Intégration Auth0

Aperçu

Cette section fournit des instructions sur :

Elle fournit également des informations supplémentaires sur le support des services SOAP et l'approvisionnement des utilisateurs et des groupes.

Note : Dans les instructions, remplacez <workflowgen url> par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen ou www.macompagnie.com/wfgen.

Prérequis

  • Assurez-vous d'avoir une instance de WorkflowGen en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur à Auth0 pour pouvoir le configurer.

  • Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen et l'utiliser plus tard.

  • Assurez-vous d'avoir configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.

Note : Dans les instructions, remplacez <workflowgen url> par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen ou www.macompagnie.com/wfgen.

Authentification Auth0

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur. Vous devez être un administrateur WorkflowGen.

  • Assurez-vous d'avoir l'accès d'administrateur à Auth0.

  • Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen et que cet utilisateur a les permissions d'accès d'administrateur. Ceci est important car une fois que vous aurez activé la délégation, vous devrez toujours pouvoir gérer l'application. L'utilisateur Auth0 est en fait un utilisateur d'un fournisseur d'identité qui est lié à Auth0, comme GitHub ou Google. Vous devez avoir approvisionné au moins un utilisateur.

Notes

  • Pour tester la configuration après avoir suivi les étapes suivantes, vous pouvez ajouter un utilisateur Auth0 dans la section Users du portail Auth0.

  • Lorsque vous importez des utilisateurs dans WorkflowGen depuis la base de données d'Auth0, assurez-vous de régler le nom d'utilisateur comme son adresse email (p.ex. jean.tremblay@exemple.com).

Configuration d'Auth0

La configuration d'Auth0 se fait dans plusieurs étapes. D'abord, vous devez inscrire l'application Web de WorkflowGen et la lier à votre instance de WorkflowGen; ensuite, vous devez inscrire l'API GraphQL de WorkflowGen pour pouvoir inscrire des applications personnalisées pour y accéder.

Étape 1 : Créez une nouvelle application Web régulière

  1. Naviguez vers la section Applications dans le portail Auth0.

  2. Cliquez sur Create Application et renseignez le formulaire :

    • Name : WorkflowGen Web App

    • Type : Regular Web Application

  3. Cliquez sur Create. Vous devriez maintenant voir la page « Quick Start » de l'application.

  4. Dans l'onglet Settings, défilez vers le bas jusqu'à la section Allowed Callback URLs et y ajouter https://<workflowgen url>/auth/callback.

Votre application Web régulière de WorkflowGen est maintenant configurée.

Étape 2 : Inscrivez l'API GraphQL

Vous devez maintenant inscrire le module de l'API GraphQL de WorkflowGen afin que les applications externes à WorkflowGen puissent utiliser l'API avec l'authentification Auth0 en utilisant le protocole OpenID Connect.

  1. Naviguez vers la section APIs dans le portail Auth0.

  2. Cliquez sur Create API et renseignez le formulaire :

    • Name : WorkflowGen GraphQL API

    • Identifier : https://<workflowgen url>/graphql

    • Signing algorithm : RS256

  3. Cliquez sur Create.

L'API GraphQL est maintenant inscrite dans Auth0.

Étape 3 : Ajoutez une règle Auth0

Pour obtenir un bon nom d'utilisateur du jeton d'accès lors de sa réception dans l'API GraphQL, vous devez utilisez une fonctionnalité spéciale d'Auth0 appelée « rule » (règle). Les règles agissent en tant qu'intergiciels (« middleware ») entre le fournisseur cloud lié et Auth0 afin de récupérer les valeurs correctes au besoin.

  1. Naviguez à la section Rules dans le portail Auth0, sélectionnez Auth Pipeline dans le menu de gauche, puis sélectionnez Rules dans le sous-menu.

  2. Cliquez sur Create Rules, puis choisissez le gabarit empty rule.

  3. Remplacez le code par le code suivant :

     function (user, context, callback) {
         const username = user.username || user.email || user.nickname;
    
         context.accessToken['https://api.workflowgen.com/username'] = username;
         context.idToken['https://api.workflowgen.com/username'] = username;
         callback(null, user, context);
     }
  4. Cliquez sur Save.

Cette étape assurera que WorkflowGen et l'API GraphQL obtiendront toujours un nom d'utilisateur depuis la même revendication au lieu de devoir faire plusieurs instructions conditionnelles. Cependant, ceci ne s'applique pas à l'authentification de machine à machine car il n'y aucun utilisateur humain impliqué.

