Documentation sur Oracle Cloud Infrastructure

Utilisation d'OpenID Connect pour étendre OAuth 2.0

OpenID Connect étend le protocole OAuth 2.0 pour ajouter une couche d'authentification et d'identité simple située au-dessus de OAuth 2.0.

Utilisez OpenID Connect lorsque vous souhaitez que vos applications en nuage obtiennent des informations d'identité, extraient des détails sur l'événement d'authentification (par exemple, quand, où et comment l'authentification s'est produite) et autorisent l'authentification unique fédérée (SSO).

OAuth 2.0 fournit des jetons de sécurité à utiliser lors de l'appel de ressources dorsales au nom d'un utilisateur. OAuth fournit une autorisation ou une licence permettant d'accéder aux ressources plutôt que de fournir des informations sur l'authentification elle-même. Utiliser OAuth pour l'authentification est comme un gestionnaire d'appartement donnant à quelqu'un qui veut connaître votre identité une clé temporaire à votre appartement. La clé implique seulement un droit d'entrer dans l'appartement pour une durée spécifique. Cela ne signifie pas que l'individu est le propriétaire.

L'utilisation d'OpenID Connect complète l'image en fournissant aux applications des informations sur l'utilisateur, le contexte de leur authentification et l'accès aux informations de leur profil. OpenID Connect permet aux clients de tous types, y compris les clients Web, mobiles et JavaScript, de demander et de recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. Pour plus d'informations, voir OpenID Connect.

Deux concepts sont introduits :

  • Jeton d'ID OpenID Connect : Ce jeton contient des informations sur la session authentifiée de l'utilisateur.

  • Point d'extrémité UserInfo : Ce point d'extrémité permet au client d'extraire des attributs supplémentaires sur l'utilisateur.

Mise en oeuvre d'OpenID Connect

Trois actions principales sont requises pour mettre en oeuvre OpenID Connect :

  1. Obtenir un jeton d'ID OpenID Connect : Utilisez un type d'autorisation OAuth2 pour demander un jeton d'ID OpenID Connect en incluant la portée openid dans la demande d'autorisation.

    Les cas d'utilisation suivants fournissent des exemples de demandes et de réponses pour obtenir le jeton d'ID.

  2. Valider le jeton d'ID : Validez le jeton d'ID pour vous assurer qu'il provient d'un émetteur approuvé et que le contenu n'a pas été altéré pendant le transit.

    Le cas d'utilisation suivant fournit des informations sur la façon et les éléments à valider.

  3. Extraire les informations de profil du point d'extrémité UserInfo : À l'aide du jeton d'accès OAuth2, accédez au point d'extrémité UserInfo pour extraire les informations de profil sur l'utilisateur authentifié.

    Le cas d'utilisation suivant fournit des exemples de demandes et de réponses pour extraire les informations de profil du point d'extrémité UserInfo.

Jeton d'identité

Un jeton d'identité est un jeton autonome sécurisé par intégrité (au format JWT (JSON Web Token) défini dans la norme OpenID Connect contenant des revendications sur l'utilisateur final. Le jeton d'identité est l'extension principale qu'OpenID Connect fait à OAuth 2.0 pour activer l'authentification dans un domaine d'identité.

Le jeton d'identité JWT se compose de trois composants, un en-tête, une charge utile et la signature numérique. Conformément à la norme JWT, ces trois sections sont encodées en Base64URL et séparées par des points.

Note

Les demandes OpenID Connect doivent contenir la valeur de portée openid.

OpenID Connect 1.0 est une couche d'identité simple au-dessus du protocole OAuth 2.0. Elle permet à une application client de domaine d'identité IAM (enregistrée en tant que client OAuth 2 avec l'ID client et la clé secrète client) de vérifier l'identité de l'utilisateur final en fonction de l'authentification effectuée par un serveur d'autorisation et d'obtenir des informations de profil de base sur l'utilisateur final de manière interopérable, de type REST. OpenID Connect permet aux clients de tous types, y compris les clients Web, mobiles et JavaScript, de demander et de recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. Pour plus d'informations, voir OpenID Connect.

