PD-26-SPECIFICATION-REVIEW

Type : Non testable Référence : PD-26-specification.md §11 (paramètres OIDC/JWT, JWT_REQUIRED_CLAIMS tenant/authz) + §4 (INV-01/INV-09) / PD-26-tests.md (TC-NOM-03..07) Description : Les paramètres contractuels (OIDC_ISSUER, OIDC_ALLOWED_AUDIENCES, JWT_ALLOWED_ALGORITHMS, noms exacts des claims tenant/authz, ALLOWED_OIDC_FLOWS par type de client) sont requis mais aucune valeur concrète n’est fournie dans le contrat. Les tests supposent ces valeurs sans base normative explicite. Impact : Exécution et audit des tests impossibles sans compléter les valeurs ; risque de résultats contestables ou dépendants d’hypothèses locales. Gravité : Majeur

Type : Non testable Référence : PD-26-specification.md §12 (REALM_POLICY/TENANT_POLICY), §7 (CA-09) / PD-26-tests.md (TC-NOM-09) Description : L’isolation realm/tenant est exigée et le cross-realm est interdit, mais les valeurs concrètes de realm/tenant et le mapping explicite ne sont pas fournis dans le contrat (annoncés “hors scope”). Le test TC-NOM-09 suppose ces valeurs sans support normatif. Impact : Test d’isolation non exécutable sans données contractuelles ; risque de faux positifs/négatifs et d’audit non opposable. Gravité : Majeur