Gestion des étendues dans le cadre de l'autorisation déléguée
Utilisez des étendues dans le cadre de l'autorisation déléguée afin de limiter l'accès d'une application à un compte d'utilisateur. Les étendues sont des valeurs de chaîne qui fournissent une couche supplémentaire de protection d'accès pour les données des serveurs de ressources qui peuvent être exposées avec un jeton d'accès OAuth.
Associez un nom d'étendue (valeur de chaîne) à des données dans le serveur de ressources, puis enregistrez l'étendue dans le serveur d'authentification centralisée et le fournisseur de services. Lorsque le fournisseur de services demande des données au serveur de ressources, il doit présenter un jeton d'accès valide et être approuvé pour les étendues associées aux données dans le serveur de ressources.
Le processus ci-après illustre le fonctionnement des étendues :
1. Lorsqu'un utilisateur se connecte à un fournisseur de services, le serveur d'authentification centralisée autorise la session de connexion de l'utilisateur lorsque ce dernier a été authentifié avec l'IdP.
2. Ensuite, le serveur d'authentification centralisée présente également à l'utilisateur une page d'autorisation d'accès.
La page d'autorisation d'accès répertorie les ressources associées aux étendues disponibles pour le fournisseur de services.
3. L'utilisateur décide d'autoriser ou non le fournisseur de services à accéder à une partie ou à la totalité des données du serveur de ressources.
4. S'il est approuvé, le serveur d'authentification centralisée fournit un jeton d'accès au fournisseur de services et enregistre l'approbation des autorisations pour les étendues appropriées.
5. Lorsqu'un fournisseur de services appelle le serveur de ressources et demande les données protégées, il envoie le jeton d'accès.
6. Le serveur de ressources vérifie le jeton d'accès avec le serveur d'authentification centralisée. S'il est valide et si le serveur d'autorisation confirme que l'utilisateur a accordé l'approbation du fournisseur de services pour les étendues qui sont associées à la ressource protégée, le serveur de ressources accorde l'accès aux données.
Vous devez enregistrer des étendues dans au moins trois applications dans votre infrastructure SSO, dans l'ordre suivant :
1. Serveur d'authentification centralisée (PingFederate) qui gère la relation d'approbation entre les deux applications
L'administrateur du serveur d'authentification centralisée doit noter les étendues qui ont été enregistrées dans le serveur d'authentification centralisée et coordonner l'enregistrement des étendues avec les administrateurs d'application du serveur de ressources et du fournisseur de services.
Pour plus d'informations sur l'enregistrement des étendues dans PingFederate, reportez-vous à la documentation de PingFederate.
2. Serveur de ressources hébergeant les données
Vous devez vous concerter avec l'administrateur de produit qui crée l'étendue dans le serveur de ressources.
3. Fournisseur de services demandant les données
Vous pouvez choisir d'enregistrer un sous-ensemble des étendues qui ont été enregistrées dans le serveur d'authentification centralisée et le serveur de ressources. Collaborez avec l'administrateur de produit ou le développeur d'applications pour enregistrer les étendues qui doivent être accessibles au fournisseur de services.
 |
Les noms d'étendue enregistrés dans une application doivent correspondre à des étendues enregistrées dans le serveur d'authentification centralisée. Dans le cas contraire, un verrouillage des utilisateurs, y compris du compte administrateur, peut se produire si l'application route l'authentification via le serveur d'authentification centralisée. Si une étendue de l'application est mal orthographiée (les étendues sont sensibles à la casse) ou n'est pas enregistrée dans le serveur d'authentification centralisée, ce dernier peut empêcher l'authentification de l'administrateur lorsque celui-ci tente de se connecter. Si une étendue enregistrée dans le fournisseur de services n'existe pas sur le serveur d'autorisation, les utilisateurs ne peuvent pas se connecter, y compris les comptes administrateur.
Pour résoudre ce problème, ajoutez l'étendue mal orthographiée ou supplémentaire au serveur d'autorisation afin que l'administrateur du fournisseur de services puisse se connecter. Ensuite, supprimez l'étendue problématique du fournisseur de services et supprimez l'étendue du serveur d'autorisation.
|
Bonnes pratiques et considérations en matière de sécurité
◦ Consultez les experts en sécurité de votre organisation lors de la définition des règles d'utilisation des étendues dans votre déploiement SSO. Vous pouvez prendre certaines mesures au sein de chaque application de votre déploiement où une étendue est enregistrée ou configurée afin d'augmenter la sécurité des données échangées. Par exemple, dans un serveur de ressources, vous pouvez spécifier plusieurs étendues pour gérer des ensembles de données distincts et procurer un contrôle plus fin.
◦ Consultez la documentation produit de PingFederate relative aux configurations de sécurité avancées pour la gestion des étendues. Par exemple, vous pouvez configurer des étendues afin qu'elles soient associées à des jetons d'accès distincts.
◦ Reportez-vous aux bonnes pratiques sectorielles en matière d'OAuth pour sécuriser les étendues. Pour plus d'informations, consultez la rubrique dédiée au modèle de menace et aux considérations en matière de sécurité pour OAuth 2.0.