OpenID Connect OAuth Server dédié

www. or not www. ?

DnC — 2019-10-06T13:58:00Z

'www.monsite.com' et 'monsite.com' ne sont pas les mêmes noms de domaine et, généralement, ne correspondent pas aux même serveurs Web. OAuthSD fait la différence, il ne faut donc pas mélanger les deux.

Assurer la cohérence www - non www

La cohérence doit être assurée entre :
l'enregistrement de l'URL de base au sein de l'application,
l'URL de retour de l'application enregistrée sur le serveur OIDC,
l'URL entrée dans la barre de navigation pour consulter l'application,
tous les liens internes ou externes vers l'application.

Un conseil : n'employez pas www, cela ne sert à rien. Et inscrivez une règle de réécriture pour supprimer le préfixe www. s'il existe.

Message d'erreur message "Authorization error : incoherent State (did you prefix URL with 'www.' ?")

Une tentative de connexion peut échouer en signalant une incohérence du paramètre State. Comme vous n'êtes pas un pirate, il s'agit très probablement d'une incohérence dans l'emploi de www.

En effet, si vous vous connectez avec https://www.... et que l'application a été enregistrés sans www ( ou vice-et-versa ), la valeur du paramètre State connue du serveur OAuthSD et celle de l'application sont différentes. Le serveur OAuthSD échoue à vérifier la constance du paramètre State.

Inscrivez vous sur OAuthSD

DnC — 2019-04-24T19:08:59Z

En tant qu'utilisateur d'applications, inscrivez-vous sur ce serveur OAuthSD pour bénéficier de la technologie OpenID Connect : un seul login et mot de passe pour vous identifier sur les applications compatibles.

Les informations qui vous seront demandées sont stockées sur le serveur d'authentification. Elles sont transférées aux applications sous votre contrôle. Elles sont la plupart du temps utilisées par ces applications pour vous identifier et vous permettre d'accéder à différentes fonctionnalités et ne sont généralement pas affichées.

Avec OAuth Server by DnC, les mots de passe ne peuvent être interceptés au moment de leur saisie, ne circulent pas sur Internet, ne sont enregistrés nulle part !

Pour vous inscrire sur ce serveur en tant qu'utilisateur d'applications, cliquez ici :
Je m'inscris.

Avertissement : Ce site web implémente un démonstrateur d'OAuthSD ; le serveur peut être indisponible et les données enregistrées effacées à tout moment.
Si vous êtes intéressé par une version de production de OAuthSD, sur un serveur privé de votre propriété, contactez DnC

Compte en attente de validation

DnC — 2017-12-01T11:45:00Z

Il apparait le message "Votre compte est en attente de validation". Que-dois-je faire ?

Ce message peut apparaître après que vous vous êtes inscrits récemment. L'administrateur doit valider toute nouvelle inscription d'utilisateur, un délai est donc nécessaire.

Si cette situation perdure plus d'un jour ouvrable ou deux, envoyez un message à l'administrateur.

Connectez-vous avec OpenID Connect

DnC — 2017-01-08T13:36:00Z

Vous pouvez utiliser OpenID Connect pour vous authentifier sur ce site. Ce n'est pas obligatoire, mais certains privilèges ne pourront vous être accordés que si vous vous identifiez avec OpenID Connect.

Pour vous connecter avec OpenID Connect, vous devez être inscrit sur le serveur d'authentification ET sur l'application. Les deux inscriptions doivent être faites avec un login identique.

Vous n'avez pas d'identifiants pour vous connecter avec le serveur d'authentification ? Inscrivez-vous ici.

Par la suite, pour vous connecter avec OpenID Connect :
entrez l'e-mail ou le pseudo avec lequel vous vous êtres incrit,
laissez le mot de passe vide, ou videz-le s'il a été pré-rempli,
actionnez le bouton.

Vous êtes alors transféré sur le serveur d'authentification qui vous demandera votre mot de passe.

Entrée des informations de profil

DnC — 2016-10-28T11:28:29Z

Cet article traite des interfaces qui permettent aux utilisateurs finaux d'enregistrer leurs données de profil sur OAuth Server by DnC ou de les modifier.

UI de profil standard

OAuth Server by DnC propose un formulaire dont les champs de saisie correspondent exactement aux couples scope-claims définis dans cet article : Réponse UserInfo.

Le formulaire editer_user comporte l'ensemble des champs définis par la spécification standard d'OpenID Connect, c'est à dire qu'il répond aux scopes profile + email + adress + phone.
Ce formulaire n'est pas très pertinent pour un usage courant et ne devrait être utile qu'en tant qu'outil d'administration.