Nom Valeur
amr Références des méthodes d'authentification. Tableau JSON de chaînes qui sont des identificateurs pour les méthodes d'authentification utilisées dans l'authentification. Par exemple, des valeurs peuvent indiquer que les méthodes d'authentification par mot de passe et par mot de passe à usage unique ont été utilisées.
at_hash OAuth 2 Valeur de hachage du jeton d'accès.
aud Identifie les destinataires auxquels ce jeton d'ID est destiné. Doit être la OAuth 2.0 client_id (selon la spécification OpenID Connect). Il s'agit du nom de client OAuth (app.name) qui effectue la demande. Aud contient également l'émetteur du domaine d'identité IAM, transformant ainsi le type de jeton (IT) en une assertion d'utilisateur de domaine d'identité IAM.
authn_strength* Valeur retournée par l'authentification unique en nuage indiquant la force d'authentification à partir du contexte AuthN.
auth_time Heure (heure UNIX) à laquelle l'authentification unique en nuage a réellement authentifié l'utilisateur (en secondes, à partir du contexte AuthN).
azp Partie autorisée. Partie à laquelle le jeton d'identification a été émis. S'il est présent, il DOIT contenir l'ID client OAuth 2.0 de cette partie. Cette réclamation n'est nécessaire que lorsque le jeton d'identification a une seule valeur d'audience et que cette audience est différente de la partie autorisée. Il peut être inclus même lorsque la partie autorisée est la même que l'audience unique. La valeur azp est une chaîne sensible à la casse qui contient une valeur StringOrURI.
exp Délai d'expiration (heure UNIX) à partir duquel le jeton d'ID ne doit pas être accepté pour traitement. Cette valeur doit être identique à session_exp.
iat Heure (heure UNIX) à laquelle le jeton JWT a été créé (en secondes). UNIX Epoch Time est un nombre JSON représentant le nombre de secondes entre 1970-01-01T0 :0 :0Z mesuré en temps universel coordonné (UTC) et cette date/heure.
iss Principal ayant émis le jeton : https://<domainURL>
jti Identificateur unique généré par le serveur pour l'ID JWT.
nonce Valeur de chaîne utilisée pour associer une session client à un jeton d'ID et atténuer les attaques de réexécution. Cette valeur est fournie par Cloud Gate.
session_exp* Heure (heure UNIX) à laquelle la session d'authentification unique en nuage expire (en secondes, doit être l'expiration de la même session d'authentification unique dans le contexte AuthN).
sid ID session de l'authentification unique en nuage (255 caractères ASCII au maximum) à partir du contexte AuthN.
sub Identifie l'utilisateur. L'identificateur de sujet est localement unique, jamais réaffecté, et est destiné à être consommé par le client : ID de connexion d'utilisateur (255 caractères ASCII maximum). Il s'agit de l'ID connexion de l'utilisateur à partir du contexte AuthN.
sub_mappingattr* Attribut utilisé pour rechercher le sous-inventaire dans le magasin d'ID.
tok_type* Identifie le type de jeton : IT
user_displayname* Nom d'affichage de l'utilisateur (255 caractères ASCII au maximum) à partir du contexte AuthN.
user_csr* Indique (vrai) que l'utilisateur est un représentant du service à la clientèle.
user_id* GUID du domaine d'identité IAM de l'utilisateur à partir du contexte AuthN.
user_lang* Langue de préférence de l'utilisateur.
user_locale* Paramètres régionaux de l'utilisateur.
user_tenantname* Nom du locataire de l'utilisateur (255 caractères ASCII au maximum). Le GUID du client n'est spécifiquement pas enregistré dans le jeton
user_tz* Fuseau horaire de l'utilisateur.

Validation du jeton d'identité

Pourquoi valider les jetons? Lorsque votre application Web vérifie directement les données d'identification, elle vérifie que le nom d'utilisateur et le mot de passe présentés correspondent à ce que vous tenez à jour. Lorsque vous utilisez une identité basée sur des réclamations, vous sous-traitez cette tâche à un fournisseur d'identités.

La responsabilité passe de la vérification des données d'identification brutes à la vérification que le demandeur a passé par votre fournisseur d'identités préféré et s'est authentifié. Le fournisseur d'identités représente une authentification réussie en émettant un jeton. Avant de pouvoir utiliser les informations ou vous y fier en tant qu'assertion authentifiée par l'utilisateur, vous devez les valider.

