Documentation Oracle Cloud Infrastructure

Ajout d'une application confidentielle

Les applications confidentielles sont exécutées sur un serveur protégé.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, sélectionnez Applications intégrées. La liste des applications du domaine apparaît.
  3. Sélectionnez Ajouter une application.
  4. Dans la fenêtre Ajouter une application, sélectionnez Application confidentielle.
  5. Sélectionnez Lancer le workflow.
  6. Sur la page Ajouter des détails d'application, utilisez le tableau suivant pour configurer le détail de l'application et les paramètres d'affichage.
    Option Description
    Nom

    Entrez le nom de l'application confidentielle. Vous pouvez entrer jusqu'à 125 caractères.

    Pour une application dont le nom est long, celui-ci est tronqué sur la page Mes applications. Envisagez de limiter au maximum la longueur du nom de vos applications.
    Description

    Entrez la description de l'application confidentielle. Vous pouvez entrer jusqu'à 250 caractères.
    Icône d'application

    Dans la fenêtre de l'icône d'application, sélectionnez Fermer (X) afin de supprimer l'icône d'application par défaut, puis ajoutez votre propre icône pour l'application. Cette icône apparaît en regard du nom de l'application sur les pages Mes applications et Applications.
    URL de l'application

    Entrez l'URL (HTTP ou HTTPS) vers laquelle l'utilisateur est réacheminé une fois connecté. Cette valeur est également appelée paramètre RelayState SAML. Le format HTTPS est suggéré. Utilisez HTTP uniquement à des fins de test.

    Pour les applications d'entreprise, l'URL de l'application est celle que les utilisateurs doivent employer afin d'accéder à l'application d'entreprise. Utilisez le nom d'hôte et le numéro de port de la passerelle d'application. Si vous disposez de plusieurs instances de passerelle d'application, utilisez le nom d'hôte et le numéro de port de l'équilibreur de charge.
    URL de connexion personnalisée

    Dans le champ URL de connexion personnalisée, indiquez une URL de connexion personnalisée. Toutefois, si nous utilisons une page de connexion fournie par défaut par IAM, laissez ce champ vide.
    URL de déconnexion personnalisée

    Dans le champ URL de déconnexion personnalisée, indiquez une URL de déconnexion personnalisée. Toutefois, si nous utilisons une page de connexion fournie par défaut par IAM, laissez ce champ vide.
    URL d'erreur personnalisée

    Ce champ est facultatif. Entrez l'URL de cette page d'erreur vers laquelle un utilisateur doit être réacheminé en cas d'échec. Si aucune valeur n'est indiquée, l'URL de la page d'erreur propre au locataire est utilisée. Si aucune des deux URL d'erreur n'est configurée, l'erreur est réacheminée vers la page d'erreur IAM (/ui/v1/error).

    Lorsqu'un utilisateur tente de recourir à l'authentification en réseau social (par ex. Google, Facebook, etc.) pour se connecter à IAM, l'URL de callback doit être configurée dans le champ URL d'erreur personnalisée. Les fournisseurs de réseaux sociaux ont besoin d'une URL de callback pour appeler IAM et renvoyer la réponse après l'authentification en réseau social. L'URL de callback fournie permet de vérifier si l'utilisateur existe (en cas de première connexion par réseau social) et d'afficher une erreur en cas d'échec de l'authentification par réseau social. Il s'agit de l'URL à laquelle le callback est envoyé avec les détails de l'utilisateur inscrit en réseau social, si un compte utilisateur de réseau social connecté n'existe pas dans IAM.
    URL personnalisée de callback de lien de réseaux sociaux

    Ce champ est facultatif. Entrez l'URL vers laquelle IAM peut réacheminer une fois la liaison d'un utilisateur entre un fournisseur de réseaux sociaux et IAM effectuée.

    Lorsque vous créez une application personnalisée à l'aide du kit SDK personnalisé IAM et que l'intégration à l'aide de la connexion IAM par réseau social, l'application personnalisée doit disposer d'une URL de callback d'établissement de liens, qui peut être réacheminée après que la liaison entre le fournisseur de réseaux sociaux et IAM soit établie pour l'utilisateur.
    Afficher dans Mes applications

    Cochez cette case si vous souhaitez que l'application confidentielle soit répertoriée sur les pages Mes applications des utilisateurs. Dans ce cas, vous devez configurer l'application en tant que serveur de ressource.

