Recherche

Sommaire

Pages enfant
  • Synthèse de la recette

Vous regardez une version antérieure (v. /wiki/pages/viewpage.action?pageId=96633207) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 12) afficher la version suivante »

Introduction

Cette page synthétise toutes les remarques et questions recensées lors de la phase de recette par les différentes établissements testeurs (UNR Normandie, IUFM de Bretable, Université de Bordeaux 1, Université de Rennes 1)

Remarque/Question

Remarque/Question

Commentaire

1

Nuxeo a-t-il connaissance de pb de performance lors d'accès LDAP et si oui a-t-il des pistes d'amélioration ?

On constate, sur certaines opérations, un grand nombre d'accès LDAP. Ex : Accès à tous les utilisateurs 1 par 1 et pas sur toute la branche. Nous sommes vigilants à la bonne utilisation d'index sur les attributs LDAP mais sommes peut-être passé à côté de certaines bonnes pratiques. Pour voir une configuration type utilisée pendant les tests cf. 7) configuration shib + LDAP fonctionnelle

2

Mise à jour du moteur JUEL

Rapidement pendant les tests nous avons été confronté au limitation de moteur d'évaluation des règles SHIB. Il nous fallait notamment pouvoir utiliser des expressions régulières pour tester les attributs SHIB multivalués dont le contenu est du style "valeur1;valeur2;valeur3". La modification est décrite ici : Tests UNR RUNN - Vincent bonamy (Paragraphe "JUEL...")
Nous avons aussi rencontré des difficultés avec la vérification des expressions, notamment avec la nouvelle version de JUEL, et l'avons supprimer en première approche.
Il conviendrait :

  • De livrer nuxeo avec cette version de JUEL
  • De réactiver la vérification des expressions

3

Non visualisation des "groupes composites"

Si on définit dans nuxeo un groupe "grpnx" contenant le groupe LDAP "grpldap" et que "grpldap" contient l'utilisateur "user" alors on ne voit pas, dans l'IHM nuxeo de gestion des utilisateurs, le groupe "grpnx" comme groupe d'appartenance de "user".
Pourtant une ACL avec "grpnx" positionnée sur une ressource semble bien prise en compte pour "user".

4

"groupes composites" constitués de groupes Shib non fonctionnels

Si on définit dans nuxeo un groupe "grpnx" contenant le groupe SHIB "grpshib" et que "grpshib" contient contient une règle matchant l'utilisateur "user" alors on ne sait pas autoriser "user" sur une ressource en positionnant une ACL sur "grpnx". Il faut obligatoirement positionner le groupe "grpshib".

5

Ajout d'un utilisateur SHIB, non encore authentifié, lors de la saisie des ACL

Au point 2.3.3.2 du CdC il est demandé de pouvoir ajouter un utilisateur Shib. La livraison le permet partiellement en :

  • Permettant de retrouver l'identité d'un user SHIB qui s'est déjà authentifié
  • Permettant, mais seulement à un administrateur, d'ajouter un user local avec un "username" bien construit qui permettra un appariement à la première connexion de cette utilisateur
    Mais il n'est pas possible à une personne ayant le droit "gérer" sur une ressource d'ajouter un utilisateur SHIB qui ne s'est pas encore authentifier une fois. Nous avons conscience de la difficulté technique potentielle à pouvoir répondre à cette demande. Elle correspond néanmoins à un besoin fonctionnel important. De plus, si le plus sûr en terme d'identifiant pour les utilisateurs SHIB semble être l'eppn, ce dernier n'est pas facilement manipulable par les utilisateurs finaux. Il serait donc particulièrement intéressant de pouvoir travailler sur un autre attribut comme l'email pour "référencer" cet utilisateur. Ceci en tenant compte du fait que l'email comme d'autres attributs SHIB peuvent être multivalués.

6

Non affichage des groupes sous forme d'arbre dans l'IHM de gestion des groupes de nuxeo

Il y a bien une prise en compte de la demande d'afficher les groupes sous forme d'un arbre dans l'IHM de positionnement des droits mais l'arbre n'apparait pas dans celle de gestion des groupes.

7

Erreur systématique au démarrage

Cf. 2) Erreur systématique au démarrage

8

Interface de sélection des groupes - aspect graphique

L'interface correspond de sélection est bien dans l'esprit de ce qui était recherché mais on constate quelques dysfonctionnements. Ici :

9

Interface de sélection des groupes - vision arborescente des groupes SHIB

Nous avons un doute sur l'utilité du paramètre basePath dans la mesure où se dernier permet "seulement" de rattacher en râteau les groupes SHIB dans l'arborescence de groupes.
Il nous semble important d'aussi pouvoir voir les groupes SHIB sous forme d'un arbre. Le plus simple serait donc de "seulement" traiter les groupes SHIB comme les autres groupes et fusionner les différentes sources de groupes.
Nous proposons un patch mais qui n'est pas pleinement opérationnel dans la mesure où il n'assure pas la "fusion" de différentes sources de groupes.
cf. 4) Non prise en compte du séparateur dans nom du groupe shib (paragraphe "PB 2")

10

Interface de sélection des groupes - affichage du libellé du groupe

A l'usage nous constatons que les éléments de l'arbre de groupes sont affichés avec un libellé peu intelligible. Serait-il possible d'appliquer la même règle de hachage sur la description du groupe afin d'améliorer le rendu ?
Soit le groupe "groupes:ur1:pers:comp:957:tout_957" actuellement présenté :

  • groupes
    • ur1
      • pers
        • comp
          • 957
            • tout_957
              Si on imagine qu'avec une description de la forme "Tous les groupes:Rennes 1:Personnels:Composantes:Centre de Ressources Informatique:Tout le CRI" on puisse avoir un arbre de la forme :
  • Tous les groupes
    • Rennes 1
      • Personnels
        • Composantes
          • Centre de Ressources Informatique
            • Tout le CRI
              L'ACL continue bien évidement à utiliser groupes:ur1:pers:comp:957:tout_957

11

Interface de sélection des utilisateur

Dans l'IHM de positionnement des droits Nuxeo propose une zone de sélection des utilisateurs affichant le username de l'utilisateur. Le FirstName et LastName ne sont visiblement pas pris en compte.
NB : Dans l'IHM de définition utilisateurs et des groupes on trouve aussi une telle interface (ajout d'un utilisateur à un groupe local) qui elle fonctionne.

12

Mauvaise requète LDAP pour les groupes

Cf. 5) Mauvaise requête LDAP pour les groupes

13

Forcer l'attribut "surname" dans le fieldMapping

Cf. 6) Utilisation de uidHeader

14

Livraison et maintenance

La prestation prend la forme de deux bundles :

  1. Authentification shib
  2. Affichage des groupes sous forme d'un arbre
    Le premier est un addon. Sera-t-il maintenu avec les versions futures de nuxeo ?
    Le second pourrait être inclus de base dans nuxeo mais ne l'est pas. Est-il prévu de l'y intégrer ?
  • Aucune étiquette