OpenID Document de découverte

Le protocole OpenID Connect 1.0 est une couche d'identité simple au-dessus du protocole OAuth 2.0 qui nécessite l'utilisation de plusieurs points d'extrémité pour authentifier les utilisateurs et demander des ressources qui incluent des informations sur les utilisateurs, des jetons et des clés publiques. Pour vous aider à découvrir quels sont ces points d'extrémité que vous devez utiliser, OpenID Connect vous permet d'utiliser un document de détection, qui est un document JSON trouvé à un emplacement bien connu. Ce document de détection contient des paires clé/valeur qui fournissent des détails sur la configuration du fournisseur OpenID Connect, notamment les URI des points d'extrémité d'autorisation, de jeton, d'informations d'utilisateur et de clés publiques. Vous pouvez extraire le document de détection pour le service OpenID Connect du domaine d'identité IAM à partir de : https://<domainURL>/.well-known/openid-configuration.

Validation des jetons d'identité

Un jeton d'identité (ID) est un jeton autonome sécurisé par intégrité (au format de jeton Web JSON) qui contient des réclamations concernant l'utilisateur final. Il représente la session d'un utilisateur authentifié. Par conséquent, le jeton doit être validé avant qu'une application puisse approuver le contenu du jeton d'ID. Par exemple, si un attaquant malveillant a réexécuté le jeton d'identification d'un utilisateur qu'il avait capturé précédemment, l'application doit détecter que le jeton a été réexécuté ou a été utilisé après son expiration et refuser l'authentification.

Le jeton d'ID est défini dans la norme OpenID Connect et est l'extension principale qu'OpenID Connect fait à OAuth 2.0 pour activer l'authentification. Les jetons d'identification sont sensibles et peuvent être utilisés à mauvais escient s'ils sont interceptés. Assurez-vous que ces jetons sont traités de manière sécurisée en les transmettant uniquement via HTTPS et en utilisant uniquement les données POST ou dans les en-têtes de demande. Si vous les stockez sur votre serveur, vous devez également les stocker en toute sécurité.

  1. Vérifiez que la valeur de la revendication d'audience (aud) contient la valeur client_id de l'application. La revendication aud (audience) peut contenir un tableau avec plus d'un élément. Le jeton d'ID doit être rejeté si le jeton d'ID ne répertorie pas le client en tant qu'audience valide ou s'il contient des audiences supplémentaires qui ne sont pas approuvées par le client.

  2. Vérifiez que l'heure courante est antérieure à l'heure représentée par la revendication d'heure d'expiration (exp).

  3. Vérifiez que le jeton d'ID est correctement signé par l'émetteur. Les jetons émis par le domaine d'identité sont signés à l'aide de l'un des certificats trouvés sur l'URI spécifié dans le champ jwks_uri du document de détection.

    • Extrayez le certificat public du locataire à partir du point d'extrémité SigningCert/jwk (par exemple, https://acme.identity.oraclecloud.com/admin/v1/SigningCert/jwk).

      Note

      Comme les domaines d'identité changent rarement de clés publiques, vous pouvez mettre en cache les clés publiques et, dans la plupart des cas, effectuer efficacement une validation locale. Cela nécessite de récupérer et d'analyser les certificats et d'effectuer les appels cryptographiques appropriés pour vérifier la signature :

    • Utilisez les bibliothèques JWT disponibles pour valider, par exemple la bibliothèque JWT Nimbus de Connect2id pour Java. Voir JWT pour obtenir la liste des bibliothèques disponibles.

      Note

      En cas d'échec de la validation de la signature, pour éviter les réinitialisations constantes en cas d'attaques avec de faux jetons, la réextraction/remise en mémoire cache de la clé publique doit être basée sur un intervalle de temps, tel que 60 minutes, de sorte que les réinitialisations ne se produisent que toutes les 60 minutes.

    Exemple 

    package sample;
 
import java.net.MalformedURLException;
import java.net.URL;
 
import com.nimbusds.jose.JWSAlgorithm;
import com.nimbusds.jose.jwk.source.JWKSource;
import com.nimbusds.jose.jwk.source.RemoteJWKSet;
import com.nimbusds.jose.proc.JWSKeySelector;
import com.nimbusds.jose.proc.JWSVerificationKeySelector;
import com.nimbusds.jose.proc.SecurityContext;
import com.nimbusds.jwt.JWTClaimsSet;
import com.nimbusds.jwt.proc.ConfigurableJWTProcessor;
import com.nimbusds.jwt.proc.DefaultJWTProcessor;
 
public class TokenValidation {
 
    public static void main(String[] args) {
        try {
            String tokenValue = "eyJ4NXQjUzI1....W9J4oQ";
     