    Lorsque vous activez la case à cocher Afficher dans Mes Applications pour une application, celle-ci est visible sur la page Mes Applications, mais cette sélection n'active ou ne désactive pas SSO pour l'application.

    L'indicateur d'activation ou de désactivation de SSO provient du modèle d'application.
    L'utilisateur peut demander l'accès

    Cochez la case si les utilisateurs finals peuvent demander l'accès à l'application à partir de leur page Mes applications en sélectionnant Ajouter l'accès. Si le libre-service n'est pas activé, les utilisateurs ne verront pas le bouton Ajouter un accès.

    pour les applications confidentielles : Mettre en œuvre les octrois en tant qu'autorisations

    Pour l'application d'entreprise : Cette application doit être octroyée à l'utilisateur

    Si vous voulez qu'IAM contrôle l'accès à l'application en fonction des octrois des utilisateurs et des groupes, sélectionnez cette option. Si vous désélectionnez cette option, tout utilisateur authentifié a accès à l'application.
  7. Sélectionnez Suivant.
  8. Dans le panneau Configurer OAuth, pour protéger les ressources de votre application maintenant et rendre l'application visible sur la page Mes applications, sélectionnez Configurer cette application comme serveur de ressource maintenant.
    Utilisez le tableau suivant afin de fournir les informations nécessaires à la configuration de cette application en tant que serveur de ressource.
    Option Description
    Expiration du jeton d'accès (secondes)

    Définissez la durée (en secondes) pendant laquelle le jeton d'accès associé à l'application confidentielle reste valide.
    Autoriser l'actualisation du jeton

    Cochez cette boîte de dialogue si vous voulez utiliser le jeton d'actualisation que vous obtenez lorsque vous utilisez les types d'octroi Propriétaire de ressource, Code d'autorisation et Assertion.
    Expiration du jeton d'actualisation (secondes)

    Définissez la durée (en secondes) pendant laquelle le jeton d'actualisation, renvoyé avec le jeton d'accès et associé à l'application confidentielle, reste valide.
    Public principal

    Entrez le destinataire principal sur lequel le jeton d'accès de votre application confidentielle est traité.
    Ajouter un public secondaire

    Entrez les destinataires secondaires où le jeton d'accès de votre application confidentielle est traité, puis sélectionnez Ajouter. Le destinataire secondaire apparaît dans la colonne de public secondaire, et la colonne de protégé permet de savoir si le public secondaire est protégé.
    Ajouter des portées

    Pour spécifier les parties d'autres applications auxquelles votre application doit accéder, ajoutez ces portées à l'application confidentielle.

    Les applications doivent interagir de manière sécurisée avec les applications confidentielles ou partenaires externes. En outre, les applications d'un service Oracle Cloud doivent interagir de manière sécurisée avec les applications d'un autre service Oracle Cloud. Chaque application possède des portées qui déterminent ses ressources disponibles pour d'autres applications.
  9. Dans le panneau Configurer OAuth, sélectionnez Configurer cette application comme client maintenant.
    Utilisez le tableau suivant afin de fournir les informations nécessaires à la configuration de cette application en tant que client.
    Option Description
    Propriétaire de ressource A utiliser lorsque le propriétaire de la ressource possède une relation d'approbation avec l'application confidentielle (système d'exploitation informatique, application disposant de privilèges élevés, etc.), car l'application confidentielle doit ignorer le mot de passe après s'en être servi pour obtenir le jeton d'accès.
    Informations d'identification client

    A utiliser lorsque la portée d'autorisation est limitée aux ressources protégées sous le contrôle du client, ou aux ressources protégées inscrites auprès du serveur d'autorisation.

    Le client présente ses propres informations d'identification pour obtenir un jeton d'accès. Ce jeton d'accès est associé aux propres ressources du client et non à un propriétaire de ressource particulier, ou à un propriétaire de ressource pour le compte duquel le client est autorisé à agir autrement.
    Assertion JWT

    A utiliser lorsque vous souhaitez vous appuyer sur une relation d'approbation existante exprimée en tant qu'assertion et sans étape d'approbation directe de l'utilisateur sur le serveur d'autorisation.

    Le client demande un jeton d'accès en fournissant une assertion JWT (jeton Web JSON) utilisateur ou une assertion JWT utilisateur tierce, et des informations d'identification client. Une assertion Jeton est un package d'informations qui facilite le partage d'informations d'identité et de sécurité entre des domaines.
    Assertion SAML2

    A utiliser lorsque vous souhaitez vous appuyer sur une relation d'approbation existante exprimée en tant qu'assertion SAML2 et sans étape d'approbation directe de l'utilisateur sur le serveur d'autorisation.

