Cette section fournit les instructions sur comment configurer l'authentification déléguée WorkflowGen avec Okta. À la fin de la section, vous aurez une instance de WorkflowGen en fonctionnement qui utilise Okta pour authentifier vos utilisateurs.
Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur. Vous devez être un administrateur WorkflowGen.
Assurez-vous d'avoir un accès administrateur Okta pour pouvoir le configurer correctement.
Assurez-vous d'avoir approvisionné un utilisateur Okta existant avec lequel vous pourrez vous authentifier à WorkflowGen et que cet utilisateur a les permissions d'accès d'administrateur. Ceci est important car une fois que vous aurez activé la délégation, vous devrez toujours pouvoir gérer l'application. (L'utilisateur Okta est en fait un utilisateur d'un fournisseur d'identité qui est lié à Okta, comme GitHub ou Google. Vous devez avoir approvisionné au moins un des utilisateurs.)
Le mode de chiffrement AES et sa clé sont requis pour que l'authentification fonctionne.
Le nom d'utilisateur de l'utilisateur WorkflowGen doit correspondre au nom d'utilisateur de son utilisateur Okta afin d'identifier et d'authentifier l'utilisateur correct d'Okta.
Pour tester la configuration après avoir suivi les étapes suivantes, vous pouvez ajouter un utilisateur Okta dans la section Users du portail Okta.
Lorsque vous importez des utilisateurs dans WorkflowGen depuis la base de données d'Okta, assurez-vous de définir le nom d'utilisateur comme son adresse email (p.ex. jean.tremblay@exemple.com).
La configuration d'Okta se fait dans plusieurs étapes. D'abord, vous devez configurer un serveur d'autorisation dans l'interface Web; ensuite, vous devez y ajouter une application Web régulière.
La configuration de l'API WorkflowGen GraphQL (serveur d'autorisation) est requise si vous souhaitez utiliser l'application mobile WorkflowGen Plus v2.
Un serveur d'autorisation Okta est un élément logique qui définit les limites de sécurité de votre système lorsqu'une application tente d'accéder à vos ressources depuis une API.
An authorization server defines your security boundary, and is used to mint access and identity tokens for use with OIDC clients and OAuth 2.0 service accounts when accessing your resources via API. Within each authorization server you can define your own OAuth scopes, claims, and access policies. Source : Encadré d'informations dans le panneau d'administration d'Okta
Accédez au portail des développeurs Okta et connectez-vous à votre compte.
Dans le panneau de gauche, choisissez API dans le menu Sécurité.
Entrez les informations suivantes :
Name : WorkflowGen GraphQL API
Audience : <workflowgen url>/graphql
Description : WorkflowGen GraphQL API (ou la description que vous voulez)
Cliquez sur le bouton Save.
Accédez au portail des développeurs Okta et connectez-vous à votre compte.
Dans le panneau de gauche, choisissez API dans le menu Sécurité.
Entrez les informations suivantes :
Name : My APIs
Audience : my-apis
Description : Authorization server for all my APIs (ou la description que vous voulez)
Cliquez sur le bouton Save.
Cliquez sur le bouton Add Scope.
Entrez les informations suivantes :
Name : default
Display phrase : default
Description : Use the default scope if no other scope is specified
Default scope : Cochez Set as a default scope
Cliquez sur le bouton Create.
Cliquez sur le bouton Add scopes.
Entrez les informations suivantes :
Name : wfgen-graphql-full-access
Display phrase : wfgen-graphql-full-access
Description : Full access to the WorkflowGen GraphQL API.
Cliquez sur le bouton Create.
Vous avez maintenant correctement configuré votre serveur d'autorisation Okta pour l'API WorkflowGen GraphQL.
Naviguez à la section Claims, puis cliquez sur le bouton Add Claim.
Entrez les informations suivantes :
Name : com.workflowgen.api.username
Include in token type : Sélectionnez Access Token
Value Type : Sélectionnez Expression
Mapping : Entrez le code Okta suivant :
Include in : Sélectionnez Any scope
Cliquez sur le bouton Create.