            ConfigurableJWTProcessor jwtProcessor = new DefaultJWTProcessor();
 
            // change t
            JWKSource keySource = new RemoteJWKSet(new URL("https://<domainURL>/admin/v1/SigningCert/jwk"));
 
            // The expected JWS algorithm of the token (agreed out-of-band)
            JWSAlgorithm expectedJWSAlg = JWSAlgorithm.RS256;
 
            // Configure the JWT processor with a key selector to feed matching public
            // RSA keys sourced from the JWK set URL
            JWSKeySelector keySelector = new JWSVerificationKeySelector(expectedJWSAlg, keySource);
            jwtProcessor.setJWSKeySelector(keySelector);
 
            // Process the token
            SecurityContext ctx = null; // optional context parameter, not required here
            JWTClaimsSet claimsSet = jwtProcessor.process(tokenValue, ctx);
            // Print out the token claims set
            System.out.println(claimsSet.toJSONObject());
             
 
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
 
}

  4. Vérifiez que la valeur de la revendication d'identificateur d'émetteur (iss) correspond exactement à la valeur de la revendication iss (émetteur) : https://<domainURL>/

Interrogation du point d'extrémité UserInfo

Le point d'extrémité UserInfo d'OpenID Connect est utilisé par une application pour extraire les informations de profil sur l'identité authentifiée. Les applications peuvent utiliser ce point d'extrémité pour extraire des informations de profil, des préférences et d'autres informations propres à l'utilisateur.

Le profil OpenID Connect comprend deux composants :

  • Réclamations décrivant l'utilisateur

  • Point d'extrémité UserInfo fournissant un mécanisme pour extraire ces réclamations
    Note

    Les réclamations d'utilisateur peuvent également être présentées dans le jeton d'ID pour éliminer un rappel lors de l'authentification.

Réclamations de profil d'utilisateur

Le point d'extrémité UserInfo fournit un jeu de revendications basé sur les étendues OAuth2 présentées dans la demande d'authentification. OpenID Connect définit cinq valeurs de portée qui sont mappées à un jeu spécifique de revendications par défaut :

Portée d'OpenID Connect Réclamations retournées

ID ouverture

Aucun - Indique qu'il s'agit d'une demande OpenID Connect

profil

nom, family_name, given_name, middle_name, surnom, preferred_username, profil, image, site Web, sexe, date de naissance, zoneinfo, paramètres régionaux, updated_at

Adresse

Adresse

email

courriel, email_verified

téléphone

phone_number, phone_number_verified

Le client doit présenter ses données d'identification et un jeton d'accès. Le jeton d'accès présenté doit contenir l'étendue openid.

Si une portée est omise (par exemple, la portée email n'est pas utilisée), la réclamation (email) ne sera pas présente dans les réclamations retournées.

Exemple de demande de point d'extrémité UserInfo : Exemple

Une fois que l'application client a authentifié un utilisateur et dispose du jeton d'accès, le client peut ensuite faire une demande au point d'extrémité UserInfo pour extraire les attributs demandés concernant un utilisateur. L'exemple suivant montre un exemple de demande. 

   curl -i
   -H 'Content-Type: application/x-www-form-urlencoded'
   -H 'Authorization: Bearer eyJ4NXQjUzI1....rtApFw'-H 'Accept: */*'
   -H 'Content_Language: en-US'--request GET https://<domainURL>/oauth2/v1/userinfo

Exemple de réponse

Une réponse réussie retourne une réponse HTTP 200 OK et les réclamations de l'utilisateur au format JSON :

{
"birthdate":"",
"email":"user@example.com",
"email_verified":false,
"family_name":"user",
"gender":"",
"given_name":"user",
"appRoles":[],
"name":"alice alice",
"preferred_username":"user@example.com",
"sub":"user@example.com",
"updated_at":1495136783,"website":""
}

Pour que l'application client puisse approuver les valeurs retournées par le point d'extrémité UserInfo (par exemple, pour vérifier l'attaque par substitution de jeton), le client doit vérifier que la réclamation sub retournée par la demande de point d'extrémité UserInfo correspond à l'objet du jeton d'ID.

