<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    On 28.05.20 20:56, Cyril Rouiller wrote:
    <blockquote type="cite" cite="mid:20200528205606.27f6c67b@clevo">
      <pre class="moz-quote-pre" wrap="">Comme nous en avons déjà parlé sur cette liste, le canton de Fribourg a
décidé de passer tous les enseignants, quel que soit le niveau, sur
O365.

Vous ne m'otterez pas de l'idée que certaines personnes ont dû recevoir
de très gros pots de vin. Bon, en même temps, il est de notoriété
publique que notre ministre des finances est un gros magouilleur...
Mais bon, là n'est pas le problème.

Pour pouvoir se connecter à O365, il faut donner son numéro de portable
pour l'OTP. Bon, il est déjà or de question que je donne mon numéro à
Microsoft, même si l'un des informaticiens de la HEP m'a garanti que
les numéros ne sortent pas de l'un des serveurs de l'état. Mais vu son
niveau de compétence... Je ne crois pas qu'il sache de quoi il parle.

Deuxième problème, je n'ai pas un portable "fixe", et je ne veux pas en
acheter un.

Troisièmement, un autre informaticien de la HEP, connu lui pour sa
compétence, me dit qu'il n'est pas possible de relever son courrier par
IMAP sans passer par OAUTH.</pre>
    </blockquote>
    <p>Il me semble que o365 permet différent mode d'intégration.</p>
    <p>Sur la page web, tu donnes ton identifiant (email) ensuite selon
      la configuration (liée au domaine) tu es redirigé sur un autre
      portail. Ce dernier est probablement mis en place par l' "IT de
      Fribourg" et est libre de faire ce qu'il veut pour authentifier ta
      demande de connexion. La partie SMS est gérée par eux. C'est le
      modèle d'intégration que j'avais dans une grosse boite. Ce
      mécanisme utilise la notion de fédération d'identité de OAUTH.
      Quand tu passes le test "Fribourg", il te redirige avec un
      "secret" vers o365 qui valide comme il veut avec Fribourg (ou
      pas).</p>
    <p>Le problème de fond n'est pas vraiment OAUTH mais la décision de
      faire une authentification par connexion (chaque fois sur la page
      web) ou avec une durée de vie plus longue. Exemple, c'est l'aspect
      technique qui compte, si tu mets OTP sur ton compte google et tu
      veux lire tes mails en IMAP, ça ne marche pas. Par contre, google
      permet que l'authentification "forte" ne soit faite qu'une fois
      (pas de limite car tu peux révoquer plus tard). Thunderbird
      supporte de faire cette procédure et stocke ensuite les
      informations de connexion générée (attention à ce que ça ne tombe
      dans de mauvaise main).<br>
    </p>
    <p>Pour résumé, tout dépend de la manière qu'à le canton de faire la
      sécuritay (pardon, on dit gestion du risque)...<br>
    </p>
    <p> </p>
    <blockquote type="cite" cite="mid:20200528205606.27f6c67b@clevo">
      <pre class="moz-quote-pre" wrap="">Donné par la HEP:

- <a class="moz-txt-link-freetext" href="https://cknotes.com/o365-imap-authentication-oauth-mfa-wtf/">https://cknotes.com/o365-imap-authentication-oauth-mfa-wtf/</a> 
- <a class="moz-txt-link-freetext" href="https://www.supertechcrew.com/thunderbird-oauth2-gmail/">https://www.supertechcrew.com/thunderbird-oauth2-gmail/</a> </pre>
    </blockquote>
    <p>Ah ben voilà ce dont je parlais. Il y aurait de l'espoir pour
      IMAP mais tu n’échapperas pas à la 1ère authentification et donc à
      donner <b>un</b> numéro de téléphone à l'administration et
      ensuite <b>le même</b> au système pour être "validé".</p>
    <p>Juste pour être parfaitement clair: l'usage du SMS est un choix
      de Fribourg. OAUTH définit le protocole entre le service (o365) et
      le gestionnaire d'identité (IT de Fribourg). Il ne standardise pas
      les moyens de valider l'authenticité d'une demande de connexion
      par le gestionnaire d'identité.</p>
    <pre class="moz-signature" cols="72">-- 
magnus</pre>
  </body>
</html>