Configurer OAuth 2.0 dans Nectari
Pour configurer un fournisseur dans Nectari, assurez-vous d'avoir enregistré Nectari avec le fournisseur OAuth pour obtenir les paramètres requis. Pour plus d'informations à ce sujet, référez-vous à Créer un client OAuth 2.0.
Créer un fournisseur
-
Allez dans le menu Administration en haut à droite.
-
Cliquez sur le menu Sécurité.
-
Cliquez sur Authentification dans la liste.
-
Cliquez sur l'icône +. Un nouvel élément s'ajoute dans la liste des fournisseurs et fournit un formulaire vide pour configurer un nouveau fournisseur OAuth.
Deux onglets sont disponibles pour chaque fournisseur :
-
Général: Entrez les paramètres requis tel que décrit dans Configurer les paramètres du fournisseur OAuth 2.0.
-
Utilisateurs: Cet onglet permet de définir les utilisateurs qui pourront se connecter au client Web ainsi que le mappage entre l'utilisateur du client Web et l'utilisateur du fournisseur OAuth. Suivez les étapes décrites dans Lier les utilisateurs à un fournisseur OAuth 2.0.
-
Configurer les paramètres du fournisseur OAuth 2.0
Il est recommandé d'enregistrer le client Web auprès du fournisseur OAuth choisi pour obtenir les informations requises. Suivez les étapes de la section Créer un client OAuth 2.0.
Paramètre de l'onglet Général | Description |
---|---|
Activer |
Le bouton à bascule définit si le fournisseur OAuth doit être disponible pour les utilisateurs qui se connectent à partir de la page de connexion. Lorsque cette option est activée, un nouveau bouton est affiché sous Comptes externes sur la page de connexion. |
Description |
Il s'agit du texte qui sera affiché pour le bouton qui sera affiché pour le fournisseur créé sur la page de connexion. Par défaut, le texte est défini comme Nouveau fournisseur. Il est recommandé de le remplacer par un libellé significatif pour les utilisateurs lorsqu'ils se rendent sur la page de connexion. |
L'ID du client |
Entrez l'identifiant public unique fourni par le serveur d'autorisation. |
Clé secrète du client |
Saisissez la chaîne secrète unique qui doit être connue uniquement par le Client Web et le serveur d'autorisation. La valeur définie est secrète et le texte sera donc masqué après sa définition. |
URL de découverte automatique |
Ce champ est facultatif. Il permet de remplir automatiquement les autres URLs requis en récupérant les informations à partir des métadonnées disponibles. Après avoir rempli URL de découverte automatique, cliquez sur le bouton Découvrir afin de remplir les valeurs des champs URL d'autorisation, URL de génération de token et URL des informations utilisateur. Une liste déroulante sera accessible pour Scopes avec les scopes disponibles pour le fournisseur OAuth. Le champ Identifiant de l'utilisateur contiendra également une liste déroulante des demandes disponibles qui peuvent être utilisées. Cet URL est disponible via /.well-known/openid-configuration. |
URL d'autorisation |
Ce paramètre sera le premier URL auquel les utilisateurs se rendront pour s'authentifier auprès du fournisseur OAuth. Ce paramètre donne également la permission au fournisseur de donner des informations limitées au Client Web. Cet URL est disponible via /authorize. |
URL de génération de token |
Ce paramètre va obtenir le token d'accès qui sera utilisé pour obtenir les informations de l'utilisateur. Cet URL est disponible via /token. |
Scopes |
Ces valeurs vont définir les permissions à donner au Client Web. L'autorisation donnée doit être suffisante pour pouvoir obtenir les informations de l'utilisateur afin d'effectuer le mappage de l'utilisateur. Typiquement, les scopes nécessaires sont openid, email et offline_access, mais chaque fournisseur peut avoir ses propres scopes. Par exemple, offline_access est ajouté par défaut, mais s'il n'est pas disponible il doit être enlevé. |
URLs de redirection |
Les URL définies pour le Client Web et l'extension Excel doivent être enregistrées sur le serveur d'authentification. Si le serveur d'authentification doit être redirigé vers une autre URL, il faut la modifier dans ce champ. Pour Excel Add-in, le numéro de port défini devra être celui qui est disponible sur la machine locale où Excel Add-in est installé. |
URL des informations utilisateur |
Cet paramètre récupère les informations de l'utilisateur qui se connecte. Les informations renvoyées seront utilisées pour se connecter à Web Client. Cet URL est disponible via /userinfo. |
Identifiant de l'utilisateur |
Ce paramètre spécifie la demande qui sera utilisée pour récupérer la valeur correspondante dans les informations utilisateur du Client Web. Par exemple, si l'Identifiant de l'utilisateur est configuré à Courriel, ce paramètre recherchera la valeur du Courriel dans l'URL des informations utilisateur pour la comparer et mapper l'utilisateur du Client Web. |
Lier les utilisateurs à un fournisseur OAuth 2.0
Après avoir cliqué sur Enregistrer dans l'onglet Général, l'onglet Utilisateurs est activé. Cet onglet permet aux utilisateurs de configurer le mappage entre le client Web et le fournisseur OAuth nouvellement créé.