Cliquez sur le bouton Create.
Vous devez maintenant configurer la stratégie d'accès au serveur d'autorisation.
Accédez à l'onglet Access Policies du serveur d'autorisation WorkflowGen GraphQL API.
Entrez les informations suivantes :
Name : All Clients Policy
Description : Enables all clients to have access to this application server.
Cliquez sur le bouton Create Policy.
Cliquez sur le bouton Add Rule.
Entrez les informations suivantes :
Rule Name : All Grant Types; Any Scopes; Any User assigned
Laissez les autres paramétrages réglés sur leurs valeurs par défaut.
Cliquez sur le bouton Create Rule.
Vous avez maintenant configuré avec succès la stratégie d'accès au serveur d'autorisation. Il ne reste plus qu'une étape pour que le flux d'informations d'identification du client fonctionne, ce qui vous permettra d'utiliser l'authentification de machine à machine avec Okta et l'API WorkflowGen GraphQL.
Accédez au portail des développeurs Okta.
Dans l'élément Applications du menu Applications, cliquez sur le bouton Create App Integration.
Sélectionnez les options suivantes dans Create a new app integration, puis cliquez sur Next :
Sign-in method : OIDC - OpenID Connect
Application type : Web Application
Entrez les informations suivantes :
App integration name : WorkflowGen
Grant type : Cochez Authorization Code
Sign-in redirect URIs : <workflowgen url>/auth/callback
Sign-out redirect URIs : <workflowgen url>/auth/logout/return
Base URIs : <workflowgen url> sans aucun chemin, par example, https://localhost, si <workflowgen url> est https://localhost/wfgen
Controlled access : Cochez Allow everyone in your organization to access
Cliquez sur le bouton Save.
Dans l'onglet General dans la page de votre application Web WorkflowGen, cliquez sur le bouton Edit dans la section General Settings.
Entrez les informations suivantes :
Initiate login URI : <workflowgen url>/auth/callback
Cliquez sur Save.
Vous avez maintenant configuré Okta pour votre instance de WorkflowGen.
Vous devriez maintenant avoir toutes les informations dont vous aurez besoin pour configurer WorkflowGen pour déléguer l'authentification à Okta. Voici un résumé :
Maintenant, vous devez configurer WorkflowGen pour déléguer son authentification à Okta.
web.config de WorkflowGenOuvrez le fichier web.config de WorkflowGen et ajouter/modifier les propriétés suivantes :
Utilisation classique :
Avec support multi-audiences :
Remplacez <CLIENT ID> par l'ID client de l'application Web WorkflowGen d'Okta.
Remplacez <CLIENT_SECRET> par le secret client de l'application Web WorkflowGen d'Okta.
Remplacez <METADATA_URL> par la propriété Metadata URI qui se trouve dans la page des paramètres WorkflowGen GraphQL API. Ensuite, remplacez la dernière partie, /.well-known/oauth-authorization-server, par /.well-known/openid-configuration (p.ex. https://{YOUR_OKTA_DOMAIN}/oauth2/{AUTH_SERVER_ID}/.well-known/openid-configuration).
Vous avez probablement remarqué que le paramètre avec la clé ApplicationSecurityAuthUsernameClaim est réglé sur la valeur entrée précédemment dans une règle. Par conséquent, vous pouvez utiliser n'importe quelle valeur ici à condition que vous modifiiez également la règle.
WorkflowGen est maintenant lié à Okta et réciproquement. Il ne reste plus qu'à configurer quelques options supplémentaires afin de terminer le « câblage interne » de WorkflowGen afin qu'il puisse déléguer son authentification.
Pour générer un jeton de session, vous devez ajouter quelques configurations au fichier web.config.
Ouvrez le fichier web.config de WorkflowGen et ajouter/modifier la propriété suivante sous <appSettings> :
Remplacez <SECRET> par une valeur qui ne peut pas être devinée, comme un UUID.
Le secret sera seulement accessible dans votre instance de WorkflowGen, donc lors de la génération du jeton de session, WorkflowGen le signera avec ce secret afin de vérifier la validité de tous les jetons qui seront envoyés.
