/
Connecteur - OAuth 2.0 - SSO et API

Connecteur - OAuth 2.0 - SSO et API

Owned by Rafik Djedjig
Last updated: mai 15, 2024
3 min read

Pré-requis

  • Être familier des notions de Single Sign-On (SSO) et plus particulièrement OAuth2

  • Connaitre les bases du protocoles HTTP (query parameter, GET / POST, en-têtes)

  • Savoir utiliser un client HTTP tel que cURL ou un plugin navigateur équivalent 

Démarche

Ce document propose un démarche d'intégration SSO (Single Sign-On) d’une application tiers en s’appuyant sur le protocole OAuth 2.0 

1 - Choisir un flot d’authentification OAuth2

La plateforme Édifice propose un serveur OAuth2 qui supporte les flots (aka grant type) suivants :

Le flot Authorization Code est le plus couramment utilisé

2 - Enregistrer l’application cliente sur la plateforme Édifice

Si vous êtes un éditeur ou un exploitant d’application, demandez au Support Édifice d’enregistrer votre application

Depuis la console d(administration d’une plateforme Édifice créer un connecteur de type OAuth2

Champs à configurer :

  • "Identitifiant" (clientId oAuth2)

  •  "URL" (URL de service cible)

  • "Transmettre la session" (configure automatiquement le scope userinfo)

  • "Scope" (autorisations d'accès aux données utilisateurs de l'application externe)

  • "Mode d'identification" (utiliser "code" pour une application web et "password" pour une application mobile)

  • Code secret" (secret oAuth2).

Informations à transmettre à l'éditeur de l'application cliente :

Informations à récupérer de l'éditeur de l'application cliente

  • URL de service ( à renseigner dans le champs "URL")

3 - Récupérer un jeton (access_token) OAuth2 pour votre application client

Pour récupérer un jeton, suivre la procédure qui correspond au grant type choisi :

Authorization Code

1 : Récupérer code de génération du token 

Dans un navigateur, entrer l'adresse : 

https://domaine.ent/auth/oauth2/auth?response_type=code&state=blip&scope=userinfo&client_id=duck&redirect_uri=http://duckduckgo.com

  • Si l'utilisateur n'est pas connecté alors la plateforme Édifice redirige le navigateur vers la mire connexion

  • Si l'utilisateur est connecté alors la plateforme Édifice le redirige vers l'URL de service avec le code en paramètre : 

https://www.duckduckgo.com/?code=9ddf3256-7e5d-4708-a121-dfbe5f6dba75&state=blip

2 - Récupérer le token

curl -i -X POST -H "Authorization:Basic ZmFxMnNjaWVuY2VzOmZhcTJzY2llbmNlcy1zZWNyZXQ=" -H "Content-Type:application/x-www-form-urlencoded" -H "Accept:application/json; charset=UTF-8" -d "grant_type=authorization_code&code=9ddf3256-7e5d-4708-a121-dfbe5f6dba75&redirect_uri=http%3A%2F%2Fduckduckgo.com" https://domaine.ent/auth/oauth2/token

Il faut authentifier en Basic le client OAuth2. Donc il passer une entête d’authentification qui respecte la convention suivante "Authorization:Basic encode_base64(client_id:client_secret)".

lire : https://datatracker.ietf.org/doc/html/rfc7617


En cas de succes le serveur oAuth2 de l'ENT transmet le token

HTTP/1.1 200 OK Content-Type: application/json {"token_type":"Bearer","access_token":"1413b31c-b240-453a-bc1e-3773cd31adc9","refresh_token":"9e746d64-3fa8-4ff8-88b3-2d8314f56179","expires_in":3600,"scope":"userinfo"}

Resource Owner Passwword

1 - Récupérer le token

curl --location --globoff 'https://domaine.ent/auth/oauth2/token' \ --data-urlencode 'grant_type=password' \ --data-urlencode 'username={USERNAME}' \ --data-urlencode 'password={PASSWORD}' \ --data-urlencode 'scope={SCOPE}' \ --data-urlencode 'client_id={CLIENT_ID}' \ --data-urlencode 'client_secret={CLIENT_SECRET}'

En cas de succes le serveur oAuth2 de l'ENT transmet le token

HTTP/1.1 200 OK Content-Type: application/json {"token_type":"Bearer","access_token":"1413b31c-b240-453a-bc1e-3773cd31adc9","refresh_token":"9e746d64-3fa8-4ff8-88b3-2d8314f56179","expires_in":3600,"scope":"userinfo"}

Client Credential

A DOCUMENTER

JWT Bearer

Via les informations du JWT il est possible d’obtenir les informations authentification

Documentation officielle :

https://datatracker.ietf.org/doc/html/rfc7523

0 - Configurer l’URL du certificat (la clé publique) de l'application cliente

Renseigner le champs "URL du certificat" dans fiche connecteur

Screenshot 2024-04-22 at 10-53-01 Console d'administration.png

1 - Récupérer le token

curl --location --request POST 'https://domaine.ent/auth/oauth2/token' \ --data-urlencode 'grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer' \ --data-urlencode 'redirect_uri=https://www.duckduckgo.com' \ --data-urlencode 'client_id={YOUR_CLIENT_ID}' \ --data-urlencode 'client_secret={YOUR_SECRET}' \ --data-urlencode 'assertion={YOUR_JSON_WEB_TOKEN}' \ --data-urlencode 'scope={SCOPE}'

En cas de succes le serveur OAuth2 de l'ENT transmet l’Access Token

{ "token_type": "Bearer", "access_token": "5459a598-72f0-482c-b54a-fd44e92af5da", "expires_in": 3600, "scope": "email userinfo" }

4 - Accéder à une ressource de l’utilisateur depuis l’application cliente

Dans cet exemple nous collectons des informations d’identités de l’utilisateurs sur le endpoints /userinfo

curl -i -H "Authorization:Bearer 7acb83b1­53bd­4105­9b46­5acfb095158f" https://domaine.ent/auth/oauth2/userinfo

Dans l'en-tête "Authorization:Bearer " il faut passer le token

En cas de succès le serveur OAuth2 de l'ENT transmet la ressource de l’utilisateur demandée

HTTP/1.1 200 OK Content-Type: application/json { "level":"", "login":"severine.alexandre", "lastName":"ALEXANDRE", "firstName":"SEVERINE", "externalId":"5555959", "username":"SEVERINE ALEXANDRE", "type":"ENSEIGNANT", "childrenIds":[], "uai":["0805432C"], "userId":"2bacdfd2-b59c-4b21-a23e-f6346e02fc4a", "classId":"55567$3ARMS", "schoolName":"Collège Denis Poisson" }

Related content