Passer au contenu principal

Authentification unique (SSO)

Permettez à votre personnel et à vos membres de se connecter à Cobot en utilisant divers fournisseurs d'identité.

Aidan Sunassee avatar
Écrit par Aidan Sunassee
Mis à jour il y a plus d’une semaine

Cobot prend en charge l'authentification unique (SSO). Cela signifie que les membres et les administrateurs peuvent se connecter en utilisant divers fournisseurs d'identité, plutôt que de devoir configurer un mot de passe pour Cobot. Cela peut être configuré via des fournisseurs d'identité qui prennent en charge soit OpenID Connect, soit OAuth2.

OpenID Connect est pris en charge par certaines grandes entreprises technologiques, permettant ainsi à vos membres de se connecter avec leurs comptes existants. De plus, des fournisseurs d'identité dédiés vous permettent de configurer votre propre gestion des utilisateurs.

  • Google

  • Microsoft Azure Active Directory

  • Se connecter avec Apple

  • Auth0 / Okta

  • Ces options prennent également en charge les connexions sociales (Google, Facebook, LinkedIn, Twitter, GitHub, etc.).

OAuth2 nécessite des connaissances techniques plus approfondies, mais est pris en charge par plus de services et de projets open-source.

  • WordPress OAuth / WP OAuth Server

  • Slack

  • Facebook

  • LinkedIn

Pour configurer le SSO, cliquez sur Configurer » Authentification unique » Ajouter un fournisseur, et suivez les guides. Après avoir ajouté un fournisseur, un lien d'authentification unique vous sera fourni, que vous pourrez placer sur votre site web.

Optionnellement, des liens peuvent être ajoutés aux formulaires de connexion et d'inscription sur Cobot. Les membres qui visitent ce lien pourront s'inscrire et se connecter à cet espace sur Cobot en utilisant ce fournisseur. Le fournisseur doit prendre en charge les protocoles OAuth2 ou OpenID Connect, qui seront utilisés pour authentifier les membres.

Voici les étapes de configuration pour quelques fournisseurs populaires :


Slack

Malheureusement, l'implémentation OAuth2 de Slack diffère du standard, nécessitant une configuration supplémentaire.

Pour configurer l'authentification unique Cobot (SSO) avec Slack :

Créez une application sur Slack : rendez-vous sur https://api.slack.com/apps/new

Cette image affiche une fenêtre modale intitulée "Create an app", présentant deux options pour configurer les paramètres et les autorisations d'une application. La première option, "From a manifest", permet d'importer un fichier manifest contenant les informations de base de l'application, ses autorisations (scopes), ses paramètres et ses fonctionnalités. La deuxième option, "From scratch", permet de configurer manuellement ces éléments via une interface utilisateur. En dessous, une section d'aide propose des liens vers la documentation et un exemple pour vous guider. Un bouton de fermeture se trouve dans le coin supérieur droit de la fenêtre.

Cliquez sur From Scratch.

Cette image montre une fenêtre modale intitulée "name app & choose workspace" pour la création d'une nouvelle application Slack. L'utilisateur est invité à saisir un nom pour l'application — ici, "slack sign-in" est déjà prérempli. En dessous, il doit sélectionner un espace de travail dans lequel développer l'application, avec "cobot" actuellement sélectionné. Un avertissement indique que l'espace de travail ne pourra plus être modifié par la suite et que, si l'utilisateur quitte cet espace, il perdra l'accès à la gestion de l'application. Il est également possible de se connecter à un autre espace de travail. Tout en bas, un disclaimer précise que, en créant une application Web API, l'utilisateur accepte les conditions d'utilisation de l'API Slack. Deux boutons d'action, "cancel" et "create app", sont situés en bas à droite. Un bouton de fermeture est présent dans le coin supérieur droit.

Donnez-lui un nom et sélectionnez l'espace de travail Slack dans lequel l'app sera développée.

Cette image affiche la page des identifiants (credentials) d'une application Slack dans la section Basic Information. Elle comprend des champs pour l'ID de l'application (App ID), la date de création de l'application (Date of App Creation), l'ID client (Client ID), le secret client (Client Secret), le secret de signature (Signing Secret) et le jeton de vérification (Verification Token). Les champs secret client et secret de signature sont masqués par défaut mais peuvent être révélés via le bouton "Show" (afficher) ou régénérés avec le bouton "Regenerate" (régénérer). Une note conseille de ne pas partager ou stocker les identifiants dans des emplacements non sécurisés. Le jeton de vérification est marqué comme obsolète, avec la recommandation d'utiliser le secret de signature à la place.

Copiez le Client ID et le Client Secret pour plus tard.

Cliquez sur OAuth & Permissions dans le menu de gauche. Faites défiler vers le bas jusqu'à Scopes.

Cette image montre les paramètres des scopes pour une application Slack, qui définissent ses autorisations et ses capacités. La page est divisée en deux sections : "Bot Token Scopes" (scopes de jeton bot) et "User Token Scopes" (scopes de jeton utilisateur). La section des scopes de jeton bot est vide, avec une option pour ajouter un scope OAuth. La section des scopes de jeton utilisateur contient deux scopes OAuth existants : "identity.basic", qui permet à l'application de voir l'identité d'un utilisateur, et "identity.email", qui donne accès à l'adresse e-mail d'un utilisateur. Chaque scope possède une icône de suppression à côté. Une option permet également d'ajouter d'autres scopes OAuth. Une note en bas de page explique que les scopes définissent les méthodes API qu'une application peut appeler et les informations auxquelles elle peut accéder.

Sous User Token Scopes ajoutez identity.basic and identity.email.