Si vous utilisez une revendication de la correspondance Auth0 autre que celle spécifiée dans la fonction ci-dessus (p.ex. user.username, user.email, user.nickname), il suffit tout simplement de modifier cette règle ou ajouter la vôtre. Assurez-vous d'alimenter https://api.workflowgen.com/username avec la valeur, ou de configurer l'option ApplicationSecurityAuthUsernameClaim dans votre web.config avec la bonne revendication à prendre. Notez que cette option est utilisée dans l'application d'authentification ainsi que dans l'API GraphQL.

Configuration de WorkflowGen

Maintenant, vous devez configurez WorkflowGen pour déléguer son authentification à Auth0.

Étape 1 : Ajoutez les valeurs d'Auth0 au web.config de WorkflowGen

  1. Ouvrez le fichier web.config de WorkflowGen et ajoutez-y les propriétés suivantes sous <appSettings> :

     <!-- Auth0 auth -->
     <add key="ApplicationSecurityAuthProvider" value="auth0"/>
     <add key="ApplicationSecurityAuthClientId" value="<CLIENT ID>" />
     <add key="ApplicationSecurityAuthClientSecret" value="<CLIENT SECRET>" />
     <add key="ApplicationSecurityAuthMetadataUrl" value="<METADATA URL>" />
     <add key="ApplicationSecurityAuthUsernameClaim" value="https://api.workflowgen.com/username" />
     <add key="ApplicationSecurityAuthAppIdClaim" value="azp" />
     <add key="ApplicationSecurityAuthClockTolerance" value="60" />
  2. Remplacez <CLIENT_ID> par l'ID client de l'application Web régulière de WorkflowGen dans Auth0.

  3. Remplacez <CLIENT SECRET> par la clé secrète client de l'application Web régulière de WorkflowGen dans Auth0.

  4. Remplacez <METADATA_URL> par l'URL que vous avez construit antérieurement depuis votre nom de domaine dans Auth0. La METADATA URL est https://[VOTRE_DOMAINE_AUTH0].auth0.com/.well-known/openid-configuration.

Notez que la clé ApplicationSecurityAuthUsernameClaim est réglée à la valeur saisie dans la règle antérieurement, donc vous pouvez utiliser n'importe quelle valeur ici à condition que vous modifiez aussi la règle.

Tableau des options web.config

Option

Description

ApplicationSecurityAuthProvider

Le nom du fournisseur d'identité supporté par WorkflowGen. À présent, seulement Auth0, Azure Active Directory et AD FS sont supportés. Valeur : auth0, azure-v1 ou adfs

ApplicationSecurityAuthClientId

Chaque fournisseur d'identité génère un code qui identifie uniquement votre application. Dans ce cas, cette valeur est le code qui identifie uniquement l'application Web WorkflowGen dans Auth0, Azure Active Directory ou AD FS.

ApplicationSecurityAuthClientSecret

Comme pour l'ID client, cette valeur est aussi générée par le fournisseur d'identité, mais est plutôt comme un mot de passe d'utilisateur. Il est important de le garder secret parce qu'un logiciel malveillant ayant accès pourrait agir au nom de l'application. Cette valeur est générée automatiquement par Auth0.

ApplicationSecurityAuthMetadataUrl

ApplicationSecurityAuthAppIdClaim

ApplicationSecurityAuthUsernameClaim

Le nom de la revendication contenue dans le jeton d'accès qui identifie l'utilisateur dans WorkflowGen. Il est utilisé par WorkflowGen pour générer un jeton de session ainsi que par l'API GraphQL en récupérant un jeton d'accès. Note : Il est recommandé de garder la valeur par défaut.

ApplicationSecurityAuthClockTolerance

Cette valeur est utilisée lors de la vérification d'un jeton dans WorkflowGen. Il est essentiellement pour gérer des différences mineures entre les horloges des serveurs. Note : Il est recommandé de garder la valeur par défaut.

WorkflowGen est maintenant lié à Auth0 et réciproquement. La dernière étape est de configurer quelques options pour finaliser le « câblage interne ».

Étape 2 : Ajoutez des valeurs de sécurité pour la génération de session

Pour générer un jeton de session, vous devez ajouter quelques configurations au fichier web.config.

  1. Ouvrez le fichier web.config de WorkflowGen et ajoutez la propriété suivante sous <appSettings> :

     <!-- Auth -->
     <add key="ApplicationSecurityAuthSessionTokenSigningSecret" value="<SECRET>" />
  2. Remplacez <SECRET> par une valeur qui ne peut pas être devinée, comme un UUID.

