Migration vers ProConnect

[ikarius]

ℹ️ PR créée à partir des PR originales gip-inclusion/dora-back#325 et gip-inclusion/dora-front#460 suite à la création du monorepo.

Backend migration ProConnect

Cette PR ajoute la couche technique OIDC nécessaire à une connexion à ProConnect (PC).
La couche de connexion Inclusion-Connect (IC) reste en place comme solution de repli en cas de problèmes lors du déploiement de PC.

Utilisation de mozilla-django-oidc

La quasi-totalité du flow OIDC est géré par la librairie mozilla-django-oidc choisie pour sa simplicité et parce que déjà utilisée par d'autres startups de l'écosystème beta.gouv.

Son code est simple, lisible et peut-être facilement assimilé et étendu au besoin (ce qui est notre cas).

La mise en oeuvre de mozilla-django-oidc est essentiellement déclarative :
la plupart des actions, endpoints, callbacks .. sont configurables via de simple `settings Django.

Pour les aspects :
- création et récupération d'utilisateur,
- personnalisation des interactions : SAFIR, SIRET ...
- déconnexion

certaines portions de la librairie ont dues être enrobées ou étendues pour ajouter ces fonctionnalités.

Configuration de Django pour PC :

Voir tous les paramètres Django préfixés OIDC_ , ainsi que :
- LOGIN_REDIRECT_URL
- LOGOUT_REDIRECT_URL : pour les 2 étapes de déconnexion,
- OIDC_CALLBACK_CLASS : pour le gestionnaire d'identification personnalisé.

Description des particularités DORA / PC

Connexion au frontend

Pour la connectique IC, certaines parties du flow OIDC sont implémentées coté frontend (appels initiaux, callbacks).

Pour PC, tout est centralisé au niveau du backend.

Une fois le flow OIDC terminé, un token DRF est transmis à la partie frontend pour être stocké sous forme d'entrée localStorage (même mécanisme que pour la connexion actuelle avec IC).

Ce mécanisme devra être revu, ou au moins renforcé une fois IC complètement décommissionné.

Ajouts d'étapes intermédiaires dans le flow OIDC

oidc/oidc_logged_in

Après le callback d'identification OIDC pour permettre :
- de gérer correctement la redirection en cas de next_url ,
- de passer le token DRF au frontend.

oidc/oidc_pre_logout

Une déconnexion complète avec PC nécessite 2 étapes, dans l'ordre :

• effacement des données PC sur le site PC via un token stocké à la connexion et un endpoint spécifique (effacement des cookies du domaines PC),
• l'effacement de la session sur le serveur Django.

Mal gérer cette phase mène à des états de connexion instables et dans certains cas des problèmes de redirections infinies.

Adaptation de certaines fonctions OIDC

Essentiellement représentées par des vues Django et le gestionnaire d'identification.

Vue CustomLogoutView

Enrobe la vue de déconnexion de mozilla-django-oidc pour permettre les deux étapes :

• vérification d'un state ,
• redirection vers le logout de PC,
• effacement de la session Django.

Vue CustomAuthorizationCallbackView

Permet essentiellement de bien gérer le paramètre next_url et d'effectuer correctement la redirection entre backend et frontend après une identification réussie.

Gestionnaire OIDCAuthenticationBackend

La création d'un gestionnaire d'identification personnalisé est nécessaire pour plusieurs raisons.

D'abord à cause d'un problème (?) d'implémentation par PC lors du retour du token JWT.

Le type de contenu de la réponse n'est pas celui attendu, et un reformatage du token est nécessaire pour éviter une erreur de traitement (voir get_user_info).

Ensuite les traditionnelles étapes de création ou de récupération d'un utilisateur existant après une identification réussie doivent être améliorés pour :

• la récupération du SIRET et éventuellement du code SAFIR,
• utiliser un token DRF plutôt que l'identification par défaut de Django,
• le stockage du sub OIDC en base (pour l'instant pas utilisé).

Voir les méthodes :

• get_user,
• update_user,
• create_user,
• get_user_info : pour le reformatage du token.

Frontend migration ProConnect

Cette PR n'est pas prête pour la production car elle contient les accès aux 2 systèmes d'identification (IC et PC).

Assez peu de choses sur la partie frontend, la plupart des actions du flow OIDC étant effectuées coté backend.

[ggounot]

Sacré travail. C'est propre et très bien documenté. Chapeau !

Petit soucis cependant :

Après avoir fait une recherche, je me connecte avec Pro Connect.

Mon URL passée par par le paramètre next est : /recherche?city=75112&cl=Paris (75)&l=Rue de Lyon 75012 Paris&lat=48.849221&lon=2.370927

À la fin du processus d'identification, je suis redirigé vers : /recherche?city=75112
Il y a donc perte de paramètres de l'URL.

En revanche, quand je me connecte à partir d'une page service avec seulement l'ID de la recherche dans l'URL : /services/bimbamjob-jlgu-titre-professionnel-?searchId=194805 je suis bien redirigé vers cette exacte URL.

[ggounot]

PRO-CONNECT : préparer le socle technique

[ikarius]

Je viens de marquer les deux dernières correction de typos comme terminées.
Je passe la migration ProConnect en staging pour vérifications avant lundi.