Vous devez maintenant activer la délégation en remplaçant le système d'authentification dans IIS et faire pointer les modules de WorkflowGen au module d'authentification correct.
Configurez IIS
Dans Gestionnaire IIS, cliquez sur l'application WorkflowGen dans l'arborescence.
Cliquez sur le bouton Authentification.
Activez Authentification anonyme et désactivez toutes les autres authentifications.
Répétez ces étapes pour toutes les sous-applications.
Ajoutez des propriétés aux fichiers web.config de certains modules
Certains modules doivent faire vérifier leur authentification par le module d'authentification spécial de WorkflowGen Advantys.Security.JWTAuthenticationModule, tandis que certains autres modules ne le doivent pas parce qu'ils sont soit publics ou ne font pas partie du système d'authentification global.
Ouvrez le fichier web.config de WorkflowGen et ajoutez/modifiez la propriété suivante :
Dans le fichier web.config du module auth, ajoutez/modifiez la propriété suivante :
Cette ligne enlève le module d'authentification Node.js du système d'authentification global, car cette application Node.js encapsule les mécanismes d'authentification de OpenID connect.
Répétez les deux étapes précédentes pour les modules hooks et scim.
Copiez les assemblys et bibliothèques de dépendances .NET suivants de \wfgen\bin dans les dossiers \bin de tous les formulaires Web personnalisés (\wfgen\wfapps\webforms\<custom webform>\bin) :
Advantys.My.dll
Advantys.Security.dll
Newtonsoft.Json.dll
jose-jwt.dll
Vous devriez maintenant avoir une instance de WorkflowGen en fonctionnement avec l'authentification déléguée à Okta via le protocole OpenID Connect. Assurez-vous d'avoir approvisionné vos utilisateurs à WorkflowGen afin qu'ils puissent accéder à WorkflowGen.
Si, pour une raison quelconque, vous ne pouvez pas ajouter de serveur d'autorisation dans votre compte Okta et que vous n'avez pas besoin de l'authentification API GraphQL configurée avec le fournisseur, vous pouvez éviter de créer le serveur et configurer WorkflowGen avec le serveur d'autorisation Okta par défaut.
Accédez au portail des développeurs Okta.
Dans l'élément Applications sous le menu Applications, cliquez sur le bouton Create App Integration.
Sélectionnez les options suivantes dans Create a new app integration, puis cliquez sur Next :
Sign-in method : OIDC - OpenID Connect
Application type : Web Application
Entrez les informations suivantes :
App integration name : WorkflowGen
Grant type : Check Authorization Code
Sign-in redirect URIs : <workflowgen url>/auth/callback
Sign-out redirect URIs : <workflowgen url>/auth/logout/return
Base URIs : <workflowgen url> without any path (just the base URL); for example, https://localhost, if <workflowgen url> is https://localhost/wfgen
Controlled access : Check Allow everyone in your organization to access
Cliquez sur le bouton Save.
Dans l'onglet General de la page de votre application Web WorkflowGen, cliquez sur le bouton Edit dans la section General Settings.
Entrez les informations suivantes :
Initiate login URI : <workflowgen url>/auth/callback
Cliquez sur Save.
Vous avez maintenant configuré avec succès Okta pour votre instance WorkflowGen.
Ajoutez ou modifiez les options de configuration suivantes dans le fichier web.config de WorkflowGen :
Remplacez la valeur de MetadataUrl par https://<YOUR OKTA DOMAIN>/.well-known/openid-configuration.
Remplacez la valeur de UsernameClaim par preferred_username.
Remplacez la valeur de AuthAudience par l'ID client de l'application Web WorkflowGen configurée dans Okta.
Réglez l'option ApplicationSecurityAuthDecodeAccessToken sur N.
Gardez à l'esprit qu'en définissant ApplicationSecurityAuthDecodeAccessToken=N, la date d'expiration du jeton de session généré par WorkflowGen sera basée sur celle du jeton d'ID.