Le secret sera seulement accessible dans votre instance de WorkflowGen, donc lors de la génération du jeton de session, WorkflowGen le signera avec ce secret afin de vérifier la validité de tous les jetons qui seront envoyés.

Étape 3 : Activez la délégation d'authentification

Vous devez maintenant activer la délégation en remplaçant le système d'authentification dans IIS et faire pointer les modules de WorkflowGen au module d'authentification correct.

Configurez IIS

  1. Dans IIS Manager, cliquez sur l'application WorkflowGen dans l'arborescence.

  2. Cliquez sur le bouton Authentication.

  3. Activez Anonymous Authentication et désactivez toutes les autres authentifications.

  4. Répétez ces étapes pour toutes les sous-applications.

Ajoutez des propriétés aux fichiers web.config de certains modules

Certains modules doivent faire vérifier leur authentification par le module d'authentification spécial de WorkflowGen Advantys.Security.JWTAuthenticationModule, tandis que certains autres modules ne le doivent pas parce qu'ils sont soit publics ou ne font pas partie du système d'authentification global.

  1. Ajoutez la propriété suivante au fichier web.config de WorkflowGen :

     <?xml version="1.0" encoding="UTF-8"?>
     <configuration>
         <system.webServer>
             <modules>
                 <add name="ApplicationSecurityAuthenticationModule" type="Advantys.Security.Http.JWTAuthenticationModule" />
             </modules>
         </system.webServer>
     </configuration>
  2. Ajoutez la propriété suivante au fichier web.config du module auth :

     <?xml version="1.0" encoding="UTF-8"?>
     <configuration>
         <system.webServer>
             <modules>
                 <remove name="ApplicationSecurityAuthenticationModule"/>
             </modules>
         </system.webServer>
     </configuration>

    Cette ligne enlève le module d'authentification Node.js du système d'authentification global, car cette application Node.js encapsule les mécanismes d'authentification de OpenID connect.

  3. Répétez les deux étapes ci-haut pour les modules hooks et scim.

  4. Copiez les assemblies et bibliothèques de dépendances .NET suivants de \wfgen\bin dans les dossiers \bin de tous les formulaires Web personnalisés (\wfgen\wfapps\webforms\<custom webform>\bin) :

    • Advantys.My.dll

    • Advantys.Security.dll

    • Newtonsoft.Json.dll

    • jose-jwt.dll

Vous devriez maintenant avoir une instance de WorkflowGen en fonctionnement avec l'authentification déléguée à Auth0 via le protocole OpenID Connect. Assurez-vous d'avoir approvisionné vos utilisateurs à WorkflowGen afin qu'ils puissent accéder à WorkflowGen.

Configuration Auth0 pour les applications mobiles

Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.

Cette section contient les instructions sur comment configurer Auth0 pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur Auth0 pour pouvoir le configurer.

  • Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application après.

  • Assurez-vous d'avoir installé la plus récente version de WorkflowGen Plus sur votre appareil et que l'appareil est supporté.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.

Configuration d'Auth0

Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans Auth0. Ensuite, vous devez donner à l'application les permissions requises pour accéder à l'API GraphQL de WorkflowGen.

Étape 1: Inscrivez une nouvelle application native

  1. Dans la section Applications du portail Auth0, cliquez sur Create Application.

  2. Renseignez le formulaire :

    • Name : WorkflowGen Plus

    • Type : Native

  3. Cliquez sur Create en bas de la page.

Vous avez maintenant inscrit une nouvelle application native dans Auth0.

Étape 2 : Ajoutez des URLs de rappel

  1. Dans l'onglet Settings, défilez vers le bas jusqu'à la section Allowed Callback URLs et ajoutez-y l'URL workflowgenplus://auth.authenticate.

  2. Défilez vers le bas jusqu'à la section Allowed Logout URLs et ajoutez-y l'URL workflowgenplus://auth.deauthenticate.

Vérifiez l'inscription

Puisque toutes les applications dans un domaine peuvent automatiquement accéder entre eux, votre application native hérite l'accès à l'API GraphQL. Voici un résumé de toutes les informations dont il vous faut :

  • Un ID client, qui se trouve dans l'onglet Settings dans la page de l'application native.

  • Un nom de domaine Auth0, qui se trouve directement à gauche de votre photo de profil en haut à droite de la page.

Toutes ces informations doivent être données aux utilisateurs qui utiliseront l'application mobile; ils devront les copier-coller directement dans l'application.

