On 28.05.20 20:56, Cyril Rouiller wrote:
Comme nous en avons déjà parlé sur cette liste, le canton de Fribourg a
décidé de passer tous les enseignants, quel que soit le niveau, sur
O365.
Vous ne m'otterez pas de l'idée que certaines personnes ont dû recevoir
de très gros pots de vin. Bon, en même temps, il est de notoriété
publique que notre ministre des finances est un gros magouilleur...
Mais bon, là n'est pas le problème.
Pour pouvoir se connecter à O365, il faut donner son numéro de portable
pour l'OTP. Bon, il est déjà or de question que je donne mon numéro à
Microsoft, même si l'un des informaticiens de la HEP m'a garanti que
les numéros ne sortent pas de l'un des serveurs de l'état. Mais vu son
niveau de compétence... Je ne crois pas qu'il sache de quoi il parle.
Deuxième problème, je n'ai pas un portable "fixe", et je ne veux pas en
acheter un.
Troisièmement, un autre informaticien de la HEP, connu lui pour sa
compétence, me dit qu'il n'est pas possible de relever son courrier par
IMAP sans passer par OAUTH.
Il me semble que o365 permet différent mode d'intégration.
Sur la page web, tu donnes ton identifiant (email) ensuite selon la
configuration (liée au domaine) tu es redirigé sur un autre portail. Ce
dernier est probablement mis en place par l' "IT de Fribourg" et est
libre de faire ce qu'il veut pour authentifier ta demande de connexion.
La partie SMS est gérée par eux. C'est le modèle d'intégration que
j'avais dans une grosse boite. Ce mécanisme utilise la notion de
fédération d'identité de OAUTH. Quand tu passes le test "Fribourg", il
te redirige avec un "secret" vers o365 qui valide comme il veut avec
Fribourg (ou pas).
Le problème de fond n'est pas vraiment OAUTH mais la décision de faire
une authentification par connexion (chaque fois sur la page web) ou avec
une durée de vie plus longue. Exemple, c'est l'aspect technique qui
compte, si tu mets OTP sur ton compte google et tu veux lire tes mails
en IMAP, ça ne marche pas. Par contre, google permet que
l'authentification "forte" ne soit faite qu'une fois (pas de limite car
tu peux révoquer plus tard). Thunderbird supporte de faire cette
procédure et stocke ensuite les informations de connexion générée
(attention à ce que ça ne tombe dans de mauvaise main).
Pour résumé, tout dépend de la manière qu'à le canton de faire la
sécuritay (pardon, on dit gestion du risque)...
Donné par la HEP:
-https://cknotes.com/o365-imap-authentication-oauth-mfa-wtf/
-https://www.supertechcrew.com/thunderbird-oauth2-gmail/
Ah ben voilà ce dont je parlais. Il y aurait de l'espoir pour IMAP mais
tu n’échapperas pas à la 1ère authentification et donc à donner *un*
numéro de téléphone à l'administration et ensuite *le même* au système
pour être "validé".
Juste pour être parfaitement clair: l'usage du SMS est un choix de
Fribourg. OAUTH définit le protocole entre le service (o365) et le
gestionnaire d'identité (IT de Fribourg). Il ne standardise pas les
moyens de valider l'authenticité d'une demande de connexion par le
gestionnaire d'identité.
--
magnus
_______________________________________________
gull mailing list
gull@forum.linux-gull.ch
https://forum.linux-gull.ch/mailman/listinfo/gull
