Authentification CAS

2023-11-26T17:57:02Z

Pierre-emmanuel.baviere : Added some additional info about cas attributes in local

Sigma permet à des sites externes (binets en particulier) d'utiliser sa base de données pour authentifier les utilisateurs à travers le protocole CAS 3.0.

Le serveur CAS est situé à l'adresse [https://cas.binets.fr/ cas.binets.fr] et est lié à la base de données Sigma. Si vous souhaitez que l'ensemble du personnel de l'École (élèves compris) puisse s'authentifier, vous pouvez utiliser le [https://metacas.binets.fr/ metacas.binets.fr] qui est lui lié au LDAP de l'École.

Le webmaster du site en question doit auparavant faire une demande de mise en place de ce système en créant une tâche PaniX. Il doit alors donner :
* l'url complète de la page de login de son site (plus précisément, l'URL de callback)
* les informations auxquelles il souhaite accéder
* son choix entre cas et metacas
* une justification de la demande
Si la demande est acceptée, un membre du BR va alors inscrire son site dans notre base de données de sites externes.

Le domain `localhost` fait également partie des domaines acceptés par le cas. Cela permet de faire des tests en développement et de faire fonctionner le site à l'identique.

== Liste des informations disponibles ==

Tu peux demander l'accès aux informations

* noms : prénom, nom, surnom, identifiant BR
* adresse mail
* téléphone
* photo : URL vers la photo TOL
* numéro de chambre
* date de naissance
* groupes : promo, section, binets …
* droits : droits dans les groupes associés (membre, speaker, admin, follower)
* nationalité

Attention, le nom des attributs varie entre le domaine localhost et les autres domaines (pour une raison inconnue). Par exemple, en production, on trouve `prenom` et `nom` alors que pour localhost on trouve `givenName` et `sn`.

== Pour les développeurs ==

=== CAS de développement ===

Pour le développement, il est possible d'utiliser un serveur CAS de test qui tourne dans un container Docker avec des données fictives, ce qui permet de tester facilement les différents privilèges et le fonctionnement de la connexion. Le projet est disponible sur [https://gitlab.binets.fr/br/docker-cas GitLab].

=== En PHP ===

Le plus simple en PHP est d'utiliser la librairie [https://github.com/apereo/phpCAS phpCAS].

==== Code de la page d'identification en PHP ====

Ci-dessous un exemple très simple et commenté de script d'authentification, à mettre sur votre site :

<syntaxhighlight lang="php" line>
<?php
include 'CAS_auth.php';
if(!isset($_GET['ticket'])){
CAS_do_auth();
}
$auth = CAS_get_response();

// et voila !
// les données sont stockées dans $auth = array(key, value, ...);
</syntaxhighlight>

(ne pas oublier d'enregistrer ces infos dans la Session après ...)

==== Code des fonctions utilisées dans ''CAS_auth.php'' ====

<syntaxhighlight lang="php">
<?php

function CAS_do_auth(){
/**
* url de la page de login, doit correspondre *exactement* à celle donnée lors de l'inscription
*/
$site = 'http://monsite/login';
/**
* Il est possible de forcer la reconnexion et d'ignorer ainsi une connexion passée.
*/
$reconnexion = false;
header('Location: https://cas.binets.fr/login?service='.rawurlencode($site).'&renew='
.$reconnexion);
}

function CAS_get_response(){
$site = 'http://monsite/login';

/**
* Récupération de l'id de l'utilisateur correspondant à ce ticket, ainsi que les informations demandées
*/
$response = file_get_contents('https://cas.binets.fr/serviceValidate?service='.rawurlencode($site ).'&ticket='
.$_GET['ticket']);

