Utiliser Logto comme fournisseur d'identité tiers (IdP)

Logto est une plateforme de gestion d'identité et d'accès (IAM) basée sur le cloud qui offre un ensemble complet de fonctionnalités d'authentification, d'autorisation et de gestion des utilisateurs. Il peut être utilisé comme fournisseur d'identité (IdP) pour vos applications ou services tiers, vous permettant d'authentifier les utilisateurs et de gérer leur accès à ces applications.

Dans cet article, nous expliquerons comment configurer Logto comme IdP pour vos applications tierces et comment l'utiliser pour authentifier les utilisateurs et gérer leurs permissions.

Qu'est-ce qu'un fournisseur d'identité (IdP) ?#

Un fournisseur d'identité (IdP) est un service qui vérifie les identités des utilisateurs et gère leurs identifiants de connexion. Après avoir confirmé l'identité d'un utilisateur, l'IdP génère des jetons d'authentification ou des assertions et permet à l'utilisateur d'accéder à diverses applications ou services sans avoir besoin de se reconnecter. Essentiellement, c'est le système de référence pour gérer les identités et les permissions des employés dans votre entreprise.

Qu'est-ce qu'un IdP tiers ?#

Un IdP tiers est un IdP qui est détenu par une organisation différente de celle du fournisseur de services (SP). Le SP demande l'accès aux données utilisateur qui ne lui appartiennent pas. Par exemple, si vous utilisez Logto comme IdP et que vous vous connectez à une application sociale tierce, alors Logto est un IdP tiers pour l'application sociale.

Dans le monde réel, de nombreuses applications utilisent Google, Facebook ou d'autres services tiers comme leur IdP. C'est ce qu'on appelle le Single Sign-On (SSO). Pour en savoir plus sur le SSO, veuillez consulter notre article CIAM 101 : Authentification, Identité, SSO.

Voyons maintenant comment intégrer Logto comme IdP tiers pour vos applications.

Comment intégrer un IdP tiers pour vos applications et ses meilleures pratiques#

Pré-requis#

• Avant de commencer, vous devez avoir un compte Logto. Si vous n'en avez pas, vous pouvez vous inscrire pour un compte gratuit sur Logto.

• Une application tierce pour laquelle vous souhaitez configurer Logto comme IdP. Les utilisateurs peuvent se connecter avec leurs comptes Logto.

Créer une application OIDC tierce dans Logto#

Pour créer une application OIDC tierce dans Logto, suivez ces étapes :

1. Accédez à la Console Logto et naviguez vers la page Applications.

2. Cliquez sur le bouton créer une application situé en haut à droite de la page. Sélectionnez "Application tierce -> OIDC" comme type d'application.

   

3. Remplissez les détails de base de l'application, y compris le nom et la description, dans la fenêtre pop-up. Cliquez sur le bouton créer. Cela générera une nouvelle entité d'application tierce dans Logto et passera à la page des détails.

   

Configurer la configuration OIDC#

Suivez ces étapes pour configurer les paramètres OIDC sous la page des détails de l'application :

1. Naviguez vers la page détails de l'application de l'application tierce que vous venez de créer.

2. Fournissez une URI de redirection de votre application tierce. Il s'agit de l'URL vers laquelle l'application tierce redirigera les utilisateurs après qu'ils aient été authentifiés par Logto. Vous pouvez généralement trouver cette information sur la page des paramètres de connexion IdP de l'application tierce.

   

   (Logto prend en charge plusieurs URI de redirection. Vous pouvez ajouter plus d'URI de redirection en cliquant sur le bouton Ajouter un autre.)

3. Copiez l'ID client et le secret client de Logto et entrez-les dans la page des paramètres de connexion IdP de votre fournisseur de services.

   

4. Copiez le point de terminaison de découverte OIDC de Logto et entrez-le dans la page des paramètres de connexion IdP de votre fournisseur de services.

   Le point de terminaison de découverte OIDC est une URL que le fournisseur de services peut utiliser pour découvrir les détails de la configuration OIDC de l'IdP. Il contient des informations telles que le point de terminaison d'autorisation, le point de terminaison de jeton et le point de terminaison d'information utilisateur que votre fournisseur de services doit utiliser pour authentifier les utilisateurs avec Logto.

   

Point de contrôle#

Avec tous les détails de configuration OIDC en place, vous pouvez maintenant utiliser Logto en tant qu'IdP tiers pour vos applications. Testez l'intégration sur votre application tierce pour vous assurer que les utilisateurs peuvent se connecter avec leurs comptes Logto.

Gérer les permissions des applications#

Contrairement aux applications de première partie, les applications tierces ne sont pas détenues par Logto. Elles sont généralement détenues par des fournisseurs de services tiers utilisant Logto comme IdP externe pour authentifier les utilisateurs. Par exemple, Slack, Zoom et Notion sont toutes des applications tierces.

