Activer |
Le bouton à bascule définit si le fournisseur OAuth doit être disponible pour les utilisateurs qui se connectent à partir de la page de connexion.
Lorsque cette option est activée, un nouveau bouton est affiché sous Comptes externes sur la page de connexion.
|
Description |
Il s'agit du texte qui sera affiché pour le bouton qui sera affiché pour le fournisseur créé sur la page de connexion.
Par défaut, le texte est défini comme Nouveau fournisseur. Il est recommandé de le remplacer par un libellé significatif pour les utilisateurs lorsqu'ils se rendent sur la page de connexion.
|
L'ID du client |
Entrez l'identifiant public unique fourni par le serveur d'autorisation.
|
Clé secrète du client |
Saisissez la chaîne secrète unique qui doit être connue uniquement par le Serveur Web et le serveur d'autorisation. La valeur définie est secrète et le texte sera donc masqué après sa définition.
|
URL de découverte automatique |
Ce champ est facultatif. Il permet de remplir automatiquement les autres URLs requis en récupérant les informations à partir des métadonnées disponibles.
Après avoir rempli URL de découverte automatique, cliquez sur le bouton Découvrir afin de remplir les valeurs des champs URL d'autorisation, URL de génération de token et URL des informations utilisateur. Une liste déroulante sera accessible pour Scopes avec les scopes disponibles pour le fournisseur OAuth. Le champ Identifiant de l'utilisateur contiendra également une liste déroulante des demandes disponibles qui peuvent être utilisées.
Cet URL est disponible via /.well-known/openid-configuration.
|
URL d'autorisation |
Ce paramètre sera le premier URL auquel les utilisateurs se rendront pour s'authentifier auprès du fournisseur OAuth. Ce paramètre donne également la permission au fournisseur de donner des informations limitées au Serveur Web.
Cet URL est disponible via /authorize.
|
URL de génération de tokens |
Ce paramètre va obtenir le token d'accès qui sera utilisé pour obtenir les informations de l'utilisateur.
Cet URL est disponible via /token.
|
Scope |
Ces valeurs vont définir les permissions à donner au Serveur Web. L'autorisation donnée doit être suffisante pour pouvoir obtenir les informations de l'utilisateur afin d'effectuer le mappage de l'utilisateur.
Typiquement, les scopes nécessaires sont openid, email et offline_access, mais chaque fournisseur peut avoir ses propres scopes.
Par exemple, offline_access est ajouté par défaut, mais s'il n'est pas disponible il doit être enlevé.
|
URLs de redirection |
Les URL définies pour le Serveur Web et l'extension Excel doivent être enregistrées sur le serveur d'authentification.
Si le serveur d'authentification doit être redirigé vers une autre URL, il faut la modifier dans ce champ.
Pour Excel Add-in, le numéro de port défini devra être celui qui est disponible sur la machine locale où Excel Add-in est installé.
|
URL des informations utilisateur |
Cet paramètre récupère les informations de l'utilisateur qui se connecte. Les informations renvoyées seront utilisées pour se connecter à Web Client.
Cet URL est disponible via /userinfo.
|
Identifiant de l'utilisateur |
Ce paramètre spécifie la demande qui sera utilisée pour récupérer la valeur correspondante dans les informations utilisateur du Serveur Web.
Par exemple, si l'Identifiant de l'utilisateur est configuré à Courriel, ce paramètre recherchera la valeur du Courriel dans l'URL des informations utilisateur pour la comparer et mapper l'utilisateur du Serveur Web.
|
Prompt |
Ce paramètre définit la fenêtre d'authentification qui sera affichée lors de la connexion à Nectari.
Cliquez sur le champ Prompt et sélectionnez l'option appropriée dans la liste déroulante :
-
login : Affiche un écran qui vous demande de saisir vos informations d'identification. Ceci arrivera à chaque fois que vous cliquerez sur un bouton de compte externe.
-
select_account : Affiche un écran qui vous permet de choisir dans une liste de comptes utilisés dans le passé. Si l'un d'eux est déjà connecté, il ne demandera pas d'informations d'identification.
-
consent : Identique à select_account mais l'écran va aussi vous demander de donner la permission. Ceci arrivera à chaque fois que vous cliquerez sur un bouton de compte externe.
-
none : Si vous êtes déjà connecté avec le fournisseur, il n'affiche pas d'invite. Si aucun compte n'est connecté, il demande des informations d'identification.
Note
Ces quatre options d'invite sont les valeurs par défaut des normes OAuth 2.0. Chaque fournisseur OAuth peut fournir d'autres options en plus de celles par défaut. Dans ce cas, l'administrateur peut simplement saisir la valeur dans le champ Prompt.
Important
L'option Prompt n'est pas une fonction qui contribue à sécuriser l'authentification ; elle indique seulement au navigateur ce qu'il doit faire lors de l'authentification, mais elle peut être contournée par l'utilisateur.
Si l'objectif est de forcer les utilisateurs à toujours ressaisir leurs informations d'identification, il ne suffit pas de fixer la valeur de Prompt à login. Vous devez aussi sélectionner l'option Activer la ré-authentification.
|
Forcer la ré-authentification |
Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent toujours à nouveau leurs informations d'identification. Ce paramètre obligera l'utilisateur à se ré-authentifier en fonction du délai qui a été défini dans le champ Délai. (Le délai est exprimé en secondes.)
Par exemple, si le délai est fixé à 0, l'utilisateur devra s'authentifier à chaque fois. S'il est fixé sur 21600, toutes les 6 heures, le prompt obligera l'utilisateur à s'authentifier lorsqu'il cliquera sur le bouton Connexion.
La valeur maximale est de 86400 secondes.
Note
Assurez-vous que le fournisseur OAuth supporte le paramètre max_age. Google ne supporte pas ce paramètre.
|
Permettre la ré-authentification |
Sélectionnez cette option pour permettre au navigateur de conserver les paramètres d'authentification. |