[gull] o365

[magnus]

On 28.05.20 20:56, Cyril Rouiller wrote:
> Comme nous en avons déjà parlé sur cette liste, le canton de Fribourg a
> décidé de passer tous les enseignants, quel que soit le niveau, sur
> O365.
>
> Vous ne m'otterez pas de l'idée que certaines personnes ont dû recevoir
> de très gros pots de vin. Bon, en même temps, il est de notoriété
> publique que notre ministre des finances est un gros magouilleur...
> Mais bon, là n'est pas le problème.
>
> Pour pouvoir se connecter à O365, il faut donner son numéro de portable
> pour l'OTP. Bon, il est déjà or de question que je donne mon numéro à
> Microsoft, même si l'un des informaticiens de la HEP m'a garanti que
> les numéros ne sortent pas de l'un des serveurs de l'état. Mais vu son
> niveau de compétence... Je ne crois pas qu'il sache de quoi il parle.
>
> Deuxième problème, je n'ai pas un portable "fixe", et je ne veux pas en
> acheter un.
>
> Troisièmement, un autre informaticien de la HEP, connu lui pour sa
> compétence, me dit qu'il n'est pas possible de relever son courrier par
> IMAP sans passer par OAUTH.

Il me semble que o365 permet différent mode d'intégration.

Sur la page web, tu donnes ton identifiant (email) ensuite selon la 
configuration (liée au domaine) tu es redirigé sur un autre portail. Ce 
dernier est probablement mis en place par l' "IT de Fribourg" et est 
libre de faire ce qu'il veut pour authentifier ta demande de connexion. 
La partie SMS est gérée par eux. C'est le modèle d'intégration que 
j'avais dans une grosse boite. Ce mécanisme utilise la notion de 
fédération d'identité de OAUTH. Quand tu passes le test "Fribourg", il 
te redirige avec un "secret" vers o365 qui valide comme il veut avec 
Fribourg (ou pas).

Le problème de fond n'est pas vraiment OAUTH mais la décision de faire 
une authentification par connexion (chaque fois sur la page web) ou avec 
une durée de vie plus longue. Exemple, c'est l'aspect technique qui 
compte, si tu mets OTP sur ton compte google et tu veux lire tes mails 
en IMAP, ça ne marche pas. Par contre, google permet que 
l'authentification "forte" ne soit faite qu'une fois (pas de limite car 
tu peux révoquer plus tard). Thunderbird supporte de faire cette 
procédure et stocke ensuite les informations de connexion générée 
(attention à ce que ça ne tombe dans de mauvaise main).

Pour résumé, tout dépend de la manière qu'à le canton de faire la 
sécuritay (pardon, on dit gestion du risque)...

> Donné par la HEP:
>
> -https://cknotes.com/o365-imap-authentication-oauth-mfa-wtf/  
> -https://www.supertechcrew.com/thunderbird-oauth2-gmail/  

Ah ben voilà ce dont je parlais. Il y aurait de l'espoir pour IMAP mais 
tu n’échapperas pas à la 1ère authentification et donc à donner *un* 
numéro de téléphone à l'administration et ensuite *le même* au système 
pour être "validé".

Juste pour être parfaitement clair: l'usage du SMS est un choix de 
Fribourg. OAUTH définit le protocole entre le service (o365) et le 
gestionnaire d'identité (IT de Fribourg). Il ne standardise pas les 
moyens de valider l'authenticité d'une demande de connexion par le 
gestionnaire d'identité.

-- 
magnus

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20200529/7206d9cc/attachment-0001.html>