Les informations fournies par une ressource protégée en réponse à la requête d'une application sont plus ou moins complètes, selon le paramètre scope fourni dans la requête. Il apparait donc logique de définir les UI de saisie des informations selon les scopes définis pour une application donnée. Le formulaire editer_user_ext présente les champs de la spécification selon la valeur des scopes définis pour cette application.

UI de profils étendus

De même qu'OAuth Server by DnC propose des données de profil étendues afin de répondre à différentes applications, il existe des formulaires correspondant à ces profils, présentant des champs particuliers en fonction de scopes particuliers.

Utilisation du champ email comme identifiant de connexion

OAuth Server by DnC utilise l'E-mail comme identifiant de connexion (login) dans la procédure d'authentification, concurremment avec un mot de passe.

Il y a plusieurs raisons à cela :
l'E-mail est un identifiant universellement unique, contrairement à un login ;
il y a peu de chance que l'utilisateur final oublie son E-mail, ce qui permet d'assurer la récupération du mot de passe en cas de perte de celui-ci. ;
on peut accorder une certaine confiance en tant qu'identificateur à un E-mail, à condition toutefois qu'il soit enregistré à titre payant chez un fournisseur d'accès connu.

Le champ email est donc toujours présenté dans les formulaires de profil de OAuth Server by DnC, même en l'absence du scope email.

Notons que, par principe de la délégation d'authentification réalisée par OAuth, l'E-mail ne circule pas sur les réseaux, de même que le mot de passe ou tout autre élément du profil.

username

Selon les imlémentations, le login peut être un nom d'utilisateur "principal et canonique" (username, canonical principal name of the Subject). Dans certains cas, l'utilisateur peut remplacer l'e-mail par un tel nom.

A propos du mot de passe

OAuth Server by DnC requiert des mots de passe composés de 9 chiffres exactement. La saisie du mot de passe est réalisée au moyen de clics de souris dans une grille aléatoire (GhostKeys). Ainsi, le mot de passe ne peut être intercepté par un malware et ne circule jamais sur les réseaux.

De plus, cette technique permet :
de s'assurer de façon certaine que l'on n'a pas affaire à un robot,
de rendre sans effet l'enregistrement du login et du mot de passe sur le poste de travail.

Q&R pour l'utilisateur final

DnC — 2016-10-06T13:55:16Z

Cela intéressera aussi les auteurs d'applications.

L'utilisateur final est la personne qui utilise les applications compatibles OpenID Connect. C'est à elle que sont présentées les demandes d'authentification pour se connecter aux applications, ainsi que les demandes de consentement pour accéder à ses données personnelles.

Inscription : pourquoi tant de données à remplir ?

OAuth Server by DnC est un système permettant aux propriétaires des applications d'obtenir une confiance raisonnablement élevée quant à l'identité des utilisateurs, avant de leur accorder un accès. C'est une sécurité pour les propriétaires de données personnelles situées sur des ressources protégées par OAuth Server by DnC. C'est également une sécurité pour tout utilisateur des applications auxquelles ils se sont connectés à l'aide de ce serveur, qui contribue à éviter qu'un acteur mal intentionné se substitue à eux.

Que faites vous des données me concernant ?

Tout d'abord vous observerez que les données demandées sont orientées sur l'identification d'une personne morale (et non nécessairement un individu) ainsi que sur sa présence sur le web.

Ces données ne sont utilisées que pour des contrôles automatiques ou visuels (fondés sur les informations disponibles au public sur le web) de l'identité numérique de l'utilisateur, ne sortent pas du serveur, et, a fortiori, ne sont pas communiquées à des tiers.

Notez que les serveurs OAuthSD sont privés : ils appartiennent et sont gérés par des sociétés privées avec lesquelles vous avez accepté de travailler. Leur intérêt est de faire du bon travail pour vous, de ne pas vendre vos données à d'autres personnes ni de les laisser fuir à l'extérieur.

Login : pourquoi me demande-t-on mon E-mail plutôt qu'un pseudo ?

L'E-mail est utilisé comme identifiant (login) dans la procédure d'authentification, concurremment avec un mot de passe.
L'E-mail est nécessaire pour assurer la validation de l'inscription, et peut être utilisé par la suite par le serveur d'authentification par exemple pour une procédure de récupération de mot de passe oublié.
Nous pensons qu'il y a peu de chance que vous oubliiez votre E-mail. De plus, un E-mail est un identifiant unique, contrairement à un pseudonyme.
Votre E-mail ne sera pas communiqué aux applications clientes ni à aucun tiers, il reste secret au sein du serveur d'authentification.

