Authentification à deux étapes

Bonjour,

Arlo me demande régulièrement d’activer l’authentification à deux étapes.
Si je l’active, est ce que le plugin Arlo fonctionnera toujours ?

Merci

gotch

Bonjour,
Oui et non :blush:

Oui s’il a bien un utilisateur different qui lui est dédié comme recommandé dans la doc, l’authentification en 2 étapes sera activées sur ton utilisateur mais pas celui du plugin.

Et non, le plug-in ne sait pas (encore) gérer le 2FA donc si c’est activé sur l’utilisateur du plug-in il ne pourra plus se connecter.
C’est dans mes bacs, j’ai déjà fait un poc sur une version en dev chez moi (via email, pas sms).
Ça va être tordu à gérer mais possible et pas le choix si Arlo rend ça vraiment obligatoire…

Après j’attends le plus possible pour y voir plus clair sur leur politique par rapport à ça:

  • est ce que cela va vraiment être obligatoire ?
  • est ce qu’ils vont permette autre chose que mail (ne parlons même pas de SMS)? Genre un otp (Google Auth)
  • est ce qu’il va falloir le faire à chaque login ou est ce qu’on va pouvoir « enregistrer » un client ?

Etc mais dans tous les cas, il y aura une solution avant la fin de l’année :wink:

1 « J'aime »

Bonjour,

Arlo m’informe que l’authentification à deux étapes sera obligatoire d’ici le 31/09.
Le support est il prévu d’ici là ?

Merci.

Cdlt

Oui j’y travaille.
Pas de stress, j’ai aussi besoin que le plug-in fonctionne :wink:

3 « J'aime »

Ouf! Ça me rassure, Merci !

Bonjour,

La version est en beta : Plugin Arlo - Présentation et nouveautés - #5 par Mips

1 « J'aime »

Bonjour,

Je viens de tester, tout semble être ok de mon côté (testé avec adresse dédiée chez outlook.fr).
A surveiller sur les prochains jours.

Merci !

2 « J'aime »

Merci pour le retour!
pour mon info tu as testé avec quelle messagerie?
avec un alias ou une boite mail dédiée?

J’étais justement en train d’éditer ma réponse.
J’ai créé un compte Arlo dédié, avec mail dédié Outlook.fr, pour éviter de plomber ma config si ça ne marchait pas (sachant que les nouveaux comptes Arlo semblent systématiquement en tfa)

1 « J'aime »

Bonjour,

La version est passée en stable

NETGEAR / Arlo n’a pas de fonctionnement en oauth2 ?
Parceque le passage pas la lecture d’un mail c’est chaud comme fonctionnement

Non, et s’ils décident de passer vraiment en oauth2 je doute qu’ils ouvrent aux appli externes et donc ca sera encore plus chaud :wink:

ici c’était soit lecture du mail, soit d’un sms (encore pire pour l’intégration donc) soit rien… mon choix était vite fait.

Pourtant l’oauth2 existe forcement ;… sinon comment google assistant ferait pour fonctionner sur les cameras ?

Cf : How do I connect my Arlo devices to Google Home or Google Assistant?

et si on regarde la capture d’ecran un http://oauth.arlo.com semble exister (en tout cas un ping dessus répond :stuck_out_tongue: )

et il semble que la documentation sur le sujet soit visible REST Auth API: OAuth 2 | Arlo Training & Event Management Software je sais pas si ca aide mais ca semble répondre au besoin. (par contre il faut que l’utilisateur jeedom est une IP public et un https pour se connecter (un peu comme quand on connecte Jeedom a Google assistant)

Il y a aussi un compte a ouvrir sur : https://portal.arlo.co/

1 « J'aime »

Je vais répondre une dernière fois pour tenter

  1. d’expliquer pourquoi cela n’est pas possible / que cela n’existe pas (encore qui sait)
  2. d’expliquer pourquoi cela n’apporterait pas grand chose dans le cadre d’un plugin jeedom
  3. revenir au sujet qui est « Authentification en deux étapes » et qui n’a en fait pas grand chose à voir avec le fait que la première authentification soit faite via oauth ou pas… (bah oui, le scoop !)

