WEBDEV 2025

SERVEUR D’AUTHENTIFI- CATION OAUTH: ÇA SERT À QUOI ? Le protocole OAuth est un standard ouvert utilisé pour délivrer des autorisa- tions sécurisées. Un serveur d’authentification OAuth gère les points suivants : • Authentification sécurisée • Gestion des autorisations • Emission des jetons d’accès et de leur rafraîchissement • Gestion des droits associés au jeton («scope»). Un serveur d’authentification OAuth peut être hébergé sur un serveur phy- sique de tout type: réseau local («on premise»), hébergeur, cloud, ... SERVEUR D’AUTHENTIFI- CATION OAUTH: LIVRÉ EN VERSION 2025 Un serveur d’authentification OAuth est livré par défaut dans le Serveur d’Appli- cation WEBDEV 2025. Pour utiliser ce serveur d’authentifica- tion, il suffit d’activer la fonctionnalité lors de l’installation du Serveur d’Appli- cation WEBDEV 2025. L’utilisation de ce serveur d’authentifica- tion rend l’installation, l’administration et la programmation simplissimes, et tout cela sans aucun coût supplémen- taire au Serveur d’Application. Ce serveur d’authentification peut être également utilisé pour l’authentification SSO. SERVEUR D’AUTHENTIFI- CATION OAUTH: IL GÈRE TOUT ! Le serveur d’authentification OAuth livré avec WEBDEV 2025 propose toutes les fonctionnalités attendues. En particulier, le serveur gère une base de données des comptes. Le serveur propose un site d’administration de la base des comptes: création et édition de compte, importation de LDAP, ... GESTION AUTOMATIQUE DU LOGIN SÉCURISÉ À VOTRE SITE La mise en oeuvre d’une authentifica- tion OAuth pour l’accès à un site ou une application demande la saisie d’un Login. La gestion de cette saisie est prise en charge par le serveur d’authentification. La page de saisie est paramétrable. Cette page gère l’oubli de mot de passe. La création de nouveaux comptes est possible depuis la page de login. La double authentification (par email et par Authenticator) est gérée. La fonction WLangage AuthIdentifie permet de gérer l’authentification, en affichant la page de Login. Un langage tiers peut utiliser le serveur d’authentification WEBDEV par l’inter- médiaire de requêtes HTTP. TOKEN, SCOPE & CONSEN- TEMENT Un token est un jeton temporaire généré par le serveur, qui identifie l’utilisateur. Lors de la création d’identifiants OAuth (couple IDClient, IDSecret), il est pos- sible de définir facilement des permis- sions (des «scopes»), qui gèrent les autorisations du token généré. Le serveur OAuth gère automatique- ment la demande de consentement de l’utilisateur pour utiliser une ou des permissions (scopes) proposées. Le renouvellement de Token est géré automatiquement. SERVEUR OAUTH INCLUS DANS LE SERVEUR D’APPLICATION WEBDEV SSO SINGLE SIGN ON AUTHENTIFICATION UNIFIÉE L’utilisateur final se connecte une seule fois. Tous les sites sont accessibles. SSO : LE PRINCIPE GÉNÉRAL INTEROPÉRABILITÉ SSO est l’acronyme de Single Sign On, que l’on pourrait traduire par «S’authentifier une seule fois pour toutes». L’utilisateur final saisit une fois ses para- mètres de connexion, qui sont ensuite automatiquement reconnus par tous les autres sites auxquels il accédera, dévelop- pés en WEBDEV ou pas. Il devient inutile de saisir encore et encore ses identifiants. Bien évidemment, ces sites doivent accepter SSO. Le couple login/mot de passe est connu et stocké uniquement sur le serveur d’au- thentification. Les sites ne connaissent pas et n’ont pas à stocker le mot de passe. Tout est géré automatiquement pour les sites développés avec WEBDEV 2025. SSO : UN SERVEUR D’AU- THENTIFICATION LIVRÉ Pour que chacun des sites puisse fonc- tionner en mode SSO, ce site doit appeler un serveur d’authentification. Le serveur d’authentification : • gère la base de données de comptes et leurs mots de passe: créer des comptes, supprimer des comptes,... • affiche la fenêtre de login pour la première connexion • renvoie les informations demandées par le site: nom, prénom, email... (mais en aucun cas le mot de passe) • gère la déconnexion • permet de paramétrer la durée de connexion autorisée (en heures, en jours,...) Ce serveur d’authentification est livré en standard avec le Serveur d’Application WEBDEV 2025. Voir ci-dessus. Le protocole utilisé par WEBDEV 2025 est le protocole standard OpenID Connect, ce qui permet à des sites non développés avec WEBDEV d’utiliser ce serveur d’au- thentification. JETON (TOKEN) Tout site qui veut bénéficier d’un SSO donné doit connaître une clé secrète délivrée par le serveur d’authentification. Pour authentifier un utilisateur, le site doit appeler la fonction WLangage AuthIdentifie , dont un paramètre est cette clé secrète. La première authentification d’un utilisa- teur affiche la page de login du serveur d’authentification. Le serveur délivre un Token (stocké dans un cookie). Les authentifications suivantes détec- teront automatiquement ce cookie, et valideront l’accès au site de manière silencieuse. Il n’y a rien à programmer: tout est réa- lisé automatiquement par la fonction WLangage AuthIdentifie ! www.pcsoft.fr • 35