Intégration Okta

Aperçu

Cette section fournit des instructions sur :

Elle fournit également des informations supplémentaires sur le support des services SOAP API de WorkflowGen et le support des applications de type service Web.

Dans les instructions, remplacez <workflowgen url> par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen ou www.macompagnie.com/wfgen.

Authentification Okta

Cette section fournit les instructions sur comment configurer l'authentification déléguée WorkflowGen avec Okta. À la fin de la section, vous aurez une instance de WorkflowGen en fonctionnement qui utilise Okta pour authentifier vos utilisateurs.

Si vous n'avez pas besoin de l'API GraphQL, vous n'aurez pas besoin de créer un serveur d'autorisation. Voir la section Configurer l'authentification sans l'API GraphQL pour obtenir des instructions.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur. Vous devez être un administrateur WorkflowGen.

  • Assurez-vous d'avoir un accès administrateur Okta pour pouvoir le configurer correctement.

  • Assurez-vous d'avoir approvisionné un utilisateur Okta existant avec lequel vous pourrez vous authentifier à WorkflowGen et que cet utilisateur a les permissions d'accès d'administrateur. Ceci est important car une fois que vous aurez activé la délégation, vous devrez toujours pouvoir gérer l'application. (L'utilisateur Okta est en fait un utilisateur d'un fournisseur d'identité qui est lié à Okta, comme GitHub ou Google. Vous devez avoir approvisionné au moins un des utilisateurs.)

  • Le mode de chiffrement AES et sa clé sont requis pour que l'authentification fonctionne.

  • Le nom d'utilisateur de l'utilisateur WorkflowGen doit correspondre au nom d'utilisateur de son utilisateur Okta afin d'identifier et d'authentifier l'utilisateur correct d'Okta.

  • Pour tester la configuration après avoir suivi les étapes suivantes, vous pouvez ajouter un utilisateur Okta dans la section Users du portail Okta.

  • Lorsque vous importez des utilisateurs dans WorkflowGen depuis la base de données d'Okta, assurez-vous de définir le nom d'utilisateur comme son adresse email (p.ex. jean.tremblay@exemple.com).

Configuration de l'authentification avec l'API GraphQL

La configuration d'Okta se fait dans plusieurs étapes. D'abord, vous devez configurer un serveur d'autorisation dans l'interface Web; ensuite, vous devez y ajouter une application Web régulière.

La configuration de l'API WorkflowGen GraphQL (serveur d'autorisation) est requise si vous souhaitez utiliser l'application mobile WorkflowGen Plus v2.

Étape 1 : Créez un serveur d'authentification

Un serveur d'autorisation Okta est un élément logique qui définit les limites de sécurité de votre système lorsqu'une application tente d'accéder à vos ressources depuis une API.

An authorization server defines your security boundary, and is used to mint access and identity tokens for use with OIDC clients and OAuth 2.0 service accounts when accessing your resources via API. Within each authorization server you can define your own OAuth scopes, claims, and access policies. Source : Encadré d'informations dans le panneau d'administration d'Okta

Pour plus d'informations sur les serveurs d'autorisation, voir le site Web des développeurs d'Okta (disponible en Anglais seulement).

Pour créer un serveur d'autorisation avec une utilisation classique :

  1. Accédez au portail des développeurs Okta et connectez-vous à votre compte.

  2. Dans le panneau de gauche, choisissez API dans le menu Sécurité.

  3. Entrez les informations suivantes :

    • Name : WorkflowGen GraphQL API

    • Audience : <workflowgen url>/graphql

    • Description : WorkflowGen GraphQL API (ou la description que vous voulez)

  4. Cliquez sur le bouton Save.

Pour créer un serveur d'autorisation avec support multi-audiences :

  1. Accédez au portail des développeurs Okta et connectez-vous à votre compte.

  2. Dans le panneau de gauche, choisissez API dans le menu Sécurité.

  3. Entrez les informations suivantes :

    • Name : My APIs

    • Audience : my-apis

    • Description : Authorization server for all my APIs (ou la description que vous voulez)

  4. Cliquez sur le bouton Save.

Étape 2 : Ajoutez la portée

Pour une utilisation classique :

  1. Cliquez sur le bouton Add Scope.

  2. Entrez les informations suivantes :

    • Name : default

    • Display phrase : default

    • Description : Use the default scope if no other scope is specified

    • Default scope : Cochez Set as a default scope

  3. Cliquez sur le bouton Create.

Pour le support multi-audiences :

  1. Cliquez sur le bouton Add scopes.

  2. Entrez les informations suivantes :

    • Name : wfgen-graphql-full-access

    • Display phrase : wfgen-graphql-full-access

    • Description : Full access to the WorkflowGen GraphQL API.

