Type d'identifiant : OAuth 2.0
FlowForce Server vous permet de créer des objets d’identifiants qui sont des détails d’autorisation OAuth 2.0. Vous pouvez utiliser des identifiants OAuth 2.0 dans les tâches FlowForce Server qui appellent des services Web dans lesquels l' OAuth 2.0 est requise. Les utilisateurs peuvent voir et accéder aux identifiants OAuth uniquement s’ils ont les permissions correspondantes. Pour les détails, voir Comment fonctionnent les permissions.
Pour créer un identifiant OAuth 2.0, parcourez le conteneur dans lequel vous voulez stocker l’identifiant, cliquez sur Créer | Créer identifiant, basculez vers OAuth 2.0 dans le champ Type d’identifiant, et remplissez les champs d’identifiants (décrit ci-dessous).
À propos du flux de travail OAuth 2.0
OAuth est synonyme de Open Authorization et est un cadre d’autorisation standard ouvert qui permet aux applications d’accéder à un ensemble de ressources utilisateur au nom d’un utilisateur. Les procédures générales associées au flux de travail OAuth 2.0 sont décrites ci-dessous :
1.Une application tierce (Client) s’inscrit avec un serveur d’autorisation. Le serveur d’autorisation publie une ID Client et, le cas échéant, un secret client.
2.Le Client indique une redirection URI vers laquelle un utilisateur sera redirigé après avoir accordé ou refusé la permission au Client.
3.L’utilisateur initie une action dans l’application client, qui requiert l’accès aux ressources de l’utilisateur. Par exemple, l’utilisateur peut vouloir se connecter dans l’application client en utilisant son compte Facebook.
4.Le Client envoie une requête au serveur d’autorisation et redirige l’utilisateur vers le point terminal du serveur d’autorisation, là où l’utilisateur se connecte et accorde ou refuse la permission au Client. La requête Client au serveur d’autorisation contient l’ID Client, les privilèges requis et l’URI redirigée.
5.Si l’utilisateur a accordé la permission au Client, le Client obtient un accord d’autorisation et échange les identifiants utilisateur ou détails d’autorisation (ceci dépend du type Grant) pour un jeton d’accès et, si applicable, un jeton d’actualisation.
6.Le Client utilise ensuite un jeton d’accès pour accéder aux ressources de l’utilisateur sur le serveur de ressource.
7.Si le jeton d’accès a expiré, le Client peut utiliser le jeton d’accès afin de continuer à utiliser les ressources de l’utilisateur sans re-authentification de l’utilisateur. Si le Client utilise le jeton d’actualisation ou non dépend du type grant que vous avez sélectionné. Voir la propriété Jeton d’accès ci-dessous pour plus de détails.
Paramètres disponibles
Les champs associés avec un objet d'identifiant OAuth 2.0 sont recensés ci-dessous. Pour obtenir ces valeurs, vous devez tout d'abord vous enregistrer auprès du fournisseur de service Web (par exemple, Google API Console, Facebook API, Bitbucket API, etc.).
Les types d’autorisation OAuth déterminent comment l’application client (Dans ce cas, FlowForce Server communique avec le service OAuth et obtient un jeton d’accès. Les types d’autorisation (grant) suivants sont pris en charge :
•Identifiants du Mot de passe du propriétaire de la Ressource
Dépendant du type Grant sélectionné, différentes propriétés deviennent disponibles. Pour plus d’information sur chaque propriété, voir les options ci-dessous.
|
Un point de terminaison d’autorisation est une URI vers laquelle un propriétaire de ressource (par ex., un utilisateur) est redirigé pour initier l’authentification, l’accord et l’autorisation. Le point de terminaison d’autorisation est fourni par un serveur d’autorisation. Lorsque FlowForce Server veut avoir accès aux ressources utilisateur, FlowForce Server redirige le navigateur de l’utilisateur au point de terminaison de l’authentification. Après l’authentification, l’utilisateur décide s’il accorde ou refuse la permission à FlowForce Server. Une fois que la décision d’autorisation a été prise, le serveur d’autorisation redirige l’utilisateur vers le chemin spécifié dans le paramètre Rediriger URI.
Vous pouvez obtenir le point de terminaison après vous être enregistré auprès du fournisseur de service Web.
|
Un point de terminaison du jeton est un emplacement où l’application client (dans ce cas, FlowForce Server) soumet une demande pour obtenir un jeton d’accès en échange de certains identifiants ou de détails d’autorisation. Vous pouvez contenir cette valeur après vous être enregistré auprès du fournisseur de service Web.
|
Une ID Client est un identifiant public unique de l’application client (FlowForce Server dans ce cas). L’ID Client est émise par un serveur d’autorisation. Le serveur d’autorisation utilise l’ID Client et secret (décrits ci-dessous) pour vérifier l’identité du client. Vous pouvez obtenir cette valeur après vous être enregistré auprès du fournisseur de service Web.
|
Un secret client est un morceau d’information confidentiel qu’une application client (dans ce cas, FlowForce Server) utilise pour l’authentification. Le secret client est émis par un serveur d’autorisation. Le serveur d’autorisation utilise l’ID Client et secret pour vérifier l’identité du client. Le secret client aide à empêcher des applications non autorisées d’imiter des clients et d’accéder aux ressources des utilisateurs. Vous pouvez obtenir le secret client une fois que vous vous êtes inscrits auprès du fournisseur de service Web.