    Le client demande un jeton d'accès en fournissant une assertion SAML2 utilisateur ou une assertion SAML2 utilisateur tierce, et des informations d'identification client. Une assertion SAML2 est un package d'informations qui facilite le partage d'informations d'identité et de sécurité entre des domaine de sécurité.
    Jeton d'actualisation Sélectionnez ce type d'octroi lorsque vous souhaitez qu'un jeton d'actualisation soit fourni par le serveur d'autorisation et permette d'obtenir un nouveau jeton d'accès. Les jetons d'actualisation sont utilisés lorsque le jeton d'accès en cours n'est plus valide ou expire, et qu'il n'est pas nécessaire que le propriétaire de la ressource se réauthentifie.
    Code d'autorisation

    Sélectionnez ce type d'octroi pour obtenir un code à l'aide d'un serveur d'autorisation faisant office d'intermédiaire entre l'application client et le propriétaire de la ressource.

    Un code d'autorisation est renvoyé au client via un réacheminement de navigateur une fois que les propriétaires de la ressource ont donné leur consentement au serveur d'autorisation. Le client échange ensuite le code d'autorisation avec un jeton d'accès (et souvent d'actualisation). Les informations d'identification du propriétaire de la ressource ne sont jamais exposées au client.
    Implicite

    Si l'application ne peut pas maintenir les renseignements d'identification client confidentiels lors de l'authentification auprès de la serveur d'autorisation. Par exemple, votre application est implémentée dans un navigateur Web à l'aide d'un langage de script tel que JavaScript. Un jeton d'accès est renvoyé au client via un réacheminement de navigateur en réponse à la demande d'autorisation du propriétaire de la ressource (plutôt qu'une autorisation intermédiaire).
    Code de l'appareil

    Sélectionnez le type d'octroi Code de l'ordinateur si le client n'est pas en charge de recevoir des demandes du serveur d'autorisation OAuth, par exemple, lorsqu'il ne peut plus agir comme un serveur HTTP (consoles de jeu, lecteurs multimédias de transmission en continu, cadres numériques, etc.).

    Dans ce flux, le client obtient le code utilisateur, le code de l'appareil et l'URL de vérification. L'utilisateur accède ensuite à l'URL de vérification dans un navigateur distinct pour approuver la demande d'accès. C'est uniquement à ce moment-là que le client peut obtenir le jeton d'accès à l'aide du code de l'appareil.
    Authentification du client TLS

    Sélectionnez le type d'octroi Authentification du client TLS afin d'utiliser le certificat client pour l'authentification auprès du client. If a token request comes with an X.509 client certificate and the requested client is configured with the TLS Client Authentication grant type, the OAuth service uses the Client_ID in the request to identify the client and validate the client certificate with the certificate in the client configuration. Le client est authentifié uniquement si les deux valeurs concordent.

    Pour renforcer le niveau de sécurité, avant d'activer le type d'octroi Authentification du client TLS, activez et configurez la validation OCSP, et importez un certificat du partenaire sécurisé.

    Autoriser les URL HTTP

    Cochez cette cases si vous voulez utiliser des URL HTTP pour les champs URL De Réacheminement, URL De Déconnexion ou URL De Réacheminement Post-Déconnexion. Par exemple, pour envoyer des demandes en interne, pour utiliser une communication non cryptée ou pour assurer la compatibilité amont avec OAuth 1.0, vous pouvez utiliser une URL HTTP.

    Cochez également cette case lorsque vous développez ou testez votre application et que vous n'êtes pas sûr d'avoir configuré SSL. Cette option n'est pas recommandée pour les déploiements de production.
    URL de réacheminement

    Entrez l'URL d'application vers laquelle l'utilisateur est réacheminé après l'authentification.

    Remarque : Fournissez une URL absolue. Les URL relatives ne sont pas prises en charge.
    URL de réacheminement post-déconnexion

    Entrez l'URL vers laquelle vous voulez réacheminer l'utilisateur après qu'il s'est déconnecté de l'application.
    URL de déconnexion

    Entrez l'URL vers laquelle l'utilisateur est réacheminé après s'être déconnecté de l'application confidentielle.
    Type client

    Sélectionnez le type de client. Les types client disponibles sont Sécurisé et Confidentiel. Choisissez Sécurisé si le client peut générer les assertions utilisateur auto-signées. Ensuite, pour importer la signature de certificat que le client utilise pour signer son assertion auto-signée, sélectionnez Importer le certificat.
    Opérations autorisées

    • Cochez la case d'Introspection afin d'autoriser l'accès à l'adresse d'introspection de jeton pour votre application.

