Intégration Auth0
Aperçu
Cette section fournit des instructions sur :
L'authentification Auth0 : Comment configurer l'authentification WorkflowGen avec OpenID Connect et Auth0.
La configuration d'Auth0 pour les applications mobiles : Comment autoriser l'accès aux applications mobiles avec OpenID Connect et Auth0.
La configuration d'Auth0 pour les scripts côté serveur : Comment autoriser WorkflowGen pour accéder aux scripts côté serveur avec OpenID et Auth0.
La configuration d'Auth0 pour la CLI WorkflowGen : Comment configurer Auth0 pour l'autorisation à l'interface de ligne de commande WorkflowGen.
La configuration d'Auth0 pour les applications monopages : Comment autoriser WorkflowGen pour accéder aux applications monopages avec OpenID Connect et Auth0.
Elle fournit également des informations supplémentaires sur le support des services SOAP et l'approvisionnement des utilisateurs et des groupes.
Note : Dans les instructions, remplacez <workflowgen url>
par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen
ou www.macompagnie.com/wfgen
.
Prérequis
Assurez-vous d'avoir une instance de WorkflowGen en fonctionnement sur un serveur.
Assurez-vous d'avoir l'accès d'administrateur à Auth0 pour pouvoir le configurer.
Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen et l'utiliser plus tard.
Assurez-vous d'avoir configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.
Note : Dans les instructions, remplacez <workflowgen url>
par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen
ou www.macompagnie.com/wfgen
.
Authentification Auth0
Prérequis
Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur. Vous devez être un administrateur WorkflowGen.
Assurez-vous d'avoir l'accès d'administrateur à Auth0.
Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen et que cet utilisateur a les permissions d'accès d'administrateur. Ceci est important car une fois que vous aurez activé la délégation, vous devrez toujours pouvoir gérer l'application. L'utilisateur Auth0 est en fait un utilisateur d'un fournisseur d'identité qui est lié à Auth0, comme GitHub ou Google. Vous devez avoir approvisionné au moins un utilisateur.
Notes
Pour tester la configuration après avoir suivi les étapes suivantes, vous pouvez ajouter un utilisateur Auth0 dans la section Users du portail Auth0.
Lorsque vous importez des utilisateurs dans WorkflowGen depuis la base de données d'Auth0, assurez-vous de régler le nom d'utilisateur comme son adresse email (p.ex.
jean.tremblay@exemple.com
).
Configuration d'Auth0
La configuration d'Auth0 se fait dans plusieurs étapes. D'abord, vous devez inscrire l'application Web de WorkflowGen et la lier à votre instance de WorkflowGen; ensuite, vous devez inscrire l'API GraphQL de WorkflowGen pour pouvoir inscrire des applications personnalisées pour y accéder.
Étape 1 : Créez une nouvelle application Web régulière
Naviguez vers la section Applications dans le portail Auth0.
Cliquez sur Create Application et renseignez le formulaire :
Name :
WorkflowGen Web App
Type : Regular Web Application
Cliquez sur Create. Vous devriez maintenant voir la page « Quick Start » de l'application.
Dans l'onglet Settings, défilez vers le bas jusqu'à la section Allowed Callback URLs et y ajouter
https://<workflowgen url>/auth/callback
.
Votre application Web régulière de WorkflowGen est maintenant configurée.
Étape 2 : Inscrivez l'API GraphQL
Vous devez maintenant inscrire le module de l'API GraphQL de WorkflowGen afin que les applications externes à WorkflowGen puissent utiliser l'API avec l'authentification Auth0 en utilisant le protocole OpenID Connect.
Naviguez vers la section APIs dans le portail Auth0.
Cliquez sur Create API et renseignez le formulaire :
Name :
WorkflowGen GraphQL API
Identifier :
https://<workflowgen url>/graphql
Signing algorithm :
RS256
Cliquez sur Create.
L'API GraphQL est maintenant inscrite dans Auth0.
