Librairie Django pour l'authentification via le CAS élèves + mot de passe à l'ENS.
Find a file
Martin Pepin 4af5b9a90b Merge branch 'kerl/more_docs' into 'master'
Finalise la doc avant de release la v1

See merge request klub-dev-ens/authens!20
2021-01-08 12:32:51 +01:00
authens make black happy… again 2020-09-05 22:57:08 +02:00
example_site make black happy… again 2020-09-05 22:57:08 +02:00
tests Make isort happy… 2020-07-18 18:46:09 +02:00
.gitignore Setuptools packaging 2020-07-18 19:29:15 +02:00
.gitlab-ci.yml bdist_wheels is broken at the moment 2020-07-30 11:56:18 +02:00
LICENSE Setuptools packaging 2020-07-18 19:29:15 +02:00
MANIFEST.in Add non-python content to the sdist/wheel archives 2020-07-18 19:29:22 +02:00
README.md typo 2020-11-21 12:14:24 +01:00
requirements.txt Copy dependencies to setup.py 2020-07-18 19:29:22 +02:00
runtests.py Make python-black happy 2020-07-18 18:45:21 +02:00
setup.cfg Make isort happy… 2020-07-18 18:46:09 +02:00
setup.py Include templates in the sdist/bdist archives 2020-09-14 20:52:14 +02:00
tox.ini Setuptools packaging 2020-07-18 19:29:15 +02:00

AuthENS

Librairie Django pour l'authentification via le CAS élèves à l'ENS.

AuthENS fournit une page de connexion qui laisse le choix entre "Connexion par CAS" et "Connexion par mot de passe". De plus, elle gère de façon transparente les potentiels "conflits" de username liés aux comptes Django standards non-CAS (1) et aux vieux comptes clippers (2). Plus précisément :

  1. Si un compte clipper dupond est créé alors qu'un compte Django standard avec le username dupond existait déjà, le compte nouvellement créé obtient un username différent (typiquement dupond2). La personne détentrice du compte continue de se connecter en tant que dupond sur le CAS élèves mais devra utiliser le nom dupond2 lorsqu'elle choisira d'utiliser la connexion par mot de passe sur le site, typiquement après la fin de la scolarité lorsque le compte clipper est supprimé.

  2. Si, quelques années plus tard, après que dupond a terminé sa scolarité, le SPI donne le login dupond à une nouvelle personne, AuthENS détecte que le nouveau compte dupond n'est pas le même que l'ancien et crée un nouveau compte (par exemple dupond3). Le compte dupond3 peut se connecter par CAS en tant que dupond et le compte dupond2 ne peut plus se connecter que par mot de passe.

Configuration

Urls

Vous devez rendre les pages de connexion de AuthENS accessibles, par exemple en ajoutant dans votre fichier d'urls :

urlpatterns = [
  ...
  path("authens/", include("authens.urls")),
  ...
]

La page de connexion principale de AuthENS est ensuite accessible via l'url nommée authens:login. La page de déconnexion est authens:logout, il est important d'utiliser cette vue est non la vue de déconnexion par défaut de Django pour déconnecter du CAS en plus du site.

Dans le fichier settings.py

  • Ajouter "authens" dans les INSTALLED_APPS.
  • Ajouter "authens.backends.ENSCASBackend" dans les AUTHENTICATION_BACKENDS. Si AUTHENTICATION_BACKENDS n'apparaît pas dans vos settings, utiliser :
AUTHENTICATION_BACKENDS = [
    "django.contrib.auth.backends.ModelBackend",
    "authens.backends.ENSCASBackend",
]
  • Préciser l'url de connexion:
LOGIN_URL = reverse_lazy("authens:login")
  • (Optionnel) Par défaut AuthENS propose les 3 modes de connexion (CAS / Vieux compte CAS / mot de passe). Le mode de connexion "Vieux compte CAS" peut être désactivé en ajoutant :
AUTHENS_USE_OLDCAS = False
  • (Optionnel) AuthENS utilise le paramètre Django standard LOGIN_REDIRECT_URL par défaut pour rediriger l'utilisateurice en cas de connexion réussie. Il peut être utile de définir ce paramètre.

Création d'utilisateurices

AuthENS maintient une tables des comptes clipper connus. Cette table est automatiquement mise à jour lors qu'une personne se connecte via le CAS pour la première fois. En revanche lorsqu'un nouveau compte est créé manuellement et que ce compte correspond à un compte clipper, il faut enregistrer ce compte auprès d'AuthENS, autrement le compte Django et le compte clipper seront considérés comme deux comptes différents. Authens fournit une fonction register_cas_account pour cela.

Exemple:

from authens.shortcuts import register_cas_account
from django.http import HttpResponseRedirect
from yourapp.forms import UserCreationForm

def create_user_view(requests, cas_login: str):
    if request.method == "POST":
        form = UserCreationForm(request.POST)
        if form.is_valid():
            user = form.save()
            register_cas_account(user, cas_login)
            return HttpResponseRedirect("success.html")
    else:
        form = UserCreationForm()

    return render(request, "create_user.html", {"form": form}

Migration depuis django_cas_ng

Pour migrer depuis django_cas_ng, il est recommandé de faire une data migration et d'appliquer la fonction register_cas_account sur tou⋅tes les utilisateurices.

Dans le cas où certain⋅es utilisateurices n'ont pas de clipper, on peut d'abord tester leur existence dans le LDAP du SPI de la façon suivante:

from authens.models impomrt CASAccount
from authens.shortcuts import fetch_cas_account

def migrate_user(user: User):
    # On regarde si `user` existe dans le LDAP du SPI
    ldap_info = fetch_cas_account(user.username)
    if ldap_info:
        # Si oui, on enregiste `user` en tant que compte CAS.
        # Les deux lignes suivantes sont équivalentes à appeler
        # `register_cas_account(user, user.username)` mais nous économisent une
        # requête au LDAP.
        entrance_year = ldap_info["entrance_year"]
        CASAccount.objects.create(
            user=user, cas_login=user.username, entrance_year=entrance_year
        )