Utilisation du flux de code d'autorisation avec OpenID Connect

Utilisez le flux Authorization Code lorsque vous avez des clients qui peuvent conserver une clé secrète client en toute sécurité entre eux et le serveur d'autorisation. Le flux Authorization Code renvoie un code d'autorisation au client, qui peut ensuite échanger le code contre un jeton d'identification et un jeton d'accès directement.

Cela vous permet de ne pas exposer de jetons à l'agent utilisateur (comme un navigateur Web) et éventuellement à d'autres applications malveillantes ayant accès à l'agent utilisateur. Le serveur d'autorisation peut également authentifier le client avant d'échanger le code d'autorisation pour un jeton d'accès. Le flux Code d'autorisation fonctionne avec les clients confidentiels et les clients publics.

Clients confidentiels

Le flux Authorization Code comprend deux étapes :

  1. Demandez le code d'autorisation. Dans cette demande, la valeur du paramètre d'étendue est openid. Il s'agit d'une valeur de spécification OpenID Connect.

    Exemple de demande

    https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=openid

    Exemple de réponse

    https://<domainURL>/?code=AQIDBAXv9lZQ....F9NCA=

    • Vous pouvez fournir des valeurs de portée supplémentaires dans vos demandes, par exemple :

      https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=phone+openid+offline_access+profile+address+email

    • Cette demande contient à la fois l'openid et une portée de ressource OAuth :

      https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=http://<domainURL>/api+openid

  2. Demandez le jeton. Le client extrait le paramètre de code de la réponse et effectue la demande de jeton. En outre, le client fournit son ID client et sa clé secrète dans l'en-tête d'authentification de base.

    Exemple de demande

       curl -i
   -H 'Authorization: Basic ZWE1OGIwNDA0N2ZkNGQ4MTgyYThiYWQ0ZTNkMGFmZjU6ZGMxNGE4MjMtZGU2OC00YWNhLTg1OWUtMWNhZTJmNjQ0NTBi' 
   -H 'Accept: */*'
   --request POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAXv9lZQ???.jF9NCA'

    Exemple de réponse

    La demande contient à la fois le jeton d'accès et le jeton d'ID.

    {
"access_token":"eyJ4NXQjUzI1???.xhtnbw",
"token_type":"Bearer",
"expires_in":27261,
"id_token":"eyJ4NXQjUzI1???.._XLqUw"
}

Clients publics

Les clients publics n'ont pas de données d'identification, ils ont plutôt un identificateur de client. Le flux Code d'autorisation comporte deux étapes. Les demandes impliquent une demande GET basée sur un navigateur, puis une demande POST de canal dorsal pour obtenir le jeton d'accès.

  1. Demandez le code d'autorisation.

    Exemple de demande 

    GET https://<domainURL>/oauth2/v1/authorize?client_id=<client-id>&response_type=code&redirect_uri=<client-redirect-uri>&scope=openid&nonce=<nonce-value>&state=1234

    Exemple de réponse

    Note

    Ces exemples de demande et de réponse sont similaires à la demande et aux réponses du client confidentiel décrites précédemment.
    https://<domainURL>/?code=AQIDBAXv9lZQ....F9NCA=

  2. Demandez le jeton.

    Exemple de demande

    Note

    Cette demande est différente de la demande du client confidentiel pour laquelle l'ID client et la clé secrète client sont spécifiés dans l'en-tête Authentification de base. Dans le flux de client public, il n'y a pas d'en-tête d'authentification de base. L'ID client est spécifié dans les données utiles de la demande.
       curl -i
   -H 'Content-Type: application/x-www-form-urlencoded;charset=UTF-8'   
   --request POST https://<domainURL>/oauth2/v1/token 
   -d 'grant_type=authorization_code&code=<authz-code>&reidrect_uri=<client-redirect-uri>&client_id=<client-id>'

    Exemple de réponse 

    {
"access_token":"eyJ4NXQjUzI1???.xhtnbw",
"token_type":"Bearer",
"expires_in":27261,
"id_token":"eyJ4NXQjUzI1???.._XLqUw"
}

Utilisation du flux implicite avec OpenID Connect

Utilisez le flux implicite lorsque vous avez implémenté un client basé sur un navigateur à l'aide d'un langage de script tel que JavaScript. Le jeton d'accès et le jeton d'identification sont retournés directement au client, ce qui peut exposer ces jetons à l'utilisateur et aux applications qui ont accès à l'agent utilisateur de l'utilisateur (comme un navigateur Web).

