Connexion : Ne plus rendre obligatoire ProConnect [GEN-2246]

[tonial]

🤔 Pourquoi ?

Certains utilisateurs sont bloqués depuis 2 mois et le support ProConnect n'arrive pas à les aider.

On va donc permettre de se connecter (pas de créer un compte pour le moment) avec les crédentials Django.

🍰 Comment ?

Décrivez en quelques mots la solution retenue et mise en oeuvre, les difficultés ou problèmes rencontrés. Attirez l'attention sur les décisions d'architecture ou de conception importantes.

🚨 À vérifier

• Mettre à jour le CHANGELOG_breaking_changes.md ?
• Ajouter l'étiquette « Bug » ?

🏝️ Comment tester ?

Les instructions pour reproduire le problème, les profils de test, le parcours spécifique à utiliser, etc. Si vous disposez d'une recette jetable, mettre l'URL pour tester dans cette partie.

💻 Captures d'écran

[notion-workspace]

🏎️ Ré-autoriser la connexion Django pour tous les utilisateurs

[francoisfreitag]

🧹 Pas mal de nettoyage, ça simplifie !

[francoisfreitag]

Je ne suis pas convaincu de la pertinence de ce check? (pour une autre PR)

[tonial]

en effet, ça ne devrait jamais arriver

[francoisfreitag]

Ce n’est pas de ton fait, mais je trouve étrange qu’on accepte toutes les invitations en attente à la connexion. Un utilisateur n’a peut-être pas envie d’être rattaché à une structure ?

[xavfernandez]

Uhuh c'est vrai qu'avec l'abandon partiel de ProConnect, https://gip-inclusion.slack.com/archives/C01AQKD7MAN/p1731421358591279 revient en force 🙈

[tonial]

C'est un bon point.
On peut sans doute ne pas accepter automatiquement en se connectant avec Django tout en le laissant pour ProConnect pour le moment.
Et même le retirer pour ProConnect tout en mettant un bandeau warning 'vous avez des invitations non acceptées" avec eventuellement un lien pour renvoyer l'email ?

[francoisfreitag]

Oui. Et proposer d’accepter l’invitation directement depuis le site ? (pas besoin d’envoyer un email)

[tonial]

Le soucis ce sont les pro sans entreprise. il faudrait les rediriger de force sur une page pour accepter les invits s'ils en ont une (là ou pour le moment on les déconnecte de force)

[francoisfreitag]

En se connectant en tant qu’admin au site:

💥

Environment:
Request Method: POST

Request URL: http://localhost:8000/login/existing/63b13e12-5b59-4bec-8ac6-cfeffce746e5?back_url=/login/job_seeker
Django Version: 5.1.6

Python Version: 3.13.2

Installed Applications:

['django.contrib.admin',

'django.contrib.auth',

'django.contrib.contenttypes',

'django.contrib.sessions',

'django.contrib.messages',

'django.contrib.staticfiles',

'django.contrib.sites',

'django.contrib.gis',

'django.contrib.postgres',

'django.forms',

'anymail',

'citext',

'django_bootstrap5',

'django_select2',

'formtools',

'huey.contrib.djhuey',

'markdownify',

'rest_framework',

'rest_framework.authtoken',

'drf_spectacular',

'django_filters',

'django_htmx',

'hijack',

'hijack.contrib.admin',

'pgtrigger',

'itou.allauth_adapters',

'allauth',

'allauth.account',

'itou.utils',

'itou.cities',

'itou.companies',

'itou.emails',

'itou.jobs',

'itou.users',

'itou.prescribers',

'itou.institutions',

'itou.files',

'itou.job_applications',

'itou.approvals',

'itou.eligibility',

'itou.openid_connect.france_connect',

'itou.openid_connect.pe_connect',

'itou.openid_connect.pro_connect',

'itou.invitations',

'itou.external_data',

'itou.metabase',

'itou.asp',

'itou.employee_record',

'itou.siae_evaluations',

'itou.geiq',

'itou.geo',

'itou.www.apply',

'itou.www.approvals_views',

'itou.www.autocomplete',

'itou.www.dashboard',

'itou.www.eligibility_views',

'itou.www.employees_views',

'itou.www.home',

'itou.www.prescribers_views',

'itou.www.search',

'itou.www.companies_views',

'itou.www.signup',

'itou.www.invitations_views',

'itou.www.stats',

'itou.www.welcoming_tour',

'itou.www.employee_record_views',

'itou.www.siae_evaluations_views',

'itou.api',

'itou.status',

'itou.antivirus',

'itou.scripts',

'itou.analytics',

'itou.communications',

'itou.gps',

'itou.rdv_insertion',

'django_extensions',

'debug_toolbar']