Qu'est-ce qu'un compte OpenID Connect ?

Le fait de s'inscrire une fois sur le serveur et d'utiliser ce compte sur de nombreuses applications s'appelle l'enregistrement unique ( en anglais "Single Sign On", SSO).

Dans certaines sociétés, la création du compte peut être faite à l'avance par l'administrateur.

Quelle est la différence entre "authentifié" et "connecté" ?

Avant d'être confronté à OIDC, vous étiez habitué à vous "connecter" à une application. Vous suiviez une boîte de dialogue de connexion / mot de passe (à l'intérieur de l'application) vous permettant d'être "connecté". On disait également que l'application vous était "connectée".

Avec OIDC, la boîte de dialogue de connexion est créée par le serveur (en dehors de l'application). Vous êtes "authentifié" sur le serveur OIDC. Il en résulte également que l'application vous est "connectée".

Vous pouvez utiliser cette authentification pour connecter d'autres applications clientes enregistrées sur le serveur OIDC.

Qu'est-ce que l'"agent utilisateur " et que signifie "même agent utilisateur' ?

La plupart du temps, le terme "agent utilisateur" désigne votre navigateur.

"Même agent utilisateur" désigne le même type de navigateur ouvert sur le même poste de travail. Il peut être ouvert dans plusieurs onglets ou dupliqué dans plusieurs fenêtres. Mais ni avec un type de navigateur différent (par exemple, Chrome ou Firefox) ni de postes de travail différents.

Certaines applications exécutées sur votre poste de travail peuvent agir en tant qu'agent utilisateur. Techniquement, "même agent d'utilisateur" signifie que les différents agents d'utilisateur (instances de navigateur et applications locales) partagent les mêmes cookies et sont donc inclus dans la même session OIDC.

Quelle est la différence entre "authentifier" et "ré-authentifier" ?

Lorsque vous vous authentifiez sur un agent utilisateur particulier, cet agent utilisateur reçoit du serveur un "cookie SLI". Tant que ce cookie est valide, si vous devez vous authentifiez à nouveau, dans la plupart des cas, vous serez ré-authentifié de manière transparente. On parle de "ré-authentification silencieuse", en anglais Silent Reauthentication (SRA).

Cela inclut la connexion transparente à une autre application. C'est la connexion unique (en anglais "Single Login In", SLI). La plupart du temps, SLI est mentalement inclus dans SSO, mais ce n'est pas la même chose et tous les serveurs OIDC ne le font pas de manière native, comme le fait OAuthSD.

C'est le travail formidable que fait OAuthSD pour vous !

Qu'est ce qui peut bien nécessiter une nouvelle authentification ?

Il y a bien des circonstances dans lesquelles, sans OAuthSD, vous devriez vous identifier plusieurs fois au cours d'une même journée (la procédure classique de login et de mot de passe) :
en fin de la session de votre application,
après une perte de connexion réseau ou Internet,
après un redémarrage de votre poste de travail,
après une fermeture soudaine et redémarrage de l'application,
pour vous connecter à une application particulièrement protégée et qui n'accepte pas la connexion automatique, etc.

Avec OAuthSD, tant que le cookie SLI est valide, vous vous re-authentifiez de façon transparente. Vous pouvez même lancer de nouvelles applications et être automatiquement connecté.

Cependant, vous devrez vous authentifier à nouveau lorsque le cookie SLI n'est plus valide. Ceci est évidemment le cas après la fermeture de la session OIDC Connect.
Cela peut également arriver si vous quittez votre travail pendant une longue période sans fermer la session OIDC Connect (mauvaise habitude !), Sinon vous serez averti de la fin imminente de la session et pourrez l'étendre.
Il existe également des cas de destruction de session provoquant une nouvelle authentification. Cela sert à vous protéger en cas de suspicion d'attaque.

Bien évidemment, vous devrez vous authentifier à nouveau si vous changez de navigateur ou de poste de travail (le cookie SLI n'est valable que pour un seul user-agent).

Certaines applications demandent une authentification alors que je suis déjà connecté

Certaines applications doivent être particulièrement protégées du fait de leur sensibilité par rapport aux données sensibles. Elles ont été configurées pour ne pas accepter la connexion unique (SLI).

D'où puis-je me connecter et que signifie "dans le domaine de l'entreprise" ?

Il est recommandé aux entreprises de limiter géographiquement l'accès depuis tout ou partie de leur intranet, à partir d'Internet, ou d'établir des procédures spéciales pour se connecter en dehors de ces zones.

