OIDC

Introduction

OpenID Connect (OIDC) est un protocole d’identité basé sur OAuth 2.0 qui fournit une authentification et une autorisation sécurisées. Il permet aux utilisateurs de se connecter en toute sécurité à divers services, tandis que les fournisseurs de services peuvent simultanément accéder à des informations d’identité vérifiées. L’article suivant décrit comment configurer OpenID Connect (OIDC) dans Relution à l’aide de Microsoft Azure.

Paramètres dans Relution

OIDC peut être configuré dans le portail Relution sous Settings > OpenID Connect. Les captures d’écran suivantes incluent une configuration fonctionnelle utilisant Microsoft Azure.

AutoPilot01

Détails de la configuration

Nom du fournisseur : Sera affiché sur le bouton de connexion dans le portail Relution. Créer des utilisateurs inconnus dans Relution : Les utilisateurs inconnus sont créés par login dans Relution.

Si une connexion est effectuée avec un utilisateur inconnu sur l’orga du magasin avec OIDC configuré, il sera créé dans l’organisation du magasin. Dans le cas de plusieurs clients avec configuration OIDC, le login doit être effectué via l’URL de l’organisation afin que l’utilisateur inconnu soit créé dans l’organisation correspondante. Cette URL est affichée dans le portail dans les connexions OIDC.

Détails du client

Client ID" Correspond à l’ID de l’application dans Azure.
Client Secret : Correspond à la clé du secret client de l’ID de l’application dans Azure.

URI du serveur

Use Discovery Endpoint : Si le fournisseur le prend en charge, une configuration automatique des URI nécessaires est effectuée.
Configuration manuelle des points d'extrémité : Nécessaire dès que la découverte automatique ne fonctionne pas.

Si vous utilisez Microsoft Azure, les points d’extrémité doivent être saisis manuellement.

AutoPilot01

URI d’autorisation : https://login.microsoftonline.com/$-your-client-ID/oauth2/v2.0/authorize

JWK Set URI : https://login.microsoftonline.com/$-your-client-ID/discovery/v2.0/keys (en anglais)

Token URI : https://login.microsoftonline.com/$-your-client-ID/oauth2/v2.0/token

User Info URI : https://graph.microsoft.com/oidc/userinfo

Configuration avancée

L’attribut username du fournisseur OIDC contient le nom d’utilisateur unique de l’utilisateur authentifié.

L’attribut du nom d’utilisateur dans Relution contient le nom d’utilisateur unique de l’utilisateur authentifié.

Authorization Grant Type` Le Authorization Grant Type est un mécanisme OAuth qui spécifie comment une application obtient les permissions d’accès d’un utilisateur.

Scope Les scopes définissent les informations d’identité ou les ressources que l’application peut demander au fournisseur OIDC.

Paramètres dans Azure

Création d’un nouveau registre d’applications

  1. Se connecter à Azure Portal, en continuant sur Azure Active Directory. AutoPilot01
  2. Création d’un nouveau App registry > Create new registry pour OIDC. AutoPilot01
  3. Nommez l’application, sélectionnez le type de compte Seulement les comptes dans ce répertoire d'organisation et enregistrez-la. AutoPilot01

Ajout d’une clé client secrète (Client Secret) sous Certificats & Secrets

  1. Le secret client requis est créé sous Ajouter un certificat ou un secret. AutoPilot01
  2. La Nouvelle clé client secrète permet de définir la Description et la période de validité Valide jusqu'au. AutoPilot01
  3. La clé client peut être copiée directement. AutoPilot01

La clé client n’est affichée qu’une seule fois !

A l’expiration de la période de validité, il n’y aura pas de connexion et Relution ne pourra pas communiquer avec Azure. Dans ce cas, une nouvelle clé client secrète doit être créée pour l’application dans Azure et retransmise à Relution.

Configurer les permissions API.

  1. Sous API Permissions > Configured Permissions, Add Permission doit être cliqué.
  2. Le Microsoft Graph doit être sélectionné sous Microsoft APIs dans la boîte de dialogue Request API Permissions.

AutoPilot01

  1. A l’étape suivante, la tuile “Permissions d’application” peut être sélectionnée.
  2. User.Read.All peut être sélectionné pour User

AutoPilot01

Pour les autorisations API nouvellement ajoutées, un point d’exclamation est initialement affiché comme statut. Les administrateurs doivent donner leur accord une fois pour que Microsoft Graph reçoive finalement les autorisations. Ensuite, le statut est affiché avec une coche verte pour Granted et les autorisations sont accordées.

AutoPilot17

Ajouter l’URI de redirection

L’URI de redirection sera affiché dans le portail Relution une fois la connexion configurée et sauvegardée.

AutoPilot01

AutoPilot01