mais je préviens tout de suite que je ne vais pas participer à une surenchère d’arguments qui donnerait un post de 200 pages, je pense que tout sera dit dans les lignes suivantes.

oauth2 chez arlo n’existe pas / n’est pas ouvert pour les intégrations tierces

Donc ce n’est pas parce qu’ils ont autorisé/mis en place un oauth2 avec Google qu’il est disponible pour d’autres.
Je ne sais pas si tu as des notions de dev ou si tu sais ce que c’est oauth2 (ou si c’est le nouveau buzz word, ca existe depuis longtemps pourtant) mais pour que oauth2 fonctionne, il y a une phase d’enregistrement du client afin de créer un client_id et un client_secret (qui n’est pas utilisé dans tous les flow) et cet enregistrement n’existe pas chez Arlo, aucun moyen de le faire.
Évidement avec un partenaire comme Google ils ont mis quelque chose en place mais ce n’est pas ouvert publiquement.
D’ailleurs, ce n’est pas un secret, ils n’ont pas d’Api publique: le plugin repose initialement sur un long travail de reverse engineering de l’application Arlo que je fais évoluer avec les nouveautés qu’ils sortent (bah non, ils ne me préviennent pas quand ils décident de changer les URLs)

Cette partie prête à sourire désolé: je te propose de regarder plus attentivement ce qu’est arlo.co (.co et pas .com) sur leur site.
Indice: c’est un site de formation en ligne qui propose des solutions pour les sociétés, aucun rapport avec nos caméras Arlo.

pourquoi cela n’apporterait pas grand chose dans le cadre d’un plugin jeedom

Les explications ci-dessous considère une bonne connaissance de oauth.

  • Dans le cas d’un plugin, le client est le ressource owner, donc le mot de passe peut être connu par l’application (comme sur une app mobile en gros), on s’en fiche (c’est pas moi qui le dit, c’est le standard) => client credential flow ou password flow peuvent convenir
    De plus le plugin tourne sur vos jeedom => hors de question d’avoir un client_secret pour le plugin, il faut en recréer pour chaque installation.
  • ce qui nous intéresse sous jeedom c’est que ca tourne tout seul en arrière plan => exit l’authorization code flow & l’implicit flow qui est juste un dérivé pour les SPA (pas celle des animaux)
    et en cas de redémarrage, plantage, coupure etc, on ne veut pas devoir se re-authentifier, le plugin doit le faire tout seul => ca tombe bien, ca sera possible avec le client credential flow ou password flow

Donc le standard oauth2 nous apprend que dans notre cas un password flow est ok, évidement le client credential flow apporte le fait d’avoir « un mot de passe applicatif » (autrement dit une API key en vulgarisant c’est le même principe) et de ne pas partager le mot de passe principal; facile à révoquer si besoin.

Maintenant vu que le plugin demande la création d’un utilisateur dédié, avec un mot de passe dédié et bien on regagne cet avantage! jeedom est compromis? on peut facilement couper l’utilisateur ou changer le mot de passe correspondant sous Arlo exactement comme on le ferait avec oauth2 et un credential flow:

  • dans les 2 cas on doit garder un secret qui permet de s’authentifier
  • dans les 2 cas c’est un secret utilisé uniquement par ce client (le plugin)
  • dans les 2 cas on peut le révoquer facilement (sans se couper son propre accès)

Je vois venir l’argument : « le secret est en clair en db »… bah oui effectivement, t’as un HSM chez toi? non? alors on peut rien y faire, faudra faire avec.
Et quelque soit le flow que tu choisis il y a toujours un secret à connaitre (surtout si on veut que le démon puisse se reconnecter tout seul, pour des caméras de « sécurité » c’est mieux si c’est résilient quand on est pas chez soi…)