Configuration d'Auth0 pour les scripts côté serveur

Dans certains cas, vous voudrez effectuer une tâche spécifique qui peut être automatisée mais qui doit pouvoir accéder à l'API GraphQL de WorkflowGen; ce cas d'usage est souvent sous forme de script côté serveur. Pour ceci, OAuth2 fournit un type d'autorisation appelé Client Credentials qui échange tout simplement un ID client et une clé secrète client pour un jeton d'accès. Il n'y a aucun jeton ID car ceci ne fait pas partie du standard OpenID Connect, et aucun utilisateur n'est impliqué.

Cette section contient les instructions sur comment configurer Auth0 avec un script côté serveur qui a accès à l'API GraphQL.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur WorkflowGen.

  • Assurez-vous d'avoir l'accès d'administrateur Auth0 pour pouvoir le configurer.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.

Configuration d'Auth0

Étape 1 : Inscrivez une nouvelle application machine à machine

  1. Dans la section Applications du portail Auth0, cliquez sur Create Applications.

  2. Renseignez le formulaire :

    • Name : Votre nom de script

    • Application Type : machine-to-machine

  3. Cliquez sur Create.

Vous avez maintenant inscrit votre script dans Auth0.

Étape 2 : Donnez accès à l'API GraphQL

  1. Dans la section APIs du portail Auth0, cliquez sur WorkflowGen GraphQL API.

  2. Dans l'onglet Machine-to-Machine, autorisez l'application que vous venez de créer.

Vous avez maintenant donné accès l'API GraphQL pour votre script.

Vérifiez l'inscription

Voici un résumé des informations dont il vous faut :

  1. Un ID client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  2. Une clé secrète client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  3. L'identifiant de l'API GraphQL de WorkflowGen, qui se trouve dans sa page des paramètres.

Vous êtes maintenant prêt à inscrire votre script dans WorkflowGen.

Configuration de WorkflowGen

Comme pour l'approvisionnement des utilisateurs, WorkflowGen doit savoir quelle application accède à l'API GraphQL. Vous devez donc inscrire l'application, qui est constituée de votre script.

Inscrivez une nouvelle application

  1. Dans la page Applications du module d'administration de WorkflowGen, cliquez sur Nouvelle application.

  2. Renseignez le formulaire :

    • Name : Mon application serveur

    • Description : Une description qui indique clairement qui identifie clairement le script

    • Type : Non-interactive Client

    • Impersonate username : Un nom d'utilisateur qui a les permissions requises pour accéder à l'API GraphQL

    • Client ID : L'ID client que vous avez retrouvée plus tôt

    • Active : Cochez cette case à cocher

  3. Cliquez sur Save.

Votre application devrait maintenant paraître dans la liste d'applications.

Vous devriez maintenant avoir mis en place les composants nécessaires à faire des requêtes à l'API GraphQL depuis votre script en passant le jeton d'accès reçu d'Auth0 via le flux Client Credentials Grant.

Configuration d'Auth0 pour la CLI WorkflowGen

Mode interactif

Étape 1 : Inscrivez une nouvelle application native

  1. Dans la section Applications du portail Auth0, cliquez sur Create Application.

  2. Renseignez le formulaire :

    • Name : CLI WorkflowGen

    • Type : Native

  3. Cliquez sur Create en bas de la page.

Vous avez maintenant inscrit une nouvelle application native dans Auth0.

Étape 2 : Ajoutez une URL de rappel

Dans l'onglet Settings, défilez vers le bas jusqu'à la section Allowed Callback URLs et ajoutez-y l'URL http://127.0.0.1:8888/callback.

Le port 8888 est celui défini par défaut, vous pouvez le changer s'il est déjà utilisé sur votre poste.

Étape 3 : Vérifiez les types d'octrois

Dans Settings > Advanced Settings > Grant Types, assurez vous que les cases Implicit , Authorization Code et Refresh Token sont bien cochées.

Vérifiez l'inscription

Puisque toutes les applications dans un domaine peuvent automatiquement accéder entre eux, votre application native hérite l'accès à l'API GraphQL. Voici un résumé de toutes les informations dont il vous faut :

  • Un ID client, qui se trouve dans l'onglet Settings dans la page de l'application native.

  • Un nom de domaine Auth0, qui se trouve dans l'onglet Settings dans la page de l'application native.

Toutes ces informations doivent être données aux utilisateurs qui utiliseront la CLI WorkflowGen.

