap sistemare in cima alla lista gli LDAP con priorità, il match avverebbe li

— You are receiving this because you authored the thread. Reply to this email directly, view it on GitHub https://github.com/italia/Satosa-Saml2Spid/issues/8#issuecomment-781979998, or unsubscribe https://github.com/notifications/unsubscribe-auth/AC2LP2P4DIBRQFSTIT63UDTS7Y3HBANCNFSM4X22SS4Q .