Il est important de s'assurer d'accorder les bonnes permissions aux applications tierces lorsqu'elles demandent l'accès aux informations de vos utilisateurs. Logto vous permet de gérer les permissions de vos applications tierces, y compris les portées des profils utilisateur, les portées des ressources API et les portées d'organisation.

Demander des portées non activées entraînera une erreur. Cela garantit que les informations de vos utilisateurs sont protégées et ne sont accessibles qu'aux applications tierces en lesquelles vous avez confiance. Une fois que les portées sont activées, les applications tierces peuvent demander l'accès à ces portées activées. Ces portées seront affichées sur la page de consentement pour que vos utilisateurs les considèrent et accordent l'accès aux applications tierces.

Veuillez consulter notre article Écran de consentement utilisateur pour plus de détails sur ce qu'est un écran de consentement utilisateur.

Ajouter des permissions à vos applications tierces#

Accédez à la page Détails de l'application et naviguez vers l'onglet Permissions. Cliquez sur le bouton Ajouter des permissions pour ajouter les permissions de vos applications tierces.

Permissions utilisateur (Portées du profil utilisateur)#

Ces permissions sont les portées standard OIDC et essentielles de Logto pour accéder aux revendications utilisateur. Les revendications utilisateur seront retournées dans le jeton d'identification et le point de terminaison userinfo en conséquence.

Permissions des ressources API (Portées des ressources API)#

Logto fournit un RBAC (Contrôle d'accès basé sur les rôles) pour les ressources API. Les ressources API sont les ressources détenues par votre service et protégées par Logto. Vous pouvez attribuer des portées d'API définies par vous-même aux applications tierces pour accéder à vos ressources API. Si vous ne savez pas comment utiliser ces portées de ressources API, veuillez consulter nos guides RBAC et protéger votre API.

Vous pouvez créer et gérer vos portées de ressources API sous la page Ressources API dans la console Logto.

Permissions d'organisation (Portées de l'organisation)#

Les permissions d'organisation sont les portées définies exclusivement pour les organisations Logto. Elles sont utilisées pour accéder aux informations et ressources de l'organisation. Pour en savoir plus sur les organisations et comment utiliser les portées organisationnelles, veuillez consulter notre guide organisation.

Pour créer et gérer vos portées d'organisation, rendez-vous sur la page Modèle d'organisation dans la console Logto. Veuillez consulter Configurer les organisations pour plus de détails.

Page de consentement#

Une fois que toutes les permissions sont activées, les applications tierces peuvent demander l'accès aux permissions activées. Ces permissions seront affichées sur la page de consentement pour que vos utilisateurs les examinent et accordent l'accès aux applications tierces.

En cliquant sur le bouton Autoriser, l'utilisateur accordera l'accès aux applications tierces pour accéder à ces permissions demandées.

Personnaliser l'écran de consentement#

Enfin, il est important de s'assurer que les informations de marque et le lien de confidentialité du tiers sont correctement affichés aux utilisateurs lorsqu'ils sont redirigés vers la page de consentement de l'application tierce.

En plus de l'expérience de connexion universelle des applications de première partie, Logto vous permet de personnaliser ces informations de marque supplémentaires de vos applications tierces, y compris le nom de l'application, le logo, et le lien vers les conditions.

1. Accédez à la Console Logto et naviguez vers la page des détails de l'application tierce.

2. Naviguez vers l'onglet Branding.

   

• Nom à afficher : le nom de l'application tierce qui sera affiché sur la page de consentement. Il représentera le nom de l'application tierce qui demande l'accès aux informations de vos utilisateurs. Le nom de l'application sera utilisé si ce champ est laissé vide.
• Logo : le logo de l'application tierce qui sera affiché sur la page de consentement. Il représentera la marque de l'application tierce qui demande l'accès aux informations de vos utilisateurs. Le logo de l'application tierce et le logo de l'expérience de connexion universelle Logto seront affichés sur la page de consentement si les deux sont fournis.
• Dark logto : disponible uniquement lorsque l'expérience de connexion en mode sombre est activée. Gérez les paramètres du mode sombre sur la page Expérience de connexion.
• Lien vers les conditions : le lien vers les conditions de l'application tierce qui sera affiché sur la page de consentement.
• Lien de confidentialité : le lien de confidentialité de l'application tierce qui sera affiché sur la page de consentement.

Résumé#

Félicitations ! Vous avez intégré efficacement Logto en tant qu'IdP tiers pour vos applications. En configurant les paramètres OIDC, vous avez établi un mécanisme robuste et sécurisé pour l'authentification et l'autorisation des utilisateurs. Avec Logto en place, vous avez maintenant un processus fluide pour authentifier les utilisateurs et réguler leur accès à toute application tierce.