API groups to teams mapper #266
Conversation
- Adds option to map groups to teams in ODC admin section. - Teams are retrieved and created during login. - Teams are assigned and unassigned based on group memberships.
| @@ -57,3 +59,8 @@ services: | |||
| connection: default | |||
| calls: | |||
| - [ setAnnotationReader, [ "@annotation_reader" ] ] | |||
|
|
|||
There was a problem hiding this comment.
Für was benötigen wir einen Keycloak authenticaor?
There was a problem hiding this comment.
Der KeycloakAuthenticator ist nicht neu. Er wurde hier eingeführt: b0e7a20
Neu sind nur die beiden Parameter:
App\Security\KeycloakAuthenticator:
arguments:
$groupApiUserId: '%group_api_user_id%'
$groupApiRole: '%group_api_role%'
Bei mir sehen die zum Beispiel so aus im env.local:
GROUP_API_USER_ID=user_identifier
GROUP_API_ROLE=585127
Mit dem ersten Parameter wählst du eine OIDC User Claim, der als UserID an die API gesendet wird. Der zweite gibt eine Rollen ID an. Wir brauchen die Rollen ID, weil wir die Anforderung haben, dass nur spezielle User mit der Rolle ODC Redakteur als Team Mitglieder hinzugefügt werden. Wer die Rolle nicht hat, der wird keinem Team zugeteilt.
Allgemein könnten wir natürlich auch über die aktuell verwendete OIDC Libs sprechen. Symfony unterstützt OIDC eigentlich von alleine seit 6.3. https://symfony.com/blog/new-in-symfony-6-3-openid-connect-token-handler
Da sehe ich schon Potential den Keycloakauthenticator komplett auszutauschen.
Aber das ist vielleicht out of scope für diesen PR?
Fügt eine neue Option zum Übertragen von API Gruppen zu Teams in den ODC Adminbereich hinzu:
@holema Wir hatten ja über die Namenskonflikte gesprochen. Ich habe dafür zunächst eine einfache Lösung in der Datenbank eingebaut, sodass API Teams quasi ihren eigenen Namespace bekommen: 35ad378
Siehst du damit ein Problem?
Offene Punkte:
Das Entziehen von Gruppenmitgliedschaften wird noch nicht unterstützt. Der Grund ist, dass wenn Mitgliedschaften durch die API auch entzogen werden, dass dann das Formular bei
/team_mitgliederkeinen Sinn mehr macht. ODC definierte Mitgliedschaften würden bei jedem Login überschrieben werden.Bevor wir das Entfernen von Team-Mitgliedern unterstützen, sollte wir folgende Frage beantworten:
Soll es weiter möglich sein im ODC Teams zuweisen? Falls nicht, dann sollte das Team-Mitglieder Formular deaktiviert werden.
Falls manuelles Zuwesien im ODC weiter möglich sein sollte wird es etwas schwieriger.
@georgloesel Hier würden wir auch von dir Feedback brauchen.