Étape 3 : Ajoutez une règle Auth0
Pour obtenir un bon nom d'utilisateur du jeton d'accès lors de sa réception dans l'API GraphQL, vous devez utilisez une fonctionnalité spéciale d'Auth0 appelée « rule » (règle). Les règles agissent en tant qu'intergiciels (« middleware ») entre le fournisseur cloud lié et Auth0 afin de récupérer les valeurs correctes au besoin.
Naviguez à la section Rules dans le portail Auth0, sélectionnez Auth Pipeline dans le menu de gauche, puis sélectionnez Rules dans le sous-menu.
Cliquez sur Create Rules, puis choisissez le gabarit empty rule.
Remplacez le code par le code suivant :
Cliquez sur Save.
Cette étape assurera que WorkflowGen et l'API GraphQL obtiendront toujours un nom d'utilisateur depuis la même revendication au lieu de devoir faire plusieurs instructions conditionnelles. Cependant, ceci ne s'applique pas à l'authentification de machine à machine car il n'y aucun utilisateur humain impliqué.
Si vous utilisez une revendication de la correspondance Auth0 autre que celle spécifiée dans la fonction ci-dessus (p.ex. user.username
, user.email
, user.nickname
), il suffit tout simplement de modifier cette règle ou ajouter la vôtre. Assurez-vous d'alimenter https://api.workflowgen.com/username
avec la valeur, ou de configurer l'option ApplicationSecurityAuthUsernameClaim
dans votre web.config
avec la bonne revendication à prendre. Notez que cette option est utilisée dans l'application d'authentification ainsi que dans l'API GraphQL.
Configuration de WorkflowGen
Maintenant, vous devez configurez WorkflowGen pour déléguer son authentification à Auth0.
Étape 1 : Ajoutez les valeurs d'Auth0 au web.config de WorkflowGen
Ouvrez le fichier
web.config
de WorkflowGen et ajoutez-y les propriétés suivantes sous<appSettings>
:Remplacez
<CLIENT_ID>
par l'ID client de l'application Web régulière de WorkflowGen dans Auth0.Remplacez
<CLIENT SECRET>
par la clé secrète client de l'application Web régulière de WorkflowGen dans Auth0.Remplacez
<METADATA_URL>
par l'URL que vous avez construit antérieurement depuis votre nom de domaine dans Auth0. LaMETADATA URL
esthttps://[VOTRE_DOMAINE_AUTH0].auth0.com/.well-known/openid-configuration
.
Notez que la clé ApplicationSecurityAuthUsernameClaim
est réglée à la valeur saisie dans la règle antérieurement, donc vous pouvez utiliser n'importe quelle valeur ici à condition que vous modifiez aussi la règle.
Tableau des options web.config
WorkflowGen est maintenant lié à Auth0 et réciproquement. La dernière étape est de configurer quelques options pour finaliser le « câblage interne ».
Étape 2 : Ajoutez des valeurs de sécurité pour la génération de session
Pour générer un jeton de session, vous devez ajouter quelques configurations au fichier web.config
.
Ouvrez le fichier
web.config
de WorkflowGen et ajoutez la propriété suivante sous<appSettings>
:Remplacez
<SECRET>
par une valeur qui ne peut pas être devinée, comme un UUID.
Le secret sera seulement accessible dans votre instance de WorkflowGen, donc lors de la génération du jeton de session, WorkflowGen le signera avec ce secret afin de vérifier la validité de tous les jetons qui seront envoyés.
Étape 3 : Activez la délégation d'authentification
Vous devez maintenant activer la délégation en remplaçant le système d'authentification dans IIS et faire pointer les modules de WorkflowGen au module d'authentification correct.
Configurez IIS
Dans IIS Manager, cliquez sur l'application WorkflowGen dans l'arborescence.
Cliquez sur le bouton Authentication.
Activez Anonymous Authentication et désactivez toutes les autres authentifications.
Répétez ces étapes pour toutes les sous-applications.
Ajoutez des propriétés aux fichiers web.config de certains modules
Certains modules doivent faire vérifier leur authentification par le module d'authentification spécial de WorkflowGen Advantys.Security.JWTAuthenticationModule
, tandis que certains autres modules ne le doivent pas parce qu'ils sont soit publics ou ne font pas partie du système d'authentification global.
