SSO OAuth et OIDC pour les applications cloud
OpenID Connect (OIDC) est une couche d'authentification construite sur OAuth 2.0, un cadre d'autorisation. OIDC est un protocole d'authentification couramment utilisé par les fournisseurs d'identité (IdP) pour authentifier les utilisateurs accédant à des fournisseurs de services tiers (SP), sans qu'ils aient à partager à nouveau leurs informations de connexion.
OAuth, un protocole d'autorisation permettant aux applications d'accéder aux ressources d'autres applications tierces, peut également être utilisé pour authentifier les utilisateurs. Grâce à une configuration simple, ADSelfService Plus prend en charge l'authentification unique (SSO) pour toutes les applications cloud compatibles avec OAuth et OIDC.
Comment fonctionnent les protocoles OAuth et OIDC ?
Étant donné qu'OIDC est construit comme une couche d'authentification au-dessus d'OAuth 2.0, les deux protocoles fonctionnent de manière similaire avec de légères différences vers la fin du processus de flux de code.
Dans OIDC, lorsqu'un utilisateur souhaite accéder à une application ou à un SP, il est d'abord redirigé vers la page de connexion de l'IdP pour s'authentifier, en communiquant certains paramètres tels que l'URI de redirection, le type de réponse et la portée. Une fois l'authentification réussie auprès de l'IdP, l'utilisateur est redirigé vers l'application.
Simultanément, sur le canal de retour sécurisé des serveurs, l'IdP transmet un code d'autorisation au SP, qui l'échange ensuite contre un jeton d'accès et un jeton d'identification. Le jeton d'identification aide le SP à comprendre l'identité de l'utilisateur connecté, tandis que le jeton d'accès est utilisé si l'application cliente a besoin d'accéder à plus de détails sur l'utilisateur, comme sa photo de profil.
L'organigramme ci-dessous permet de mieux comprendre le flux SSO initié par le SP pour l'OIDC.
Le flux de code d'autorisation OAuth 2.0 fonctionne de manière similaire au flux de code OIDC mentionné ci-dessus. Cependant, lors de la dernière étape, le SP reçoit le jeton d'accès et le jeton d'actualisation de l'IdP via le canal de retour, au lieu du jeton d'identification. Le jeton d'actualisation est utilisé pour obtenir un nouveau jeton d'accès une fois que celui-ci a expiré, sans que l'utilisateur n'ait à s'authentifier à nouveau auprès de l'IdP.
SSO OAuth et OIDC avec ADSelfService Plus
ADSelfService Plus propose une gamme d'applications OAuth et OIDC couramment utilisées et pré-intégrées pour faciliter la configuration de l'authentification unique. Les administrateurs peuvent également ajouter des applications personnalisées compatibles OAuth ou OIDC, auxquelles les utilisateurs peuvent accéder via l'authentification unique. Il offre aux administrateurs des stratégies granulaires pour configurer facilement l'accès des utilisateurs aux applications. Des options permettent de configurer les détails de l'IdP, tels que les URL des terminaux d'autorisation, des jetons et des utilisateurs, pour les applications personnalisées et pré-intégrées.
Les utilisateurs peuvent se connecter à une application ou à un service à l'aide de l'authentification unique OAuth et OIDC d'ADSelfService Plus de deux manières :
Flux d'authentification unique initié par l'IdP
- Les utilisateurs s'authentifient et se connectent d'abord à ADSelfService Plus, qui agit en tant qu'IdP.
- Une fois connectés, ils cliquent sur l'application souhaitée dans le catalogue d'applications d'ADSelfService Plus.
- L'application correspondante s'ouvre alors dans un nouvel onglet, et l'utilisateur est connecté automatiquement sans avoir à s'authentifier à nouveau.
Flux d'authentification unique initié par le SP
- L'utilisateur tente d'abord d'accéder à l'application requise en se rendant sur la page d'accueil ou de connexion de l'application.
- Il est ensuite redirigé vers ADSelfService Plus et se voit présenter les facteurs d'authentification configurés par l'administrateur.
- Une fois l'authentification réussie dans ADSelfService Plus, l'utilisateur est renvoyé vers l'application et y accède.
Une console conviviale pour une configuration aisée de l'authentification unique
Configurez les applications pré-intégrées
Catégorisation pratique
Choisissez parmi une gamme d'applications pré-intégrées, classées par catégories pour plus de commodité.
1. Catégorisation pratique: Choisissez parmi une gamme d'applications pré-intégrées, classées par catégories pour plus de commodité.
Configurez les détails avancés de l'IdP
Configuration approfondie
Configurez les détails avancés de l'IdP, tels que les URL des terminaux d'autorisation, des jetons et des utilisateurs, en cliquant sur ce bouton.
1. Configuration approfondie: Configurez les détails avancés de l'IdP, tels que les URL des terminaux d'autorisation, des jetons et des utilisateurs, en cliquant sur ce bouton.
Configurez les applications personnalisées
Accès basé sur des stratégies
Déterminez quels utilisateurs peuvent accéder à quelles applications en utilisant les stratégies granulaires d'ADSelfService Plus.
1. Accès basé sur des stratégies: Déterminez quels utilisateurs peuvent accéder à quelles applications en utilisant les stratégies granulaires d'ADSelfService Plus.
Avantages de l'authentification unique OAuth et OIDC dans ADSelfService Plus
- Prise en charge de toute application compatible OAuth/OIDC : Bénéficiez de l'authentification unique pour toute application compatible OAuth/OIDC. Configurez facilement l'authentification unique à partir d'un ensemble d'applications pré-intégrées ou ajoutez des applications personnalisées.
- Sécurité renforcée : Mettez en œuvre l'authentification multifactorielle pour les connexions aux applications basées sur l'authentification unique, ajoutant un niveau de sécurité supplémentaire aux noms d'utilisateur et mots de passe.
- Accès en un clic : Améliorez l'expérience utilisateur et éliminez l'utilisation répétitive des mots de passe en offrant un accès transparent aux applications en un seul clic.
- Réduction de la charge de travail informatique : Aidez les administrateurs informatiques à réduire la charge de travail du service d'assistance liée aux mots de passe et à mieux gérer les identités sur plusieurs services.
Outil de réinitialisation de mot de passe en libre-service pour Windows AD, G Suite, etc.
Obtenez votre essai gratuitLes points forts de ADSelfService Plus
Mot de passe en libre-service
Éliminez les longs appels au service d’assistance pour les utilisateurs de Windows Active Directory en leur permettant de réinitialiser leur mot de passe et de déverrouiller leur compte en libre-service.
Une identité unique grâce à l'authentification unique
Accédez en un clic à plus de 100 applications cloud. Grâce à l'authentification unique d’entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs identifiants Windows Active Directory.
Synchronisation des mots de passe
Synchronisez automatiquement les mots de passe et les modifications de comptes des utilisateurs Windows Active Directory sur plusieurs systèmes, tels que Microsoft 365, Google Workspace, IBM iSeries, etc.
MFA
Activez l’authentification multifacteur (MFA) contextuelle avec 20 méthodes d’authentification différentes pour les connexions aux terminaux, aux applications, aux VPN, à OWA et à RDP.
Notifications d'expiration de mot de passe et de compte
Informez les utilisateurs Windows Active Directory de l’expiration prochaine de leur mot de passe ou de leur compte par e-mail et SMS.
Application de la politique de mots de passe
Les mots de passe robustes résistent à diverses menaces de piratage. Obligez les utilisateurs Windows Active Directory à utiliser des mots de passe conformes en affichant les exigences de complexité.