*/ class UtilisateurController extends AbstractActionController implements ServiceLocatorAwareInterface { use ServiceLocatorAwareTrait; /** * @var LdapPeopleMapper */ protected $ldapPeopleMapper; /** * Traite les requêtes AJAX POST de sélection d'un profil utilisateur. * La sélection est mémorisé en session par le service AuthUserContext. * * @param bool $addFlashMessage * @return bool|string */ public function selectionnerProfilAction($addFlashMessage = true) { $request = $this->getRequest(); if (! $request instanceof Request) { exit(1); } if (! $request->isXmlHttpRequest()) { return $this->redirect()->toRoute('home'); } $role = $request->getPost('role'); if ($role) { $this->getAuthUserContextService()->setSelectedIdentityRole($role); } if ($addFlashMessage) { $selectedRole = $this->getAuthUserContextService()->getSelectedIdentityRoleToString(); $message = sprintf("Vous endossez à présent le profil utilisateur %s.", $selectedRole); $this->flashMessenger()->setNamespace('UnicaenAuth/success')->addMessage($message); } return false; } /** * Usurpe l'identité d'un autre utilisateur. * * @return Response */ public function usurperIdentiteAction() { $request = $this->getRequest(); if (! $request instanceof Request) { exit(1); } $newIdentity = $request->getQuery('identity', $request->getPost('identity')); if (! $newIdentity) { return $this->redirect()->toRoute('home'); } /** @var AuthenticationService $authenticationService */ $authenticationService = $this->getServiceLocator()->get(AuthenticationService::class); $currentIdentity = $authenticationService->getIdentity(); if (! $currentIdentity || ! is_array($currentIdentity)) { return $this->redirect()->toRoute('home'); } if (isset($currentIdentity['ldap'])) { // si l'identifiant demandé contient un @, on estime qu'il s'agit d'un eppn shibboleth : on autorise pas le mélange des genres! // todo: faire mieux if (strpos($newIdentity, '@') !== false) { throw new RuntimeException("Usurpation Shibboleth interdite depuis une authentification LDAP"); } /** @var People $currentIdentity */ $currentIdentity = $currentIdentity['ldap']; // vérif existence de l'individu dans l'annuaire LDAP $ldapPeople = $this->getLdapPeopleMapper()->findOneByUsername($newIdentity); if (!$ldapPeople) { throw new RuntimeException("Identifiant LDAP inconnu"); } } elseif (isset($currentIdentity['shib'])) { // si l'identifiant demandé ne contient pas @, on estime qu'il s'agit d'un identifiant LDAP : on autorise pas le mélange des genres! // todo: faire mieux if (strpos($newIdentity, '@') === false) { throw new RuntimeException("Usurpation LDAP interdite depuis une authentification Shibboleth"); } /** @var ShibUser $currentIdentity */ $currentIdentity = $currentIdentity['shib']; } else { return $this->redirect()->toRoute('home'); } // seuls les logins spécifiés dans la config sont habilités à usurper des identités /** @var ModuleOptions $options */ $options = $this->getServiceLocator()->get('unicaen-auth_module_options'); if (! in_array($currentIdentity->getUsername(), $options->getUsurpationAllowedUsernames())) { throw new RuntimeException("Usurpation non explicitement autorisée"); } // cuisine spéciale pour Shibboleth if ($currentIdentity instanceof ShibUser) { $fromShibUser = $currentIdentity; $toShibUser = $this->createShibUserFromUtilisateurUsername($newIdentity); /** @var ShibService $shibService */ $shibService = $this->getServiceLocator()->get(ShibService::class); $shibService->activateUsurpation($fromShibUser, $toShibUser); } $authenticationService->getStorage()->write($newIdentity); return $this->redirect()->toRoute('home'); } /** * Recherche l'utilisateur dont le login est spécifié puis instancie un ShibUser à partir * des attributs de cet utilisateur. * * @param string $username Ex tartempion@unicaen.fr * @return ShibUser */ protected function createShibUserFromUtilisateurUsername($username) { /** @var AbstractUser $utilisateur */ $utilisateur = $this->getUserMapper()->findByUsername($username); if ($utilisateur === null) { throw new RuntimeException("L'utilisateur '$username' n'existe pas dans la table des utilisateurs"); } $shibUser = new ShibUser(); $shibUser->setEppn($utilisateur->getUsername()); $shibUser->setId(uniqid()); // peut pas mieux faire pour l'instant $shibUser->setDisplayName($utilisateur->getDisplayName()); $shibUser->setEmail($utilisateur->getEmail()); $shibUser->setNom('?'); // peut pas mieux faire pour l'instant $shibUser->setPrenom('?'); // peut pas mieux faire pour l'instant return $shibUser; } /** * @return UserMapper */ public function getUserMapper() { return $this->getServiceLocator()->get('zfcuser_user_mapper'); } /** * @return UserContext */ protected function getAuthUserContextService() { return $this->getServiceLocator()->get('AuthUserContext'); } /** * @return LdapPeopleMapper */ public function getLdapPeopleMapper() { return $this->serviceLocator->get('ldap_people_mapper'); } }