Il n'y a aucune demande de jeton programmatique/arrière-canal impliquée dans ce flux (comme la demande Client public dans l'exemple de flux de code d'autorisation). Tous les jetons sont retournés à partir du point d'extrémité Authorization et le point d'extrémité token n'est pas utilisé. Le flux implicite fonctionne avec des clients confidentiels, fiables et publics.
Note

Les clients publics n'ont pas de données d'identification, mais un identificateur de client.

Les valeurs response_type suivantes sont prises en charge par le flux implicite :

  • id_token (jeton d'ID)

  • token (Jeton d'accès)

  • id_token token (le jeton d'ID et le jeton d'accès)

Obtention d'un jeton d'ID

Le flux implicite comporte trois étapes pour obtenir un jeton d'ID :

  1. Demandez le jeton.

    Exemple de demande

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=id_token&redirect_uri=<client_redirect_uri>&scope=address+openid+profile&nonce=abcdefg

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées)

  3. Réponse avec un jeton d'ID

    Exemple de réponse

    Note

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#id_token=eyJ4NXQjUzI1.....gF5uyQ

Obtention d'un jeton d'accès

Le flux implicite comporte trois étapes pour obtenir un jeton d'accès :

  1. Demandez le jeton d'accès.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=token&redirect_uri=<client_redirect_uri>&scope=address+openid+profile

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec jeton d'accès

    Exemple de réponse

    Note

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI1...4WGvJQ&token_type=Bearer&expires_in=3600

Obtention d'un jeton d'ID et d'un jeton d'accès

Le flux implicite comporte trois étapes pour obtenir à la fois le jeton d'ID et le jeton d'accès :

  1. Demandez le jeton d'ID et le jeton d'accès.

    Exemple de demande
    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=id_token token&redirect_uri=<client_redirect_uri>&scope=address+openid+profile&nonce=abcdefghijkl

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec le jeton d'accès et le jeton d'ID.

    Exemple de réponse
    Note

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI....XWGmeQ&id_token=eyJ4NXQjUzI1....&token_type=Bearer&expires_in=3600

Utilisation du flux hybride avec OpenID Connect

Utilisez le flux hybride lorsque vous souhaitez obtenir des jetons séparément du canal avant et du canal arrière. Par exemple, vous avez un composant de navigateur tel que JavaScript et un composant de serveur dorsal tel que Node.js. Le composant du navigateur obtient le code d'autorisation et le jeton d'identification et peut ensuite personnaliser le contenu de l'interface utilisateur. Le composant dorsal obtient le jeton d'accès pour effectuer des appels d'API d'affaires.

Les clients doivent prendre en charge à la fois les demandes et les réponses basées sur un navigateur et les demandes et les réponses programmatiques / back-canal pour utiliser le flux hybride. Le flux hybride fonctionne à la fois avec les clients confidentiels et les clients publics. Les valeurs response_type suivantes sont prises en charge avec le flux hybride :

  • code id_token (jeton d'ID)

  • code token (Jeton d'accès)

  • code id_token token (Code d'autorisation, jeton d'ID et jeton d'accès)

Obtention d'un jeton d'ID

Le flux hybride comporte quatre étapes pour obtenir à la fois le code d'autorisation et le jeton d'identification :

  1. Demandez le code d'autorisation et le jeton d'ID.

    Exemple de demande

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=code id_token&redirect_uri=<client_redirect_uri>&scope=http://<domainURL>/test+openid+offline_access&nonce=abcdefghijk

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec ID jeton et code d'autorisation.

    Exemple de réponse

    Note

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#code=AQIDBAUrAi0l....F9NCA=&id_token=eyJ4NXQjUzI1....3R8b_Q

  4. L'application client utilise le code d'autorisation et effectue une demande de canal arrière pour obtenir un nouveau jeton d'accès et des jetons d'actualisation.

