OAuth et OpenID Connect SSO

Note : Le SSO pour les applications est disponible uniquement avec le Endpoint MFA.

OAuth est un protocole d'autorisation qui permet des accès aux ressources authentifiées entre serveurs et services sans partager les identifiants de connexion. OpenID Connect est une couche d'identité au-dessus du framework OAuth.

Les composants de base du fonctionnement d'OAuth et OpenID Connect sont :

Serveur: Il vérifie les identifiants de l'utilisateur et fournit la clé pour les connecter. Dans notre cas, ADSelfService Plus sert de serveur.
Application cliente: Il s'agit de l'application à laquelle un utilisateur tente de se connecter.
Utilisateur: C'est le compte qui tente de se connecter à l'application cliente.

OAuth 2.0

Voici comment OAuth permet le SSO :

Lorsqu'un utilisateur tente de se connecter à une application, elle envoie une demande d'autorisation à ADSelfService Plus. L'utilisateur est alors redirigé vers la page de connexion d'ADSelfService Plus où il saisit ses identifiants.
Après une vérification réussie, un code d'autorisation est envoyé à l'application depuis ADSelfService Plus.
L'application renvoie le code d'autorisation à ADSelfService Plus pour recevoir le jeton d'accès et le jeton de rafraîchissement. Le jeton d'accès agit comme une clé limitée dans le temps pour permettre à l'utilisateur d'accéder aux ressources protégées de l'application. Le jeton de rafraîchissement est une clé permanente pouvant être utilisée pour demander un nouveau jeton d'accès une fois l'ancien expiré.
Maintenant, l'application envoie une demande d'informations utilisateur avec le jeton d'accès comme preuve d'identité à ADSelfService Plus. La réponse à cette demande renvoie les détails du profil utilisateur nécessaires pour finaliser la connexion.
Après une vérification réussie des détails utilisateur côté application, l'utilisateur est connecté à l'application.

OpenID Connect

OpenID Connect est similaire au SSO OAuth, mais un jeton ID est utilisé ici. Le jeton ID contient la signature d'ADSelfService Plus et les détails de l'utilisateur. Deux scénarios sont possibles lors de l'utilisation du SSO OpenID Connect.

Connexion initiée par l'application ou par le fournisseur de service (SP) : Cette tentative de connexion est initiée depuis l'application cible.
Connexion initiée par ADSelfService Plus ou par le fournisseur d'identité (IdP) : Cette tentative de connexion est initiée depuis ADSelfService Plus.

Comprenons le flux de travail dans ces deux cas.

Connexion initiée par l'application

Un utilisateur tente de se connecter à une application. L'application envoie un demande d'autorisation à ADSelfService Plus. L'utilisateur est redirigé vers la page de connexion d'ADSelfService Plus.
L'utilisateur saisit ses identifiants ici. Après une vérification réussie, un code d'autorisation est envoyé à l'application depuis ADSelfService Plus.
L'application renvoie le code d'autorisation à ADSelfService Plus pour recevoir le jeton ID. Ce jeton contient les détails utilisateur nécessaires pour compléter la connexion.
Après vérification de la signature d'ADSelfService Plus dans le jeton ID, l'application récupère les détails utilisateur du jeton ID.
Enfin, après la vérification réussie des détails utilisateur côté application, l'utilisateur est connecté à l'application.

Connexion initiée par ADSelfService Plus

Un utilisateur se connecte avec succès à ADSelfService Plus, accède à l'onglet Applications et clique sur l'application souhaitée.
Dans ce cas, ADSelfService Plus envoie un jeton ID à l'application directement.
Après vérification de la signature d'ADSelfService Plus dans le jeton ID, l'application récupère les détails utilisateur du jeton ID.
Après la vérification réussie des détails utilisateur côté application, l'utilisateur est connecté à l'application.

Scopes supportés

Les scopes définissent le niveau d'accès pouvant être demandé par le fournisseur de services pour accéder à une ressource. Ils doivent être activés de manière appropriée par l'administrateur. ADSelfService Plus supporte les scopes suivants :

openid : Indique qu'il s'agit d'une requête OpenID Connect. Il s'agit d'un scope obligatoire pour la demande d'authentification OpenID Connect.
profile: Demande les claims de profil utilisateur (Prénom et Nom).
email: Demande l'attribut email de l'utilisateur.
offline_access: Demande le jeton de rafraîchissement qui peut être utilisé pour recevoir de nouveaux jetons d'accès.

Applications supportées

Aller en haut

Sujet précédent Sujet suivant

Merci !

Votre demande a été soumise à l'équipe de support technique ADSelfService Plus. Nos techniciens vous aideront dans les plus brefs délais.

Besoin d'une assistance technique ?

Saisissez votre adresse email
Parler aux experts

Vous ne trouvez pas ce que vous cherchez ?

Visitez notre communauté

Publiez vos questions dans le forum.
Demander des ressources supplémentaires

Envoyez-nous vos besoins.
Besoin d'aide pour la mise en œuvre ?

Essayez OnboardPro