Installed Middleware:

['django_datadog_logger.middleware.request_id.RequestIdMiddleware',

'itou.www.middleware.public_health_check',

'django.middleware.gzip.GZipMiddleware',

'django.middleware.security.SecurityMiddleware',

'django.contrib.sessions.middleware.SessionMiddleware',

'django.middleware.common.CommonMiddleware',

'django.middleware.csrf.CsrfViewMiddleware',

'django.contrib.auth.middleware.AuthenticationMiddleware',

'django.contrib.auth.middleware.LoginRequiredMiddleware',

'django.contrib.messages.middleware.MessageMiddleware',

'django.middleware.clickjacking.XFrameOptionsMiddleware',

'allauth.account.middleware.AccountMiddleware',

'csp.middleware.CSPMiddleware',

'django_htmx.middleware.HtmxMiddleware',

'hijack.middleware.HijackUserMiddleware',

'itou.utils.perms.middleware.ItouCurrentOrganizationMiddleware',

'itou.www.middleware.never_cache',

'itou.openid_connect.pro_connect.middleware.ProConnectLoginMiddleware',

'django_datadog_logger.middleware.request_log.RequestLoggingMiddleware',

'debug_toolbar.middleware.DebugToolbarMiddleware']
Traceback (most recent call last):

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/core/handlers/exception.py", line 55, in inner

response = get_response(request)

^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/core/handlers/base.py", line 197, in _get_response

response = wrapped_callback(request, *callback_args, **callback_kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/sentry_sdk/integrations/django/views.py", line 94, in sentry_wrapped_callback

return callback(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/usr/lib/python3.13/contextlib.py", line 85, in inner

return func(*args, **kwds)

^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/views/generic/base.py", line 104, in view

return self.dispatch(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/itou/www/login/views.py", line 71, in dispatch

return super().dispatch(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/utils/decorators.py", line 48, in _wrapper

return bound_method(*args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/allauth/decorators.py", line 12, in wrap

resp = function(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/utils/decorators.py", line 48, in _wrapper

return bound_method(*args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/utils/decorators.py", line 48, in _wrapper

return bound_method(*args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/views/decorators/debug.py", line 143, in sensitive_post_parameters_wrapper

return view(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/utils/decorators.py", line 48, in _wrapper

return bound_method(*args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/views/decorators/cache.py", line 80, in _view_wrapper

response = view_func(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/allauth/account/views.py", line 93, in dispatch

return super().dispatch(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/utils/decorators.py", line 48, in _wrapper

return bound_method(*args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/utils/decorators.py", line 48, in _wrapper

return bound_method(*args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/views/decorators/cache.py", line 80, in _view_wrapper

response = view_func(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/allauth/account/mixins.py", line 53, in dispatch

response = super().dispatch(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/django/views/generic/base.py", line 143, in dispatch

return handler(request, *args, **kwargs)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/allauth/account/mixins.py", line 82, in post

response = self.form_valid(form)

^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/.venv/lib/python3.13/site-packages/allauth/account/views.py", line 106, in form_valid

return form.login(self.request, redirect_url=redirect_url)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/itou/www/login/forms.py", line 100, in login

accept_all_pending_invitations(request)

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

File "/home/freitafr/dev/itou-review/itou/www/invitations_views/helpers.py", line 64, in accept_all_pending_invitations

InvitationModel, handle_invitation = MAPPING[request.user.kind]

^^^^^^^^^^^^^^^^^^^^^^^^^^
Exception Type: KeyError at /login/existing/63b13e12-5b59-4bec-8ac6-cfeffce746e5

Exception Value: 'itou_staff'

[francoisfreitag]

Pour rejoindre une entreprise (inscription), on ne propose que pro-connect :

SIREN d’exemple: 344456389

[tonial]

Après discussion avec le métier, on va privilégier la connexion des utilisateurs existants.
Je vais donc remettre à une autre PR la création de compte avec Django, et la refonte des invitations.