Un utilisateur ne pourra pas se connecter au Web Client en utilisant le fournisseur si :
-
Il ne fait pas parti de la liste;
-
La valeur du mappage n'est pas configurée correctement.
L'onglet Utilisateurs contient :
-
Une grille qui indique les utilisateurs qui sont déjà créés;
-
L'icône + pour ajouter des utilisateurs supplémentaires afin de leur donner la possibilité d'utiliser le fournisseur.
-
L'icône de la poubelle pour supprimer des utilisateurs de la liste.
Paramètre de l'onglet Utilisateurs | Description |
---|---|
Code d'utilisateur |
Indique le nom d'utilisateur du Client Web qui est utilisé pour se connecter. |
Nom |
Indique le nom associé au code d'utilisateur du Client Web. |
Courriel |
Indique le courriel associé au code d'utilisateur du Client Web. |
Identifiant de l'utilisateur |
C'est le seul paramètre que vous pouvez modifier. Il spécifie la valeur qui devrait être renvoyée par le fournisseur OAuth pour l'Identifiant de l'utilisateur saisi dans l'onglet Général. Par exemple, si la demande spécifiée pour l'Identifiant de l'utilisateur est Courriel, ce champ doit spécifier le courriel de l'utilisateur associé au fournisseur. |
Dans le Cloud, les comptes ADMIN et ADMCA ne pourront pas être mappés à un fournisseur OAuth. S'il est nécessaire de se connecter avec un compte ADMCA, créez un utilisateur normal et activez l'indicateur Administrateur.
Se connecter avec OAuth 2.0 dans Nectari
Une fois la configuration du fournisseur OAuth terminée, si un fournisseur a été activé, la page de connexion comportera deux sections :
-
Authentification de base: L'authentification de base est utilisée lorsque l'utilisateur souhaite se connecter avec son nom d'utilisateur et son mot de passe normaux ou avec un domaine spécifique.
-
Comptes externes: Si des fournisseurs OAuth sont actifs et/ou si SAML 2.0 a été configuré, les utilisateurs seront dirigés vers une page de connexion avec un bouton pour chaque SSO configuré.
Notez que le bouton permettant de se connecter avec SAML 2.0 n'apparaîtra que pour le premier Central Point de la liste.
Dans la vue Authentification, vous pouvez désactiver le formulaire Authentification de base du Client Web lorsqu'un fournisseur OAuth est configuré. Si cette option est désactivée, vous ne verrez que les comptes externes actifs.
Se connecter avec OAuth 2.0 dans Excel Add-in
Une fois la configuration du Client Web terminée, les utilisateurs peuvent se connecter à Excel Add-in en utilisant les fournisseurs OAuth.
Dans la fenêtre contextuelle de connexion d'Excel Add-in, deux boutons radio sont disponibles :
-
Authentification de base : Lorsque l'option Authentification de base est sélectionnée, l'utilisateur peut se connecter avec son nom d'utilisateur et son mot de passe normaux ou avec un domaine spécifié.
-
Comptes externes : Pour le Central Point sélectionné, si Comptes externes est sélectionné, la liste déroulante affichera le SSO disponible avec lequel l'utilisateur peut se connecter.
Notez que la connexion avec SAML 2.0 n'apparaîtra que pour le Central Point pour lequel elle a été configurée.