Changeset 93428 in spip-zone

Timestamp:
Dec 7, 2015, 4:25:56 PM (4 years ago)
Author:
marcimat@…
Message:

Ajout d'un plugin pour s'interfacer avec un fournisseur d'identité SAML.
Le plugin utilise ici Simple SAML PHP. Son installation nécessite des
modifications sur le vhost Apache, ainsi qu'une configuration manuelle.

Une explication est fournie sur la page exec=configurer_simplesaml.
Une configuration minimale d'exemple est indiquée dans le répertoire
simplesaml-config-exemple.

Un auteur SPIP 6forum (de source d'identification 'saml')
est créé lors d'une identification valide, en récupérant
le nom, prénom, email.

Ce plugin ne fournit pas (actuellement) une authentification
supplémentaire dans le formulaire de login habituel. Pour l'instant,
dans l'utilisation qu'on en a, notre spip, sur un domaine,
se loge sur un autre sous-domaine du même domaine, via SAML.
La balise #URL_LOGIN_SIMPLESAML retourne l'url de connexion
si la personne n'est pas déjà identifiée. #URL_LOGOUT (habituelle)
permet de se déconnecter, du SPIP et du SSO.

Si la personne est déjà identifiée sur le SSO, mais pas directement
sur le SPIP (c'est à dire qu'elle s'est authentifiée sur un autre
sous domaine), on peut faire en sorte de se connecter automatiquement,
en lisant un cookie global au domaine qui indique l'état de connexion
au SSO. Cette possibilité, le nom du cookie, et sa valeur se déclare
dans le formulaire de configuration. (Je n'ai pas encore pu vérifier
le bon fonctionnement, mais ça ne saurait tarder !)

Ce plugin est une refonte totale d'un plugin SPiP créé par Entrouvert,
à l'origine pour SPIP 1.9.2 et modifié au fur et à mesure jusqu'en 3.0.
Merci à eux :)

Notons que le plugin ne permet pas, en l'état non plus, de faire en sorte
que SPIP soit un fournisseur d'identité. Il permet juste d'être fournisseur
de service. Mais l'étendre à cette possibilité serait sympa toutefois.

Location:
_plugins_/simplesaml
Files:
41 added

Note: See TracChangeset for help on using the changeset viewer.