|
La portée de l’accès définit l’accès des ressources de l’utilisateur qu’un client requiert (dans ce cas, FlowForce Server) (par ex., lire et écrire les privilèges). Vous pouvez obtenir cette valeur après vous être enregistré auprès du fournisseur de service Web.
|
Un jeton d'accès est un morceau de données que le client (par ex., FlowForce Server) obtient d’un serveur d’autorisation une fois que le processus d’autorisation a été achevé avec succès. Le jeton d’accès permet à FlowForce Server d’accéder aux ressources utilisateur. La tâche FlowForce Server sera exécutée avec succès uniquement si le serveur ressource détermine que le jeton d’accès est correct et valide. Pour obtenir cette valeur manuellement lorsque vous créez l'identifiant OAuth pour la première fois, fournissez tous les détails d’autorisation (sauf Actualiser jeton valeur), cliquez sur Autoriser et Quitter.
Comment actualiser les jetonsL’accès jeton expire après une période définie par le fournisseur de service Web. Dépendant du type grant que vous avez sélectionné, les procédures pour actualiser les jetons peuvent varier. Si vous avez sélectionné le code d’autorisation ou le type grant Implicite et que le jeton a expiré, FlowForce Server en demandera un nouveau depuis le serveur d’autorisation, utilisant la valeur Actualiser jeton (voir ci-dessous).
Si vous avez sélectionné le type grant d’identifiants Client ou identifiants mot de passe ressource et que le jeton a expiré, FlowForce Server tentera d’obtenir un nouveau jeton, en envoyant une requête au point de terminaison du jeton. Pour que le jeton soit obtenu avec succès, tous les détails d’autorisation pertinents doivent être fournis (par ex., ID Client, Secret Client, etc.).
|
Les jetons d’accès (voir ci-dessus) sont de courte durée pour des raisons de sécurité. Le temps d’expiration d’un jeton d’accès est déterminé par un serveur d’autorisation. Si le serveur d’autorisation prend en charge les jetons d’actualisation, il émettra un jeton d’actualisation avec un jeton d’accès au cours du processus d’autorisation. Pour les détails de la réinitialisation des jetons, voir Jeton d’accès ci-dessus.
|
Les champs Nom utilisateur et Mot de passe deviennent disponibles quand vous sélectionnez le type grant Identifiants du Mot de passe du propriétaire de la Ressource. Dans ce type grant type, l’application client échange directement les identifiants de l’utilisateur (nom utilisateur et mot de passe) pour un jeton d’accès et, en option, pour un jeton d’actualisation. Dès que le client obtient les identifiants de l’utilisateur, le client envoie une requête POST au serveur d’autorisation. Si la requête a réussi, le serveur d’autorisation publiera un jeton d’accès que le client peut utiliser pour accéder aux ressources de l’utilisateur.
|
Une URI redirigée est un emplacement auquel vous accédez à FlowForce Server et auquel le serveur d’autorisation redirige l’utilisateur une fois que celui-ci a autorisé ou refusé la permission au client (par ex., FlowForce Server). Il s’agit également de l’emplacement auquel le serveur d’autorisation envoie le code d’autorisation requis pour avoir un jeton d’accès. Ce champ est rempli automatiquement par FlowForce Server.
Assurez-vous de copiez la redirection URI et de l’ajouter à la liste des URI de redirection autorisés sur la plateforme où vous inscrivez votre application client. Puisqu’il est possible d’accéder à FlowForce Server de différentes adresses et ports, assurez-vous d’ajouter tous ces URI à la liste des URI de redirection autorisés.
|
L’authentification Client fait référence au processus de vérification de l’identité d’une application client (par ex., FlowForce Server) par un serveur d’autorisation. Le serveur d’autorisation décide ensuite d’autoriser ou de refuser la permission client pour avoir un jeton d’accès depuis le point de terminaison de jeton. L’authentification Client assure que le serveur d’autorisation publie un jeton d’accès uniquement à un client légitime.
La plupart des serveurs d'autorisation OAuth 2.0 exigent que les détails d'autorisation soient soumis dans l'en-tête AUTH de la requête POST. Certains serveurs d'autorisation OAuth 2.0 acceptent les détails d'autorisation uniquement dans le corps de la requête POST. Dépendant des exigences du serveur d’autorisation, sélectionnez l’option pertinente depuis la liste déroulante.
|
Pour plus d’information sur les options Autoriser usage pour, voir Type d'identifiant : Mot de passe. Pour un identifiant OAuth 2.0 que vous prévoyez d’utiliser pour HTTP, il faut s’assurer que la case à cocher Permettre usage pour HTTP est sélectionnée. Sinon, la tâche échouera.
Une fois que vous avez sélectionné le type grant sélectionné et rempli tous les champs nécessaires, vous pouvez simplement enregistrer l’identifiant (le bouton Enregistrer) ou initier l’autorisation et enregistrer l’objet d’identifiant (le bouton Autoriser et Enregistrer). Quand vous sélectionnez l’option Autoriser et Enregistrer, FlowForce Server redirigera le navigateur vers la page d’autorisation du service (uniquement pertinent pour le Code d’autorisation et types Grant Implicite) ou tentera d’avoir accès au jeton depuis un service externe et d’enregistrer le jeton d’accès ensemble avec les changements vers l’objet d’identifiant. Une fois que le jeton d’accès et, potentiellement, un jeton d’actualisation a été obtenu, la page d’identifiant sera actualisée et vous informera que l’autorisation a été accordée.