Laissez cette page ouverte et ouvrez votre espace Cobot dans un nouveau onglet. Cliquez sur Configurer » Authentification unique » Ajouter le fournisseur » Ajouter le fournisseur OAuth 2.

Remplissez le formulaire comme indiqué ci-dessous :

Name

Slack (ou quoi que ce soit d'autre, ceci sera affiché sur le bouton de connexion)

OAuth Client ID

le Client ID de Slack

OAuth Client Secret

le Client Secret de Slack

Show link

cochez la case

Debug Mode

ne chochez pas la case

Authentication URL

Access Token Endpoint URL
https://slack.com/api/oauth.v2.access

Access Token Scope
laisser vide

User Email JSON Pointer
/user/email

Access Token JSON Pointer
/authed_user/access_token

Cliquez sur Enregistrer.

Cette image montre les paramètres de connexion unique (single sign-on) pour une application. Une intégration Slack est indiquée comme fournisseur actuel de connexion unique. Des options permettent de modifier ou de supprimer ce fournisseur. Un bouton bleu "Add Provider" (Ajouter un fournisseur) en haut à droite permet d'ajouter d'autres fournisseurs de connexion. La page présente une interface épurée avec un fond clair et des options de navigation simples.

Cliquez sur le lien correspondant au nom que vous avez saisi dans le formulaire.

Cette image affiche les paramètres d'intégration Slack pour une plateforme, montrant l'URL de connexion pour les membres ainsi que l'URL de redirection OAuth. Les deux URL sont listées dans un encadré gris clair, fournissant les liens nécessaires pour l'authentification et l'accès. La section est intitulée "Slack", indiquant qu'elle fait partie de la configuration de connexion unique ou de l'authentification pour les utilisateurs se connectant via Slack.

Copiez l'URL de redirection OAuth. Retournez dans l'onglet où votre application Slack est ouverte. Sur la page OAuth & Permissions, faites défiler vers le bas jusqu'à Redirect URLs.

Cette image affiche les paramètres de configuration de l'URL de redirection pour une intégration Slack. La section intitulée "Redirect URLs" explique que ces URL sont nécessaires pour générer le bouton "Ajouter à Slack" et garantir que les requêtes OAuth correspondent à une URL autorisée. Une URL de redirection préconfigurée est affichée, avec des options pour la modifier ou la supprimer. En dessous, un bouton "Add New Redirect URL" (Ajouter une nouvelle URL de redirection) permet d'ajouter d'autres URL, accompagné d'un bouton "Save URLs" (Enregistrer les URL) pour confirmer les modifications.

Ajoutez l'URL de redirection de l'étape précédente. Cliquez sur Save URLs.

Désormais, lorsque des personnes essaient de se connecter à votre espace Cobot, elles voient un bouton Se connecter avec Slack.

Cette image montre un écran de connexion avec des champs pour saisir une adresse e-mail et un mot de passe. Sous le champ du mot de passe, un lien "Forgot password?" (Mot de passe oublié ?) permet la récupération du compte. Les utilisateurs peuvent se connecter en cliquant sur le bouton gris foncé "Log in" (Se connecter). Il existe également une option pour se connecter via Slack, affichée comme un bouton séparé portant la mention "Log in with Slack" (Se connecter avec Slack). Le design inclut un séparateur visuel avec le mot "or" (ou) entre les deux méthodes de connexion.


Google

Google utilise OpenID Connect, ce qui simplifie la configuration.

  • Créez une application sur Google

  • Créez une configuration de fournisseur de connexion sur Cobot sous Configurer » Authentification unique » Ajouter un fournisseur OpenID Connect

  • Remplissez le formulaire comme indiqué ci-dessous (ajoutez l'ID Client/le secret depuis Google) :

Cette image affiche un formulaire de configuration pour configurer Google comme fournisseur d'authentification à l'aide d'OpenID Connect. Le formulaire comprend des champs pour saisir "Name" (le nom du fournisseur), "OAuth Client ID" (l'ID client OAuth), "OAuth Client Secret" (le secret client OAuth) et "Hostname" (le nom d'hôte). Il y a également une case à cocher intitulée "Show link" (Afficher le lien), qui est cochée, indiquant qu'un lien de connexion unique apparaîtra sur les formulaires d'inscription et de connexion.

Plus d'informations sur l'utilisation de Google pour OpenID Connect sont disponibles ici.


Microsoft Azure Active Directory B2C

Microsoft utilise OpenID, mais pas totalement, donc la configuration n'est pas aussi simple qu'elle devrait l'être. Lors de la configuration du SSO, sélectionnez OAuth 2 et non OpenID Connect.

Remplissez le formulaire comme indiqué ci-dessous, en remplaçant <TENANT_ID> par l'ID de votre client Microsoft.

URL d'authentification :

https://<TENANT_ID>.b2clogin.com/<TENANT_ID>.onmicrosoft.com/B2C_1A_PortaleStdFtc_SI/oauth2/v2.0/authorize

URL du point de terminaison du jeton d'accès :

https://<TENANT_ID>.b2clogin.com/<TENANT_ID>.onmicrosoft.com/B2C_1A_PortaleStdFtc_SI/oauth2/v2.0/token

Portée du jeton d'accès :

openid

URL du point de terminaison de l'utilisateur :

User Email JSON Pointer

/email

Access Token JSON Pointer

/id_token

Pour plus d'informations, cliquez ici.


Radius WiFi Integration

Please note that Single Sign-On (SSO) is not compatible with the current Radius WiFi integration (via IronWiFi).

This means that members cannot use their SSO credentials to log in to the WiFi network. Instead, they will need to create a separate password specifically for WiFi access.

We recommend sharing this information with members during onboarding to avoid confusion.


Questions? Email us at support@cobot.me.

Avez-vous trouvé la réponse à votre question ?