Ajoutez la propriété suivante au fichier
web.config
de WorkflowGen :Ajoutez la propriété suivante au fichier
web.config
du moduleauth
:Cette ligne enlève le module d'authentification Node.js du système d'authentification global, car cette application Node.js encapsule les mécanismes d'authentification de OpenID connect.
Répétez les deux étapes ci-haut pour les modules
hooks
etscim
.Copiez les assemblies et bibliothèques de dépendances .NET suivants de
\wfgen\bin
dans les dossiers\bin
de tous les formulaires Web personnalisés (\wfgen\wfapps\webforms\<custom webform>\bin
) :Advantys.My.dll
Advantys.Security.dll
Newtonsoft.Json.dll
jose-jwt.dll
Vous devriez maintenant avoir une instance de WorkflowGen en fonctionnement avec l'authentification déléguée à Auth0 via le protocole OpenID Connect. Assurez-vous d'avoir approvisionné vos utilisateurs à WorkflowGen afin qu'ils puissent accéder à WorkflowGen.
Configuration Auth0 pour les applications mobiles
Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.
Cette section contient les instructions sur comment configurer Auth0 pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.
Prérequis
Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.
Assurez-vous d'avoir l'accès d'administrateur Auth0 pour pouvoir le configurer.
Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application après.
Assurez-vous d'avoir installé la plus récente version de WorkflowGen Plus sur votre appareil et que l'appareil est supporté.
Assurez-vous d'avoir bien configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.
Configuration d'Auth0
Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans Auth0. Ensuite, vous devez donner à l'application les permissions requises pour accéder à l'API GraphQL de WorkflowGen.
Étape 1: Inscrivez une nouvelle application native
Dans la section Applications du portail Auth0, cliquez sur Create Application.
Renseignez le formulaire :
Name :
WorkflowGen Plus
Type :
Native
Cliquez sur Create en bas de la page.
Vous avez maintenant inscrit une nouvelle application native dans Auth0.
Étape 2 : Ajoutez des URLs de rappel
Dans l'onglet Settings, défilez vers le bas jusqu'à la section Allowed Callback URLs et ajoutez-y l'URL
workflowgenplus://auth.authenticate
.Défilez vers le bas jusqu'à la section Allowed Logout URLs et ajoutez-y l'URL
workflowgenplus://auth.deauthenticate
.
Vérifiez l'inscription
Puisque toutes les applications dans un domaine peuvent automatiquement accéder entre eux, votre application native hérite l'accès à l'API GraphQL. Voici un résumé de toutes les informations dont il vous faut :
Un ID client, qui se trouve dans l'onglet Settings dans la page de l'application native.
Un nom de domaine Auth0, qui se trouve directement à gauche de votre photo de profil en haut à droite de la page.
Toutes ces informations doivent être données aux utilisateurs qui utiliseront l'application mobile; ils devront les copier-coller directement dans l'application.
Configuration d'Auth0 pour les scripts côté serveur
Dans certains cas, vous voudrez effectuer une tâche spécifique qui peut être automatisée mais qui doit pouvoir accéder à l'API GraphQL de WorkflowGen; ce cas d'usage est souvent sous forme de script côté serveur. Pour ceci, OAuth2 fournit un type d'autorisation appelé Client Credentials qui échange tout simplement un ID client et une clé secrète client pour un jeton d'accès. Il n'y a aucun jeton ID car ceci ne fait pas partie du standard OpenID Connect, et aucun utilisateur n'est impliqué.
Cette section contient les instructions sur comment configurer Auth0 avec un script côté serveur qui a accès à l'API GraphQL.
Prérequis
Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.
Assurez-vous d'avoir l'accès d'administrateur WorkflowGen.
Assurez-vous d'avoir l'accès d'administrateur Auth0 pour pouvoir le configurer.
Assurez-vous d'avoir bien configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.
Configuration d'Auth0
Étape 1 : Inscrivez une nouvelle application machine à machine
Dans la section Applications du portail Auth0, cliquez sur Create Applications.