      Si l'application confidentielle ne peut pas maintenir les renseignements d'identification client confidentiels lors de l'authentification auprès de la serveur d'autorisation. Par exemple, votre application confidentielle est implémentée dans un navigateur Web à l'aide d'un langage de script tel que JavaScript.

      Un jeton d'accès est renvoyé au client via un réacheminement de navigateur en réponse à la demande d'autorisation du propriétaire de la ressource (plutôt qu'un code d'autorisation intermédiaire).

    • Activez la case à cocher Au nom de pour vous assurer que le privilège d'accès peut être généré uniquement à partir des privilèges de l'utilisateur. L'application client peut ainsi accéder aux adresses auxquelles l'utilisateur a accès, même si l'application elle-même n'y a normalement pas accès.
    Algorithme de cryptage de jeton d'ID

    Sélectionnez l'un des algorithmes de cryptage de contenu.
    Contourner le consentement

    Si cette option est activée, cet attribut remplace l'attribut Exiger un consentement sur toutes les portées configurées pour l'application, et aucune portée ne nécessite de consentement.
    Adresse IP du client
    • N'importe où : la demande de jeton est autorisée à partir de n'importe quel emplacement. Il n'y a aucun périmètre.
    • Restreindre par périmètre réseau : sélectionnez les périmètres réseau afin qu'une requête de jeton ne soit autorisée qu'à partir de ceux-ci.
    Ressources autorisées

    Sélectionnez l'une des options suivantes pour permettre à l'application client d'accéder aux ressources autorisées :

    Remarque : L'option permettant de définir une ressource autorisée est disponible uniquement pour les applications confidentielles. Le périmètre de sécurisation ne peut pas être défini pour les applications mobiles.
    Ajouter des ressources

    Si vous voulez que l'application accède aux API d'autres applications, sélectionnez Ajouter les ressources dans la section Stratégie d'émission de jetons. Ensuite, dans la fenêtre Ajouter un champ d'application, sélectionnez les applications que votre application référence.

    Remarque : vous pouvez supprimer des portées en sélectionnant l'icône x en regard de la portée. En revanche, vous ne pouvez pas supprimer les portées protégées.
    Ajouter des rôles d'application

    Sélectionnez Ajouter des rôles d'application. Dans la fenêtre d'ajout de rôles d'application, sélectionnez les rôles d'application à affecter à l'application. Votre application peut ainsi accéder aux API REST auxquelles chacun des rôles d'application affectés peut accéder.

    Par exemple, sélectionnez Administrateur de domaine d'identité dans la liste. Toutes les tâches d'API REST disponibles pour l'administrateur de domaine d'identité sont accessibles pour votre application.

    Vous pouvez supprimer les rôles d'application en le sélectionnant, puis en sélectionnant Enlever.

    Remarque : vous ne pouvez pas supprimer des rôles d'application protégés.
  10. Sélectionnez Suivant.
  11. Configurez la stratégie de niveau Web. Importez une stratégie du niveau Web existante, ou modifiez manuellement la stratégie en mode simple en remplissant les champs ou en mode avancé en modifiant un fichier JSON.
  12. Ajoutez toutes les ressources à protéger.
  13. Cliquez sur Fin.
    L'application a été ajoutée à l'état Désactivé.
  14. Enregistrez l'ID client et la clé secrète client qui apparaissent dans la fenêtre Application ajoutée.
    Pour toute intégration à votre application confidentielle, utilisez cet ID et cette clé secrète dans les paramètres de connexion. L'ID client et la clé secrète client sont équivalents aux informations d'identification (par exemple, ID et mot de passe) utilisées par votre application pour communiquer avec IAM.
  15. Sélectionnez Fermer.

    La page de détails de la nouvelle application s'affiche.

  16. En haut de la page, à droite du nom de l'application, sélectionnez Activer.
  17. Confirmez l'activation.
  18. Sous la section Ressources, effectuez les opérations suivantes :
    1. Sélectionnez Informations sur le consentement, puis ajoutez des informations sur le consentement.
    2. Sélectionnez Utilisateurs ou Groupes pour ajouter des utilisateurs, des groupes et des groupes à l'application.