La définition d'un domaine d'entreprise (corporate realm) inclut les zones à partir desquelles vous pourrez vous authentifier auprès du serveur OIDC. Nous dirons que vous êtes "dans le domaine de l'entreprise" pour indiquer que vous êtes en mesure d'atteindre un serveur OIDC particulier.

Veuillez noter que la définition du domaine d'entreprise dépend de la configuration du réseau (routeurs et pare-feu) définie par l'administrateur. Ce n'est pas un service du serveur OAuthSD.

Dans toute la documentation, sauf mention contraire, nous supposons que vous êtes "à l'intérieur du domaine de l'entreprise".

Que sont les applications clientes ?

Les applications clientes sont enregistrées sur un serveur OIDC, ce qui leur permet de déléguer votre authentification.

Dans toute la documentation, sauf mention contraire, "application" désigne une application cliente enregistrée sur le serveur OIDC du domaine de l'entreprise considéré.

Traitement de la session OpenID Connect

Qu'est-ce qu'une session OpenID Connect ?

Une session OIDC est établie sur le serveur à la première authentification en début de journée.

Cette session dure généralement plusieurs heures et peut être prolongée si vous continuez à travailler. Pendant ce temps, vous pourrez vous connecter à d'autres applications sans avoir à vous authentifier à nouveau.

Comment je vois le statut de la session OpenID Connect ?

La session OpenID Connect est "ouverte sur le serveur" si l'étiquette OIDC est verte.

Si l'étiquette OIDC est orange ou rouge, la session OpenID Connect peut être ouverte sur le serveur (vous vous êtes déjà connecté avec le même compte OIDC). L'application n'est pas encore connectée à votre compte OIDC. Essayez de vous reconnecter, vous serez probablement ré-authentifié automatiquement, et l'application reconnectée.

Vous pouvez cliquer sur l'étiquette bleue pour afficher une fenêtre contextuelle contenant plus d'informations.

Si l'étiquette reste rouge de façon durable, cela traduit une panne. Vérifiez la disponibilité du réseau ou contactez l'administrateur.

Que signifie la session OIDC a été / sera détruite ?

La session OIDC est détruite lorsque toutes les références à cette session sont effacées du serveur, soit à l'expiration de la session, soit sur une action de déconnexion globale ou une réaction de protection.

Vous devrez vous authentifier à nouveau (pas ré-authentifier) pour démarrer une nouvelle session.

Si d'autres applications étaient ouvertes dans cette même session, elles seront toutes déconnectées, même si elles étaient ouvertes sur d'autres agents utilisateur ou postes de travail.

Quand la session OIDC peut-elle être détruite ?
lorsque vous "déconnectez toutes vos applications",
lorsque la session OIDC se termine sur le serveur,
si vous vous écartez de la procédure normale,
dans certains cas de risque de sécurité.

Puis-je ouvrir plusieurs sessions OIDC sur différentes stations de travail avec le même compte ?

Oui.

Vous devrez vous authentifier à nouveau.

Puis-je ouvrir plusieurs sessions OIDC avec des comptes différents sur différents navigateurs / postes de travail ?

Avec des comptes OIDC différents : Oui.

Cependant si vous essayez d'utiliser des comptes différents sur un même agent utilisateur (même navigateur, même poste de travail), la session OIDC du premier compte sera détruite, ce qui entraînera des situations d'erreur inattendues, y compris sur d'autres postes de travail.

C'est logique : Single Sign On (SSO) signifie qu'une personne n'utilise qu'un seul compte. Différentes personnes utiliseront différents comptes sur des postes de travail distincts.

Plusieurs personnes peuvent-elles utiliser le même compte ?

Oui. C'est la même chose qu'une personne qui se rend à un poste de travail différent. Tant que les informations d'authentification sont les mêmes, OIDC ne fait pas la différence.

Cela n'est plus vrai s'il existe une reconnaissance biométrique sur les postes de travail.

Que signifie le message "Authorization error : incoherent State (did you prefix URL with 'www.' ?" ?
L'explication est donnée ici. Parlez-en avec votre administrateur.

Que signifie exactement "Fermer la session OIDC Connect" ?
Lorsque vous fermez explicitement la session OpenID Connect à partir de n'importe quel agent utilisateur sur un poste de travail, la session de l'utilisateur sera définitivement fermée sur le serveur (la session OIDC est détruite). Cela entraînera rapidement la déconnexion de toutes les applications de l'utilisateur considéré (les cookie SLI correspondant à cet utilisateur seront détruits sur tous les agents-utilisateurs avec lesquels il s'était connecté).