    Exemple de demande

       curl -i
   -H 'Authorization: Basic YjA3NTZkNDc5M2QwNDZjNjhjZWVmY2UxZjE4ZGUwMWM6NGYzZjJjN2EtZTBjZC00NzcyLWE5MTYtNjI3ZmExNzA2NWE5'
   -H 'Accept: */*'
   --request POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAUrAi0l???.CA%3D'

    Exemple de réponse

    {
"access_token":"eyJ4NXQjUzI1....sJ5mCw",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"AQIDBAUwxxoC....tZLvA"
}

Obtention d'un jeton d'accès

Le flux hybride comporte quatre étapes pour obtenir le code d'autorisation et le jeton d'accès :

  1. Demandez le code d'autorisation et le jeton d'accès.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/authorize?client_id=<client_id>&response_type=code token&redirect_uri=<client_redirect_uri>&scope=http://<domainURL>/test

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec ID jeton et code d'autorisation.

    Exemple de réponse

    Note

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI1....Pudw9A&code=AQIDBAU6d6Ae....F9NCA=&token_type=Bearer&expires_in=3600

  4. L'application client utilise le code d'autorisation et effectue une demande de canal arrière pour obtenir un nouveau jeton d'accès.

    Exemple de demande 
       curl -i
  -H 'Authorization: Basic YjA3NTZkNDc5M2QwNDZjNjhjZWVmY2UxZjE4ZGUwMWM6NGYzZjJjN2EtZTBjZC00NzcyLWE5MTYtNjI3ZmExNzA2NWE5'
   -H 'Accept: */*''
   --request POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAU6d6Ae...NCA%3D'

    Exemple de réponse 

    {
"access_token":"eyJ4NXQjUzI1....Tgs9LA",
"token_type":"Bearer",
"expires_in":3600
}

Obtention d'un jeton d'ID et d'un jeton d'accès

Le flux hybride comporte quatre étapes pour obtenir le code d'autorisation, le jeton d'identification et le jeton d'accès :

  1. Demandez le code d'autorisation et le jeton d'ID.

    Exemple de demande
    https://<domainURL>/oauth2/v1/authorize?client_id=client_id&response_type=cod id_token token&redirect_uri=client_redirect_uri&scope=http://<domainURL>/test+openid&nonce=abcdaer

  2. L'utilisateur se connecte et donne son consentement (en fonction des portées demandées).

  3. Réponse avec le jeton d'ID et le jeton d'accès.

    Exemple de réponse
    Note

    Tous les paramètres de réponse sont ajoutés au composant de fragment de l'URI de redirection.
    https://<domainURL>/#access_token=eyJ4NXQjUzI1....sDB7lA&code=AQIDBAVxZzy-....F9NCA=&id_token=eyJ4NXQjUzI1....&token_type=Bearer&expires_in=36004

  4. L'application client utilise le code d'autorisation et effectue une demande de canal arrière pour obtenir un nouveau jeton d'accès.

    Exemple de demande
       curl -i
   -H 'Authorization: Basic YjA3NTZkNDc5M2QwNDZjNjhjZWVmY2UxZjE4ZGUwMWM6NGYzZjJjN2EtZTBjZC00NzcyLWE5MTYtNjI3ZmExNzA2NWE5'
   -H 'Accept: */*' ?request
   POST 'https://<domainURL>/oauth2/v1/token' -d 'grant_type=authorization_code&code=AQIDBAXUbLmS???.NCA%3D'

    Exemple de réponse

    {
"access_token":"eyJ4NXQjUzI1....g52XmQ",
"token_type":"Bearer",
"expires_in":3600,
"id_token":"eyJ4NXQjUzI1....f6JfWA"
}

Utilisation d'OpenID Connect pour la déconnexion

Vous pouvez utiliser OpenID Connect pour les demandes de déconnexion basées sur le navigateur.

Vous pouvez demander une déconnexion à l'aide d'OpenID Connect de deux façons :

  1. Redirection vers le client qui a lancé la déconnexion.

    Note

    Assurez-vous de définir l'URI de redirection après déconnexion pour l'application client OAuth et que le jeton d'ID est envoyé dans la demande. Le jeton d'ID contient l'ID client. L'URL de post-déconnexion correspondante de cet ID client est extraite et validée.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/userlogout?post_logout_redirect_uri=http://clienthost:port/myapp/return&state=c3004d28&id_token_hint=<IDToken>

  2. Utilisez la page de renvoi du locataire.

    Note

    Utilise la page de renvoi du locataire qui a été définie dans les paramètres d'authentification unique du locataire.

    Exemple de demande 

    https://<domainURL>/oauth2/v1/userlogout