Renseignez le formulaire :
Name :
Votre nom de script
Application Type :
machine-to-machine
Cliquez sur Create.
Vous avez maintenant inscrit votre script dans Auth0.
Étape 2 : Donnez accès à l'API GraphQL
Dans la section APIs du portail Auth0, cliquez sur WorkflowGen GraphQL API.
Dans l'onglet Machine-to-Machine, autorisez l'application que vous venez de créer.
Vous avez maintenant donné accès l'API GraphQL pour votre script.
Vérifiez l'inscription
Voici un résumé des informations dont il vous faut :
Un ID client, qui se trouve dans l'onglet des paramètres de l'application inscrite.
Une clé secrète client, qui se trouve dans l'onglet des paramètres de l'application inscrite.
L'identifiant de l'API GraphQL de WorkflowGen, qui se trouve dans sa page des paramètres.
Vous êtes maintenant prêt à inscrire votre script dans WorkflowGen.
Configuration de WorkflowGen
Comme pour l'approvisionnement des utilisateurs, WorkflowGen doit savoir quelle application accède à l'API GraphQL. Vous devez donc inscrire l'application, qui est constituée de votre script.
Inscrivez une nouvelle application
Dans la page Applications du module d'administration de WorkflowGen, cliquez sur Nouvelle application.
Renseignez le formulaire :
Name :
Mon application serveur
Description : Une description qui indique clairement qui identifie clairement le script
Type :
Non-interactive Client
Impersonate username : Un nom d'utilisateur qui a les permissions requises pour accéder à l'API GraphQL
Client ID : L'ID client que vous avez retrouvée plus tôt
Active : Cochez cette case à cocher
Cliquez sur Save.
Votre application devrait maintenant paraître dans la liste d'applications.
Vous devriez maintenant avoir mis en place les composants nécessaires à faire des requêtes à l'API GraphQL depuis votre script en passant le jeton d'accès reçu d'Auth0 via le flux Client Credentials Grant.
Configuration d'Auth0 pour la CLI WorkflowGen
Mode interactif
Étape 1 : Inscrivez une nouvelle application native
Dans la section Applications du portail Auth0, cliquez sur Create Application.
Renseignez le formulaire :
Name :
CLI WorkflowGen
Type :
Native
Cliquez sur Create en bas de la page.
Vous avez maintenant inscrit une nouvelle application native dans Auth0.
Étape 2 : Ajoutez une URL de rappel
Dans l'onglet Settings, défilez vers le bas jusqu'à la section Allowed Callback URLs et ajoutez-y l'URL http://127.0.0.1:8888/callback
.
Le port 8888
est celui défini par défaut, vous pouvez le changer s'il est déjà utilisé sur votre poste.
Étape 3 : Vérifiez les types d'octrois
Dans Settings > Advanced Settings > Grant Types, assurez vous que les cases Implicit
, Authorization Code
et Refresh Token
sont bien cochées.
Vérifiez l'inscription
Puisque toutes les applications dans un domaine peuvent automatiquement accéder entre eux, votre application native hérite l'accès à l'API GraphQL. Voici un résumé de toutes les informations dont il vous faut :
Un ID client, qui se trouve dans l'onglet Settings dans la page de l'application native.
Un nom de domaine Auth0, qui se trouve dans l'onglet Settings dans la page de l'application native.
Toutes ces informations doivent être données aux utilisateurs qui utiliseront la CLI WorkflowGen.
Mode non interactif
La configuration du mode non interactif est la même que dans la section Configuration d'Auth0 pour les scripts côté serveur.
Voici un résumé des informations dont il vous faut :
Un ID client, qui se trouve dans l'onglet des paramètres de l'application inscrite.
Une clé secrète client, qui se trouve dans l'onglet des paramètres de l'application inscrite.
Le domaine, qui se trouve dans l'onglet des paramètres de l'application inscrite.
Vous pouvez désormais utiliser la CLI WorkflowGen en mode Client credentials
.