Pour info, sans compter les cas d’intégrations et de conceptions de projets avec différent sso, notamment oauth, openid connect ou SAML dans mon « vrai » boulot, j’ai aussi intégré du oauth dans les plugins suivant plugin-miele et plugin-gardena car ces sociétés ont décidé d’ouvrir leur API.
Arlo pas et plus récemment plugin-myaudi est lui bloqué car le groupe VW-Audi est passé sur du oauth2 mais n’a pas ouvert l’api ni ne permet un client registration… pas de chance

Revenons au sujet: « Authentification en 2 étapes »

Parce que oui, même en cas d’utilisation de oauth pour la première étape, on peut avoir une deuxième étape.
Et on est bien d’accord que cette deuxième étapes (par mail, sms ou autre) n’a aucun sens sur un accès « API » comme fait le plugin. (regarde le cas de google quand tu actives un « mot de passe applicatif » le MFA est désactivé évidement) et ca illustre bien qu’Arlo n’a absolument pas (encore) l’intention d’ouvrir ses APIs malheureusement…

Pour le comment de ce TFA, personnellement j’aurais préféré avoir in OTP ou TOTP dont on connaissait le secret (je soupçonne que cela soit cela mais qu’ils envoient le code par sms/mail au lieu de nous laisser utiliser une app genre google auth, microsoft, okta…);
Avec ce système, j’aurais juste demandé de configurer le secret dans le plugin et j’aurais pu générer les codes directement; beaucoup moins de travail à faire pour contourner une fonctionnalité (le TFA) inutile dans le cadre d’un accès « API »; mais bien obligé puisque c’est un usage détourné qui est fait de leur API.

ps: et voila je me rend compte que j’ai passé 1h à répondre dans le détails au lieu d’avancer sur l’import d’historique dans plugin-influxdb par exemple… je me suis fait avoir :roll_eyes:

3 « J'aime »

En tout cas un superbe et grand merci pour ta réponse.

Je pensais bêtement et naïvement que Arlo avait plus ouvert leur solution que ça et que tu n’étais pas dans un mode de reverse engineering :frowning: jusqu’à ce point la.

C’est triste parceque comme tu dis la solution existe pour ‹ certains › comme je l’ai vu pour Google assistant ou même ifttt a une époque. C’est délirant qu’en 2020 et avec le rgpd les constructeurs ne soient pas contraint de proposer une solution d’office pour que l’on puisse gérer nos données et nos accès.

Bref on ne va pas refaire le monde je pensais aider ou donner une piste c’est pas le cas tant pis et désolé de t’avoir fait perdre du temps même si je pense que pour beaucoup ça aura été instructif.

1 « J'aime »

Je n’ai pas « perdu » du temps vu ta réponse, ça a permit de clarifier manifestement et donc je suis content d’avoir pris ce temps.
On est d’accord sur le fait que cela soit dommage que ça ne soit pas plus transparent.

1 « J'aime »

bonjour,
je n’arrive plus a faire fonctionner arlo depuis la double authentification obligatoire, comment faites vous avec outlook.
J’ai essayé de suivre la doc et je dois rater une etape car impossible pour moi.
Je suis sous smart 3.3.53 et arlo 3.3.24.
a chaque fois le deamon demarre et en quelques secondes est NOK

Bonjour,

quelques retours en vrac:

  • merci de créer un nouveau post pour une nouvelle question en n’oubliant pas d’inclure les logs, capture de la page config etc
  • la version du plugin n’est pas 3.3.24, c’est la version minimum de jeedom requise comme indiqué:
    image
  • l’authentification en 2 étapes n’est en fait toujours pas obligatoire, je ne l’ai toujours pas activée chez moi et cela fonctionne
1 « J'aime »

Ce sujet a été automatiquement fermé après 24 heures suivant le dernier commentaire. Aucune réponse n’est permise dorénavant.