Mode non interactif

La configuration du mode non interactif est la même que dans la section Configuration d'Auth0 pour les scripts côté serveur.

Voici un résumé des informations dont il vous faut :

  • Un ID client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  • Une clé secrète client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  • Le domaine, qui se trouve dans l'onglet des paramètres de l'application inscrite.

Vous pouvez désormais utiliser la CLI WorkflowGen en mode Client credentials.

Configuration d'Auth0 pour les applications monopages

Les applications JavaScript s'exécutant dans un navigateur sont souvent difficiles à sécuriser à cause de la nature ouverte du Web. Le stockage sécurisé est nonexistant, et tout est en texte clair (pour HTTP version 1.1). Voici une citation (en Anglais) de l'équipe Azure Active Directory qui synthétise l'état de l'authentification avec les applications monopages (« single-page applications ») :

The OAuth2 implicit grant is notorious for being the grant with the longest list of security concerns in the OAuth2 specification. And yet, that is the approach implemented by ADAL JS and the one we recommend when writing SPA applications. What gives? It’s all a matter of tradeoffs: and as it turns out, the implicit grant is the best approach you can pursue for applications that consume a Web API via JavaScript from a browser.

(Source : https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-dev-understanding-oauth2-implicit-grant)

Il est donc important de faire toutes les vérifications nécessaires pour assurer la validité de vos demandes et les réponses.

Cette section contient les instructions sur comment configurer Auth0 avec une application monopage (« SPA ») avec laquelle les utilisateurs pourront s'authentifier et faire des requêtes à l'API GraphQL. Cette configuration est constituée de trois étapes : inscrire la SPA, donner accès à l'API et régler quelques URLs de redirection.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur Auth0 pour pouvoir le configurer.

  • Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.

Étape 1 : Inscrivez une nouvelle application Web

  1. Cliquez sur Create Application dans la section Applications du portail Auth0.

  2. Renseignez le formulaire :

    • Name : Votre nom SPA

    • Type : Single Page Web Applications

  3. Cliquez sur Create en bas de la page.

Vous devriez maintenant voir la page de votre application inscrite.

Étape 2 : Ajoutez des URLs de redirection

  1. Dans l'onglet Settings, défilez vers le bas à la section Allowed Callback URLs et ajoutez l'URL de rappel de connexion (p.ex. : https://localhost/login/callback).

  2. Si vous supportez la déconnexion de Auth0, défilez vers le bas à la section Allowed Logout URLs et ajoutez votre URL de redirection post-déconnexion (p.ex. : https://localhost/logout/return).

Vérifiez l'inscription

  • Vous devez avoir un ID client, qui se trouve dans l'onglet Settings de la page de l'application.

  • Vous devez avoir votre nom de domaine Auth0, qui se trouve à côté de votre photo de profil en haut à droite du portail.

Votre application devrait maintenant être liée à l'infrastructure et les utilisateurs pourront se connecter depuis l'application. Si vous avez satisfait aux prérequis, votre application recevra un jeton d'accès qu'elle pourra ensuite envoyer à l'API GraphQL de WorkflowGen pour effectuer des demandes autorisées en tant que jeton du porteur via l'en-tête d'autorisation.

Informations supplémentaires sur l'intégration Auth0

Support des services SOAP

WorkflowGen supporte seulement les requêtes à l'API SOAP en utilisant les méthodes d'authentification classiques. Si vous devez toujours utiliser cette API, vous devez effectuer quelques étapes additionnelles pour la configurer correctement. Pour ce faire :

  1. Créez un nouvel annuaire WorkflowGen séparé pour les utilisateurs de l'API SOAP.

  2. Approvisionnez-le avec des utilisateurs et des groupes au besoin.

  3. Dans Gestionnaire IIS, cochez la méthode d'authentification De base pour l'application \ws\wfgen.

  4. Dans le fichier web.config (situé dans \Inetpub\wwwroot\wfgen), ajoutez le suivant sous <location path="ws" inheritInChildApplications="false"> :

    <system.webServer>
        <modules>
            <remove name="ApplicationSecurityAuthenticationModule" />
        </modules>
    </system.webServer>

Approvisionnement des utilisateurs et des groupes

Il n'y a aucun moyen d'approvisionner vos utilisateurs et vos groupes depuis les fournisseurs d'identité que vous utilisez derrière Auth0 avec WorkflowGen. Vous devez plutôt les synchroniser avec une des méthodes de synchronisation des annuaires supportées.

Dernière mise à jour