On parle également de "déconnexion globale" par opposition à la "déconnexion locale" d'une seule application.

Pourquoi une déconnexion globale ? Ne peut-on pas se déconnecter d'une seule application en laissant les autres connectées ?
La seule raison pour laquelle vous vous déconnectez, c'est que vous quittez votre poste de travail, n'est-ce pas ? La sécurité veut alors que vous soyez déconnecté de toutes les applications.

Si je ferme une application, y-a-t-il fermeture de la session OIDC (déconnexion globale) ?
Non.
La déconnexion de l'application (déconnexion locale) n'entraîne pas la fermeture de la session.
Le mécanisme SLI fera que l'application se re-authentifiera automatiquement dès que vous la ré-utiliserez en ayant besoin d'être connecté (si la session OIDC n'a pas expiré entretemps).

Qu'est-ce que la connexion automatique ?
Le mécanisme SLI fait que, si vous avez connecté une première application, une deuxième application pourra être connectée (avec le même navigateur sur le même station de travail) sans que vous soyez obligé d'entrer à nouveau votre login et votre mot de passe dans un dialogue de connexion. Cependant, il vous faudra tout de même lancer la connexion.
Dans certaines configurations (voyez avec l'administrateur), le simple fait d'ouvrir une nouvelle application (avec le même navigateur sur le même station de travail) la connecte immédiatement.

Résumé : ré-authentification et connexion automatique selon l'origine

Le tableau suivant résume les possibilités de la connexion unique (Single Login In, SLI) en fonction de l'origine :

L'application permet une connexion locale (sans passer par OIDC). Si je déconnecte localement, ou si je quitte l'application, y-a-t-il fermeture de la session OIDC (déconnexion globale) ?
Autant dire qu'une telle application n'a alors rien à voir avec OIDC. Donc, non, il n'y aura pas fermeture globale d'une session OIDC.

Les applications spécialement développées pour déléguer l'authentification à OpenID Connect devraient masquer la possibilité de connexion/déconnexion locale.

J'ai quitté mon bureau avec des sessions OIDC toujours ouvertes
Au bout d'un moment, la session OIDC se terminera sur le serveur et toutes les applications connectées avec le compte considéré seront déconnectées. Mais cela peut prendre un certain temps, généralement des heures.
Il suffit de prendre votre smartphone, de vous connecter à n'importe quelle application (enregistrée sur votre serveur OIDC), de vous authentifier avec votre compte OIDC et de vous déconnecter explicitement. La session sera détruite, ainsi toutes les applications seront déconnectées.

Toutefois, veuillez noter que certaines entreprises peuvent choisir d'interdire l'accès depuis l'extérieur ou d'établir des procédures spéciales pour se connecter depuis l'extérieur.

J'ai un identifiant OpenID, puis-je m'en servir ?

Voilà une confusion fréquente : OpenID et OpenID Connect ce n'est pas la même chose !
Un identifiant OpenID permet de vous identifier.
Dans le cadre d'OIDC, différentes méthodes d'identification peuvent être utilisées, au choix des développeurs et des administrateurs des applications clientes. L'identification avec l'identifiant OpenID pourrait être l'une d'elles.

Ok, mais quel est l'avantage d'utiliser Openid Connect par rapport à OpenID ?

Utiliser OpenID (ou quelques autres) pour l'authentification unique (SSO) vous permet de vous identifier. OpenID Connect identifie également l'application avec laquelle vous vous connectez et lui donne une autorisation. OpenID Connect permet également de sécuriser les échanges de données des applications dont les ressources sont réparties dans le Cloud.

OpenID Connect identifie l'utilisateur, l'application et ajoute en plus une portée d'autorisation.

Ces trois données sont liées de manière inviolable au moyen du jeton JWT.
Ceci est très important, car les intrusions ne sont pas seulement causées par des personnes mal intentionnées qui usurpent votre identité, mais également par un logiciel malveillant prétendant être la bonne application.

Personna, MyOpenID ont fermé, alors pourquoi OAuth Server ?

Ces systèmes n'étaient pas fondés sur OAuth 2.0 et n'utilisaient pas le protocole OpenID Connect, qui sont les solutions largement utilisées actuellement, car elles offrent le niveau de sécurité attendu, notamment pour protéger les échanges de données des applications dont les ressources sont réparties dans le Cloud.

De plus, nous espérons que les fonctionnalités étendues de OAuthSD sauront vous séduire.