Configuration d'Auth0 pour les applications monopages
Les applications JavaScript s'exécutant dans un navigateur sont souvent difficiles à sécuriser à cause de la nature ouverte du Web. Le stockage sécurisé est nonexistant, et tout est en texte clair (pour HTTP version 1.1). Voici une citation (en Anglais) de l'équipe Azure Active Directory qui synthétise l'état de l'authentification avec les applications monopages (« single-page applications ») :
The OAuth2 implicit grant is notorious for being the grant with the longest list of security concerns in the OAuth2 specification. And yet, that is the approach implemented by ADAL JS and the one we recommend when writing SPA applications. What gives? It’s all a matter of tradeoffs: and as it turns out, the implicit grant is the best approach you can pursue for applications that consume a Web API via JavaScript from a browser.
Il est donc important de faire toutes les vérifications nécessaires pour assurer la validité de vos demandes et les réponses.
Cette section contient les instructions sur comment configurer Auth0 avec une application monopage (« SPA ») avec laquelle les utilisateurs pourront s'authentifier et faire des requêtes à l'API GraphQL. Cette configuration est constituée de trois étapes : inscrire la SPA, donner accès à l'API et régler quelques URLs de redirection.
Prérequis
Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.
Assurez-vous d'avoir l'accès d'administrateur Auth0 pour pouvoir le configurer.
Assurez-vous d'avoir approvisionné un utilisateur Auth0 existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application.
Assurez-vous d'avoir bien configuré l'authentification déléguée à Auth0 sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Auth0.
Étape 1 : Inscrivez une nouvelle application Web
Cliquez sur Create Application dans la section Applications du portail Auth0.
Renseignez le formulaire :
Name :
Votre nom SPA
Type :
Single Page Web Applications
Cliquez sur Create en bas de la page.
Vous devriez maintenant voir la page de votre application inscrite.
Étape 2 : Ajoutez des URLs de redirection
Dans l'onglet Settings, défilez vers le bas à la section Allowed Callback URLs et ajoutez l'URL de rappel de connexion (p.ex. :
https://localhost/login/callback
).Si vous supportez la déconnexion de Auth0, défilez vers le bas à la section Allowed Logout URLs et ajoutez votre URL de redirection post-déconnexion (p.ex. :
https://localhost/logout/return
).
Vérifiez l'inscription
Vous devez avoir un ID client, qui se trouve dans l'onglet Settings de la page de l'application.
Vous devez avoir votre nom de domaine Auth0, qui se trouve à côté de votre photo de profil en haut à droite du portail.
Votre application devrait maintenant être liée à l'infrastructure et les utilisateurs pourront se connecter depuis l'application. Si vous avez satisfait aux prérequis, votre application recevra un jeton d'accès qu'elle pourra ensuite envoyer à l'API GraphQL de WorkflowGen pour effectuer des demandes autorisées en tant que jeton du porteur via l'en-tête d'autorisation.
Informations supplémentaires sur l'intégration Auth0
Support des services SOAP
WorkflowGen supporte seulement les requêtes à l'API SOAP en utilisant les méthodes d'authentification classiques. Si vous devez toujours utiliser cette API, vous devez effectuer quelques étapes additionnelles pour la configurer correctement. Pour ce faire :
Créez un nouvel annuaire WorkflowGen séparé pour les utilisateurs de l'API SOAP.
Approvisionnez-le avec des utilisateurs et des groupes au besoin.
Dans Gestionnaire IIS, cochez la méthode d'authentification De base pour l'application
\ws\wfgen
.Dans le fichier
web.config
(situé dans\Inetpub\wwwroot\wfgen
), ajoutez le suivant sous<location path="ws" inheritInChildApplications="false">
:
Approvisionnement des utilisateurs et des groupes
Il n'y a aucun moyen d'approvisionner vos utilisateurs et vos groupes depuis les fournisseurs d'identité que vous utilisez derrière Auth0 avec WorkflowGen. Vous devez plutôt les synchroniser avec une des méthodes de synchronisation des annuaires supportées.
Dernière mise à jour