Anomalie #22107
Mis à jour par Emmanuel DILLARD il y a plus d'un an
**Description CLient**
~~~
L'activation du mode d'authentification CAS via le fichier **apps/maarch_entreprise/xml/login_method.xml**
fait apparaître plusieurs problèmes :
1. La déconnexion ne fonctionne pas, provoquant une erreur visible dans la console qui pointe vers une
alerte de dépréciation de la fonction **phpCAS::setDebug** de la librairie [jasig/phpcas](https://labs.maarch.org/maarch/MaarchCourrier/-/tree/21.03.22/vendor/jasig/phpcas) :
```
phpCAS::setDebug() is deprecated in favor of phpCAS::setLogger().
```
Cette dépréciation n'est pas prise en compte dans le code côté Maarch Courrier
(en **21.03.22**), se manifestant de manière la plus visible par l'absence de déconnexion.
Une solution "rapide" consiste à commenter l'usage de cette fonction dans votre code,
la solution "propre" serait de mettre le code en conformité pour utiliser la nouvelle fonction.
Cette fonction est utilisée dans le code de Maarch Courrier [ici](https://labs.maarch.org/maarch/MaarchCourrier/-/blob/21.03.22/src/core/controllers/AuthenticationController.php#L505) et [ici](https://labs.maarch.org/maarch/MaarchCourrier/-/blob/21.03.22/src/core/controllers/AuthenticationController.php#L540).
2. Une fois le problème précédent réglé, le processus de connexion via CAS fait
"flasher" brièvement l'erreur suivante lors de la redirection vers le SSO :
Cela n'empêche pas le login mais l'apparition de cette erreur est tout de même
problématique, d'autant plus que le endpoint en question sert (si j'ai tout compris)
à incrémenter le numéro de version en db ce qui n'a, a priori, aucun rapport avec l'authentification.
3. La version installée de **jasig/phpcas** n'est pas connue, le fichier
**composer.lock** étant mis en .gitignore dans le dépôt (pourquoi au passage ?)
mais [les versions inférieures à **1.3.5** semblant impactées par plusieurs CVE]
(https://apereo.atlassian.net/wiki/spaces/CASC/pages/103252517/phpCAS),
pouvez-vous confirmer que la version de la librairie utilisée en **21.03.22** n'est pas vulnérable ?
~~~
**Description CP Maarch**
~~~
* Lorsqu'on souhaite se déconnecter de l'application en cliquant sur le bouton déconnexion,
cela ne nous déconnecte pas du CAS. Il faudrait que cela nous déconnecte.
Cela génére une erreur de dépréciation. Il faudrait que le code soit mis à jour pour que cette erreur n'apparaisse pas et la fonctionnalité de déconnexion soit opérationnelle
* Une erreur apparait à l'écran, il faudrait voir pour corriger cela
* pouvez vous répondre à la question du client? Merci
~~~
~~~
L'activation du mode d'authentification CAS via le fichier **apps/maarch_entreprise/xml/login_method.xml**
fait apparaître plusieurs problèmes :
1. La déconnexion ne fonctionne pas, provoquant une erreur visible dans la console qui pointe vers une
alerte de dépréciation de la fonction **phpCAS::setDebug** de la librairie [jasig/phpcas](https://labs.maarch.org/maarch/MaarchCourrier/-/tree/21.03.22/vendor/jasig/phpcas) :
```
phpCAS::setDebug() is deprecated in favor of phpCAS::setLogger().
```
Cette dépréciation n'est pas prise en compte dans le code côté Maarch Courrier
(en **21.03.22**), se manifestant de manière la plus visible par l'absence de déconnexion.
Une solution "rapide" consiste à commenter l'usage de cette fonction dans votre code,
la solution "propre" serait de mettre le code en conformité pour utiliser la nouvelle fonction.
Cette fonction est utilisée dans le code de Maarch Courrier [ici](https://labs.maarch.org/maarch/MaarchCourrier/-/blob/21.03.22/src/core/controllers/AuthenticationController.php#L505) et [ici](https://labs.maarch.org/maarch/MaarchCourrier/-/blob/21.03.22/src/core/controllers/AuthenticationController.php#L540).
2. Une fois le problème précédent réglé, le processus de connexion via CAS fait
"flasher" brièvement l'erreur suivante lors de la redirection vers le SSO :
Cela n'empêche pas le login mais l'apparition de cette erreur est tout de même
problématique, d'autant plus que le endpoint en question sert (si j'ai tout compris)
à incrémenter le numéro de version en db ce qui n'a, a priori, aucun rapport avec l'authentification.
3. La version installée de **jasig/phpcas** n'est pas connue, le fichier
**composer.lock** étant mis en .gitignore dans le dépôt (pourquoi au passage ?)
mais [les versions inférieures à **1.3.5** semblant impactées par plusieurs CVE]
(https://apereo.atlassian.net/wiki/spaces/CASC/pages/103252517/phpCAS),
pouvez-vous confirmer que la version de la librairie utilisée en **21.03.22** n'est pas vulnérable ?
~~~
**Description CP Maarch**
~~~
* Lorsqu'on souhaite se déconnecter de l'application en cliquant sur le bouton déconnexion,
cela ne nous déconnecte pas du CAS. Il faudrait que cela nous déconnecte.
Cela génére une erreur de dépréciation. Il faudrait que le code soit mis à jour pour que cette erreur n'apparaisse pas et la fonctionnalité de déconnexion soit opérationnelle
* Une erreur apparait à l'écran, il faudrait voir pour corriger cela
* pouvez vous répondre à la question du client? Merci
~~~