Cette rubrique s’adresse aux utilisateurs des applications utilisant OAuth Server by DnC pour la procédure d’authentification.

Connectez-vous avec OpenID Connect

, par DnC

Vous pouvez utiliser OpenID Connect pour vous authentifier sur ce site. Ce n’est pas obligatoire, mais certains privilèges ne pourront vous être accordés que si vous vous identifiez avec OpenID Connect.

Pour vous connecter avec OpenID Connect, vous devez être inscrit sur le serveur d’authentification ET sur l’application. Les deux inscriptions doivent être faites avec un login identique.

Vous n’avez pas d’identifiants pour vous connecter avec le serveur d’authentification ? Inscrivez-vous ici.

Par la suite, pour vous connecter avec OpenID Connect :
- entrez l’e-mail ou le pseudo avec lequel vous vous êtres incrit,
- laissez le mot de passe vide, ou videz-le s’il a été pré-rempli,
- actionnez le bouton.

Vous êtes alors transféré sur le serveur d’authentification qui vous demandera votre mot de passe.

FAQ pour l’utilisateur final

, par DnC

L’utilisateur final est l’internaute à qui sont présentées les demandes d’authentification.

Inscription : pourquoi tant de données à remplir ?

OAuth Server by DnC est un système permettant aux propriétaires des applications d’obtenir une confiance raisonnablement élevée quant à l’identité des utilisateurs, avant de leur accorder un accès. C’est une sécurité pour les propriétaires de données personnelles situées sur des ressources protégées par OAuth Server by DnC. C’est également une sécurité pour tout utilisateur des applications auxquelles ils se sont connectés à l’aide de ce serveur, qui contribue à éviter qu’un acteur mal intentionné se substitue à eux.

Que faites vous des données me concernant ?

Tout d’abord vous observerez que les données demandées sont orientées sur l’identification d’une personne morale (et non nécessairement un individu) ainsi que sur sa présence sur le web.

Ces données ne sont utilisées que pour des contrôles automatiques ou visuels (fondés sur les informations disponibles au public sur le web) de l’identité numérique de l’utilisateur, ne sortent pas du serveur, et, a fortiori, ne sont pas communiquées à des tiers.

Login : pourquoi me demande-t-on mon E-mail plutôt qu’un pseudo ?

L’E-mail est utilisé comme identifiant (login) dans la procédure d’authentification, concurremment avec un mot de passe.
L’E-mail est nécessaire pour assurer la validation de l’inscription, et peut être utilisé par la suite par le serveur d’authentification par exemple pour une procédure de récupération de mot de passe oublié.
Nous pensons qu’il y a peu de chance que vous oubliiez votre E-mail. De plus, un E-mail est un identifiant unique, contrairement à un pseudonyme.
Votre E-mail ne sera pas communiqué aux applications clientes ni à aucun tiers, il reste secret au sein du serveur d’authentification.

Personna, MyOpenID ont fermé, alors pourquoi OAuth Server ?

Ces systèmes n’étaient pas fondés sur OAuth 2.0 et n’utilisaient pas le protocole OpenID Connect, qui sont les solutions largement utilisées actuellement, car elles offrent le niveau de sécurité attendu.

De plus, nous espérons que les fonctionnalités étendues de OAuthSD sauront vous séduire.

Entrée des informations de profil

, par DnC

Cet article traite des interfaces qui permettent aux utilisateurs finaux d’enregistrer leurs données de profil sur OAuth Server by DnC ou de les modifier.

UI de profil standard

OAuth Server by DnC propose un formulaire dont les champs de saisie correspondent exactement aux couples scope-claims définis dans cet article : Réponse UserInfo.

Le formulaire editer_user comporte l’ensemble des champs définis par la spécification standard d’OpenID Connect, c’est à dire qu’il répond aux scopes profile + email + adress + phone.
Ce formulaire n’est pas très pertinent pour un usage courant et ne devrait être utile qu’en tant qu’outil d’administration.

Les informations fournies par une ressource protégée en réponse à la requête d’une application sont plus ou moins complètes, selon le paramètre scope fourni dans la requête. Il apparait donc logique de définir les UI de saisie des informations selon les scopes définis pour une application donnée. Le formulaire editer_user_ext présente les champs de la spécification selon la valeur des scopes définis pour cette application.

UI de profils étendus

De même qu’OAuth Server by DnC propose des données de profil étendues afin de répondre à différentes applications, il existe des formulaires correspondant à ces profils, présentant des champs particuliers en fonction de scopes particuliers.

Utilisation du champ email comme identifiant de connexion

OAuth Server by DnC utilise l’E-mail comme identifiant de connexion (login) dans la procédure d’authentification, concurremment avec un mot de passe.

Il y a plusieurs raisons à cela :
- l’E-mail est un identifiant universellement unique, contrairement à un login ;
- il y a peu de chance que l’utilisateur final oublie son E-mail, ce qui permet d’assurer la récupération du mot de passe en cas de perte de celui-ci. ;
- on peut accorder une certaine confiance en tant qu’identificateur à un E-mail, à condition toutefois qu’il soit enregistré à titre payant chez un fournisseur d’accès connu.

Le champ email est donc toujours présenté dans les formulaires de profil de OAuth Server by DnC, même en l’absence du scope email.

Notons que, par principe de la délégation d’authentification réalisée par OAuth, l’E-mail ne circule pas sur les réseaux, de même que le mot de passe ou tout autre élément du profil.

username

Selon les imlémentations, le login peut être un nom d’utilisateur "principal et canonique" (username, canonical principal name of the Subject). Dans certains cas, l’utilisateur peut remplacer l’e-mail par un tel nom.

A propos du mot de passe

OAuth Server by DnC requiert des mots de passe composés de chiffres (généralement 8 chiffres). La saisie du mot de passe est réalisée au moyen de clics de souris dans une grille aléatoire (GhostKeys). Ainsi, le mot de passe ne peut être intercepté par un malware et ne circule jamais sur les réseaux.

De plus, cette technique permet de s’assurer de façon certaine que l’on n’a pas affaire à un robot.