[francoisfreitag]

Je me demande si on ne devrait pas changer l’identity provider de IC vers DJANGO plutôt que de forcer à PC?

[tonial]

Le seul soucis c'est qu'on cache de la logique.
Mais on pourrait en effet tous les passer à DJANGO en créant l'EmailAddress correspondant

[francoisfreitag]

Pour un utilisateur inscrit via IC/PC, il n’aura pas d’email vérifié. On entrera donc dans le parcours de vérification d’email d’allauth, avec un message disant qu’on a bien enregistré leur inscription.

Est-ce qu’on veut une migration pour ajouter un email vérifié dans allauth pour les PC et IC et éviter cette étape ?

allauth gérait ça via social login, qui appelle https://github.com/pennersr/django-allauth/blob/c11e1429d90aa12373fb97705e18b1d8c602c417/allauth/account/utils.py#L246-L280.

[tonial]

C'était en partie ce que calum avait commencé à faire, et qu'on a droppé car trop chronophage et qu'on souhaite supprimer allauth à terme.

[francoisfreitag]

Yep 👍
En l’état, c’est très bizarre que le système demande de confirmer l’inscription au moment de la connexion par Django.

[tonial]

Je n'ai pas réussi à ajouter à la volée l'EmailAdress manquante au moment du login.
Le code ne passe pas par l'adapter pour trouver l'EmailAddress : https://github.com/pennersr/django-allauth/blob/main/allauth/account/stages.py#L143-L150

Dans les possibilités :

• on laisse comme ça, de toute manière c'est normalement une solution de contournement temporaire pour une faible partie des utilisateurs
• envoyer un email mais ne pas bloquer la connexion (aka le traiter en Optional) (cf le commit que j'ai revert juste après pour que la recette garde le fonctionnement "utilisateur bloqué")
• monkey patcher has_verified_email() pour dire OK pour les utilisateurs SSO
• synchroniser les EmailAddress avec un cron toutes les heures/jours
• enregistrer proprement les EmailAddress au login avec un SSO (et donc virer allauth avant -> trop de boulot)

Je serais d'avis de laisser comme ça, parce que c'est la solution la moins coûteuse, et d'organiser un point avec le métier pour discuter de ce qu'on fait en plus sur le sujet connexion sans ProConnet :

• gestion de la création de comptes
• gestion de la validation des emails
• gestion des invitations

[francoisfreitag]

J’attends la résolution de https://gip-inclusion.slack.com/archives/CU8ATF54L/p1740484789002009.

Pourquoi est-ce qu’une migration qui ajouterait une EmailAddress(verified=True) pour les utilisateurs de PC/IC ne suffirait pas ?

• S’ils peuvent se connecter avec PC, a priori pas concernés par ces changements.
• Les utilisateurs bloqués ne peuvent pas se créer de compte sur IC ni avec Django, donc en injectant les EmailAddress(verified=True) en une fois (migration), on devrait leur permettre de se connecter sans confirmation. Et on gérera les nouveaux comptes lorsqu’on permettra à nouveau l’inscription via les emplois ?

[tonial]

En effet, ça va fonctionner

[tonial]

commit ajouté

[tonial]

J'ai commencé par nettoyer tous les objets qui pouvaient poser problème:
Tous les EmailAddress sur les comptes IC et PC (que ce soit la bonne adresse ou non)
Tous les EmailAddress qui utilisent une adresse email d'un compte IC ou PC et qui sont donc liés à des comptes non prescripteurs et employeurs vu l'étape précédent. Malheureusement il y en a.
Puis j'ai créé les objets qui vont bien pour les comptes IC et PC

[github-actions]

🥁 La recette jetable est prête ! 👉 Je veux tester cette PR !

[francoisfreitag]

On vient de les supprimer, le exclude me semble inutile?

[tonial]

Tout à fait, je retire ainsi que le commentaire.

[francoisfreitag]

Autrement ça devrait être bon 🤞