Login Espace Client

OpenID connect

Introduction

OpenID Connect (OIDC) fournit un moyen standardisé et sécurisé pour fédérer des systèmes avec un fournisseur d’identité commun (IdP) afin de gérer l’authentification et l’autorisation des utilisateurs à travers les applications. La configuration d’OIDC permet donc d’offrir aux utilisateurs une expérience SSO.

Outre les avantages d’OpenIDConnect, il s’agit d’une méthode permettant de satisfaire aux conditions fixées pour un accès sécurisé dans le cadre de l’initiative Titan BelRAI. Une autre méthode consiste à utiliser la nouvelle fonctionnalité incorporé d’authentification multifactorielle.

Utilisateurs, rôles et groupes d’utilisateurs dans OIDC

La gestion des utilisateurs, qu’il s’agisse de la gestion de l’identité ou de la gestion des rôles, peut être effectuée dans votre IdP.

Dans le système IAM de WZS, il est possible d’attribuer différents rôles aux utilisateurs par dossier ou par contexte spécifique. Cela permet un contrôle détaillé et précis des droits d’accès au sein du système, où chaque rôle peut avoir des droits spécifiques adaptés aux besoins de ce dossier particulier.

Toutefois, dans un système fédéré, où différents systèmes et applications collaborent et partagent des données, il est souvent nécessaire de réduire la complexité et d’améliorer l’interopérabilité. Cela permet de n’attribuer qu’un seul rôle à un utilisateur, quel que soit le contexte ou le dossier dans lequel il opère.

Ce passage d’une gestion des accès plus détaillée à une approche plus standardisée est un compromis entre la sécurité, la facilité d’utilisation et l’efficacité. L’attribution d’un seul rôle à un utilisateur dans un système fédéré simplifie la gestion et minimise les erreurs. Toutefois, cela signifie également que certaines nuances et certains droits spécifiques qui étaient auparavant gérés fichier par fichier peuvent être perdus.

Cependant, dans la plupart des IdP, les groupes d’utilisateurs (ou répertoires) peuvent également être utilisés pour restreindre l’accès à certains fichiers. En organisant les utilisateurs en groupes sur la base de leur lieu de travail, de leur région ou autre, les accès peuvent être limités aux dossier auxquels le groupe d’utilisateurs a besoin d’accéder.

Une fois les rôles et les groupes définis, le mappage entre l’IdP et WAS IAM de ces rôles et groupes devra être configuré. En effet, WAS IAM doit savoir quels groupes IdP ont accès à quels dossiers, d’une part, et quels rôles doivent se voir accorder quels droits d’accès, d’autre part. Cela permet de garantir que l’accès approprié est automatiquement accordé aux utilisateurs en fonction de leur appartenance à des groupes spécifiques.

 

Prerequis

Le nouveau système d’identité unifié (WZS IAM) peut être intégré à votre propre fournisseur d’identité via OpenID Connect, à condition que :

  • vous disposiez d’un IdP prenant en charge OpenID connect
  • Le WZS IAM est configuré avec un ClientID et un Secret qui peuvent être utilisés par le WZS IAM.
  • Votre IdP doit être configuré pour faire confiance à WZS IAM.
  • Une correspondance doit être établie entre les groupes et les permissions dans l’IdP et dans le WZS IAM
  • Methode pour satisfaire au conditions fixées pour un accès sécurisé dans le cadre de l’initiative Titan BelRAI

 

Intéressé(e) ? Plus d’informations ? Contactez l’équipe Sales via le formulaire de contact en bas de page.

 

Consultez également notre FAQ

Qu'est-ce que OpenID Connect (OIDC) ?

OpenID Connect est une norme standard pour l’authentification et l’autorisation sur Internet, basée sur le protocole OAuth 2.0. Il offre aux utilisateurs un moyen sûr et normalisé de s’authentifier auprès des applications web et d’accéder à leurs données, tout en protégeant la confidentialité des utilisateurs.

Pourquoi utiliser OIDC?

OpenID Connect est une norme industrielle permettant de mettre en place une signature unique (SSO) avec votre fournisseur d’identité (IdP). D’une part, cela signifie que les utilisateurs n’ont besoin de s’identifier qu’une seule fois pour accéder à plusieurs applications. D’autre part, la gestion des utilisateurs et des accès peut être centralisée dans le fournisseur d’identité au lieu de devoir être gérée dans toutes les applications fédérées.

Quels Identity Providers prenez-vous en charge ?

Tous les fournisseurs d’identité qui prennent en charge l’OIDC (OpenIDConnect) sont pris en charge.

Peut-on avoir un système hybride, dans lequel certains utilisateurs sont gérés dans WZS IAM et d'autres dans l'IdP ?

C’est possible. Notez qu’un utilisateur créé pour la première fois dans WZS IAM devra être lié manuellement à l’utilisateur dans l’IdP.

Quelles sont les mesures de sécurité à mettre en œuvre lors de l'utilisation d'OpenID Connect ?

Pour configurer OIDC, WZS doit être configuré pour HTTPS. Plus d’informations sur la configuration de HTTPS peuvent être trouvées ici.

Un nouvel employé commence pendant le week-end. Aucun utilisateur ne peut être créé dans l'IdP à ce moment-là. Un utilisateur temporaire peut-il être créé ?

La création d’un utilisateur temporaire n’est peut-être pas souhaitable. Vous pouvez créer un utilisateur dans le WZS IAM à condition de disposer de droits de gestion des utilisateurs et d’accès au fichier pour lequel vous souhaitez ajouter un utilisateur. Après le week-end, cet utilisateur peut être lié à un utilisateur IdP.

Comment nos utilisateurs Caresolutions sont-ils liés aux utilisateurs de l'IdP ?

Les utilisateurs de l’IdP seront liés au comptes Caresolutions à base de l’adresse mail.