OIDC : Connexion avec OpenID Connect (générique)


  1. Connexion avec OpenID Connect générique
    1. Configuration projet sur le fournisseur d'identité
    2. Les informations nécessaires
    3. Configuration de la connexion dans le CMS

Connexion avec OpenID Connect générique

La connexion OpenID Connect (générique) permet d'utiliser un fournisseur d'identité OIDC autre que Google ou Facebook en saisissant manuellement quelques paramètres.

Si le fournisseur d'identité OIDC le supporte, il est recommandé de privilégier le mode d'authentification avec découverte automatique.

Configuration projet sur le fournisseur d'identité

Vous devrez configurer votre fournisseur d'identité en indiquant les URI de redirections d'Ametys, les scopes permettant l'accès à l'email, le nom et le prénom. Vous obtiendez un ID client et un code secret.

Les URI de redirection Ametys sont :

  • <BOserver_url>/_extra-user-management/oidc-callback
    (<BOserver_url> par ex: https://cms.mywebsite.com ou https://www.mywebsite.com/cms)
  • <SITEserver_url>/_extra-user-management/oidc-callback
    (A saisir plusieurs fois si vous utilisez plusieurs url racines comme https://www.mywebsite.com et https://www.otherwebsite.com)

Les informations nécessaires

Ces informations peuvent être par exemple se trouver sur une page « /.well-known/openid-configuration » du fournisseur d'identité en question.
(Exemple avec Google : https://accounts.google.com/.well-known/openid-configuration ).

Vous aurez besoin de 5 URIs :

  • L’URI d’authentification qui servira à demander au fournisseur de connecter l’utilisateur.
  • L’URI de demande de jetons (tokenEndpoint) qui servira à récupérer un jeton d’accès et un jeton d’identification.
  • L’URI d’« issuer » et le « jwkSetURL » afin de valider le jeton d’accès auprès du fournisseur d'identité.
  • L’URI de récupération des informations de l’utilisateur (userInfoEndpoint) qui permettra de récupérer les informations de l’utilisateur.

Configuration de la connexion dans le CMS

Rendez-vous sur l'espace administrateur du CMS (_admin) et ajoutez un nouveau type d'identification des utilisateur à une population existante ou une nouvelle population.

Dans “mode d’authentification” choisissez “OpenID Connect (générique)”.

Dans “Identifiant client OpenId” et “Clé secrète” entrez respectivement votre ClientID et votre code secret générés plus tôt.
Puis dans les champs correspondant, entrez les URIs.

Vos utilisateurs peuvent désormais se connecter à l’aide du fournisseur d'identité OIDC.

Retour en haut