Vous ne pourrez pas utiliser le jeton d'accès reçu d'Okta pour interroger l'API GraphQL. Ce jeton d'accès vous donnera accès à l'API Okta et à rien d'autre. Pour interroger l'API GraphQL, vous devrez configurer l'authentification de GraphQL avec une autre méthode, comme l'authentification de base.
Pour générer un jeton de session, vous devez ajouter quelques paramètres supplémentaires au fichier web.config.
Ouvrez le fichier web.config de WorkflowGen et ajoutez/modifiez la propriété suivante :
Remplacez <SECRET> par une valeur difficile à deviner, telle qu'un UUID.
Le secret ne sera accessible qu'à l'intérieur de votre instance de WorkflowGen, donc lors de la génération d'un jeton de session, WorkflowGen le signera avec ce secret afin de vérifier la validité de tous les jetons de session qui lui sont transmis.
Vous devez maintenant activer la délégation en remplaçant le système d'authentification dans IIS et en pointant les modules de WorkflowGen vers le bon module d'authentification.
Dans Gestionnaire IIS, cliquez sur l'application WorkflowGen dans l'arborescence.
Cliquez sur le bouton Authentification.
Activez l'Authentification anonyme et désactivez toutes les autres authentifications.
Effectuez également ces étapes pour toutes les sous-applications.
web.config de certains modulesCertains modules doivent faire vérifier leur authentification par le module d'authentification spécial Advantys.Security.JWTAuthenticationModule de WorkflowGen, mais certains autres modules ne le doivent pas car ils sont publics ou ne font pas partie du système d'authentification global.
Ouvrez le fichier web.config de WorkflowGen et ajoutez/modifiez la propriété suivante :
Dans le fichier web.config du module auth, ajoutez/modifiez la propriété suivante :
Cette ligne supprime le module d'authentification Node.js du système d'authentification global, car cette application Node.js encapsule les mécanismes d'authentification OpenID Connect.
Répétez les deux étapes ci-dessus pour les modules hooks et scim également.
Copiez les assemblys .NET et les bibliothèques de dépendances suivants de \wfgen\bin dans le dossier \bin de chaque formulaire Web personnalisé (\wfgen\wfapps\webforms<formulaire Web personnalisé>\bin) :
Advantys.My.dll
Advantys.Security.dll
Newtonsoft.Json.dll
jose-jwt.dll
Vous devriez maintenant avoir une instance WorkflowGen fonctionnelle avec l'authentification déléguée à Okta via le protocole OpenID Connect. Assurez-vous d'avoir provisionné vos utilisateurs sur WorkflowGen afin qu'ils puissent accéder avec succès à WorkflowGen.
Pour plus d'informations sur les serveurs d'autorisation, voir (disponible en Anglais seulement).
Cliquez sur Add Authorization Server dans l'onglet Authorization Servers.
Cliquez sur Add Authorization Server dans l'onglet Authorization Servers.
Accédez à l'onglet Scopes du serveur d'autorisation de l'API WorkflowGen GraphQL.
Accédez à l'onglet Scopes du serveur d'autorisation de l'API WorkflowGen GraphQL.
✏️ Note : Cette étape garantira que WorkflowGen et l'API GraphQL obtiendront toujours un nom d'utilisateur via la même revendication au lieu d'avoir à faire de nombreuses déclarations conditionnelles.
Ajoutez une deuxième revendication avec les mêmes informations, mais cette fois-ci réglez la propriété Include in token type sur Id Token.
Cliquez sur le bouton Add Policy.
Assign to : All clients
Laissez les propriétés restantes réglées sur leurs valeurs par défaut.
Un ID client et un secret client, qui se trouvent dans l'onglet General de l'application Web WorkflowGen d'Okta.
Une audience et un point de terminaison des métadonnées (Metadata URI), qui se trouvent sur la page du serveur d'autorisation WorkflowGen GraphQL API d'Okta.
Pour des informations sur les options de configuration disponibles à utiliser avec votre instance, consultez l'annexe .
Laissez les propriétés restantes définies sur leurs valeurs par défaut.