$doc = new DOMDocument();
$doc->loadXML($response);

if ($doc->getElementsByTagName('authenticationFailure')->length == 0) {
$return = array();
/**
* Récupération de l'id de l'utilisateur
*/
$return['id'] = $doc->getElementsByTagName('user')->item(0)->textContent;
/**
* Récupération des données de l'utilisateur
*/
foreach ($doc->getElementsByTagName('attribute') as $attribute) {
if (isset($return[$attribute->getAttribute('name')])) {
if (!is_array($return[$attribute->getAttribute('name')])) {
$return[$attribute->getAttribute('name')] = [$return[$attribute->getAttribute('name')]];
}
$return[$attribute->getAttribute('name')][] = $attribute->getAttribute('value');
} else {
$return[$attribute->getAttribute('name')] = $attribute->getAttribute('value');
}
}
return $return;
} else {
return false;
}
}
</syntaxhighlight>

==== Bugs vécus ====

Si l'authentification ne fonctionne pas sur certains navigateurs, vérifier les variables $_GET car elles sont peut être doublement encodées. Dans ce cas, soit refaire <code>urldecode</code>, soit un <code>$s = str_replace('%22','"',$s);</code> Si il y a un problème avec les encodages en <code>\u{whatever}</code> pour les caractères accentués, voila une fonction qui peut vous servir (reconversion en UTF-8) :
<syntaxhighlight lang="javascript">
function jsonClean($s) {
return preg_replace("/\\\\u([a-f0-9]{4})/e", "iconv('UCS-4LE','UTF-8',pack('V', hexdec('U$1')))",$s);
}
</syntaxhighlight>

=== Avec NodeJS ===

On utilise le paquet [https://www.npmjs.com/package/cas-authentication cas-authentication].

La [https://www.npmjs.com/package/cas-authentication page descriptive] du package décrit bien comment utiliser le middleware.

''Notes''
* Pour récupérer les attributs, préciser <code>session_info</code> dans la configuration de <code>cas-authentification</code>
* Pour un exemple basique, voir [https://gitlab.binets.fr/hadrien.renaud/cas-auth-validator ici]

=== Avec Django ===

* Installer le paquet django_cas_ng : <code>pip install django-cas-ng</code>
* Ajouter ce paquet à la liste des applications :

<syntaxhighlight lang="python">
INSTALLED_APPS = [
...
'django_cas_ng',
...
]
</syntaxhighlight>

* Configurer la connexion au serveur CAS du BR :
<syntaxhighlight lang="py">
AUTHENTICATION_BACKENDS = (
'django.contrib.auth.backends.ModelBackend',
'django_cas_ng.backends.CASBackend',
)
CAS_SERVER_URL = "https://cas.binets.fr/"
</syntaxhighlight>

* Renseigner les pages de connexion (dans my_project/urls.py par exemple):

<syntaxhighlight lang="python">
from django_cas_ng.views import login, logout

urlpatterns = [
...
url(r'^login$', login, name='cas_ng_login'),
url(r'^logout$', logout, name='cas_ng_logout'),
...
]
</syntaxhighlight>

* Ajouter l'URL d'entrée : <code>LOGIN_URL = "login"</code>

Attention à forcer l'authentification pour les pages concernées :

<syntaxhighlight lang="python">
from django.contrib.auth.decorators import login_required

@login_required
def my_awesome_view(request):
...
</syntaxhighlight>

''À noter :''
* le nom de l'utilisateur connecté se trouve dans : request.user.username (accessible dans n'importe quelle vue).
* les attributs du ldap peuvent être disponibles (demander les attributs nécessaires lors de la mise en place du CAS). Ils sont alors disponibles dans <code>request.session['attributes']</code>.
* plus d'options de configuration sont présentées [[https://github.com/mingchen/django-cas-ng/tree/master/django_cas_ng ici]]

=== Avec Flask ===

On utilise le module [[https://github.com/ravomavain/Flask-CAS flask-cas]]. Voir un exemple [[https://gitlab.binets.fr/br/cas-authenticator/-/blob/master/app.py ici]].

=== Avec Drupal ===

L'implémentation de l'authentification avec un CMS comme Drupal n'est pas forcément évidente. Si vous avez une question, vous pouvez contacter Antoine Sauvage

WikiBR - Contributions [fr]

Authentification CAS