  3. Cliquez sur le bouton Create.

Vous avez maintenant correctement configuré votre serveur d'autorisation Okta pour l'API WorkflowGen GraphQL.

Étape 3 : Ajoutez une revendication

  1. Naviguez à la section Claims, puis cliquez sur le bouton Add Claim.

  2. Entrez les informations suivantes :

    • Name : com.workflowgen.api.username

    • Include in token type : Sélectionnez Access Token

    • Value Type : Sélectionnez Expression

    • Mapping : Entrez le code Okta suivant :

      appuser.username != null ? appuser.username : appuser.email != null ? appuser.email : appuser.nickame != null ? appuser.nickname : null
    • Include in : Sélectionnez Any scope

  3. Cliquez sur le bouton Create.

  4. Cliquez sur le bouton Create.

Étape 4 : Ajouter la stratégie d'accès au serveur

Vous devez maintenant configurer la stratégie d'accès au serveur d'autorisation.

  1. Accédez à l'onglet Access Policies du serveur d'autorisation WorkflowGen GraphQL API.

  2. Entrez les informations suivantes :

    • Name : All Clients Policy

    • Description : Enables all clients to have access to this application server.

  3. Cliquez sur le bouton Create Policy.

  4. Cliquez sur le bouton Add Rule.

  5. Entrez les informations suivantes :

    • Rule Name : All Grant Types; Any Scopes; Any User assigned

    • Laissez les autres paramétrages réglés sur leurs valeurs par défaut.

  6. Cliquez sur le bouton Create Rule.

Vous avez maintenant configuré avec succès la stratégie d'accès au serveur d'autorisation. Il ne reste plus qu'une étape pour que le flux d'informations d'identification du client fonctionne, ce qui vous permettra d'utiliser l'authentification de machine à machine avec Okta et l'API WorkflowGen GraphQL.

Étape 5 : Créez l'application Web WorkflowGen

  1. Accédez au portail des développeurs Okta.

  2. Dans l'élément Applications du menu Applications, cliquez sur le bouton Create App Integration.

  3. Sélectionnez les options suivantes dans Create a new app integration, puis cliquez sur Next :

    • Sign-in method : OIDC - OpenID Connect

    • Application type : Web Application

  4. Entrez les informations suivantes :

    • App integration name : WorkflowGen

    • Grant type : Cochez Authorization Code

    • Sign-in redirect URIs : <workflowgen url>/auth/callback

    • Sign-out redirect URIs : <workflowgen url>/auth/logout/return

    • Base URIs : <workflowgen url> sans aucun chemin, par example, https://localhost, si <workflowgen url> est https://localhost/wfgen

    • Controlled access : Cochez Allow everyone in your organization to access

  5. Cliquez sur le bouton Save.

  6. Dans l'onglet General dans la page de votre application Web WorkflowGen, cliquez sur le bouton Edit dans la section General Settings.

  7. Entrez les informations suivantes :

    • Initiate login URI : <workflowgen url>/auth/callback

  8. Cliquez sur Save.

Vous avez maintenant configuré Okta pour votre instance de WorkflowGen.

Vérifiez l'inscription

Vous devriez maintenant avoir toutes les informations dont vous aurez besoin pour configurer WorkflowGen pour déléguer l'authentification à Okta. Voici un résumé :

Configuration de WorkflowGen

Maintenant, vous devez configurer WorkflowGen pour déléguer son authentification à Okta.

Étape 1 : Ajoutez les valeurs Okta au web.config de WorkflowGen

Ouvrez le fichier web.config de WorkflowGen et ajouter/modifier les propriétés suivantes :

Utilisation classique :

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <appSettings>
        <!-- Okta auth -->
        <add key="ApplicationSecurityAuthProvider" value="okta"/>
        <add key="ApplicationSecurityAuthClientId" value="<CLIENT ID>" />
        <add key="ApplicationSecurityAuthClientSecret" value="<CLIENT SECRET>" />
        <add key="ApplicationSecurityAuthMetadataUrl" value="<METADATA URL>" />
        <add key="ApplicationSecurityAuthUsernameClaim" value="com.workflowgen.api.username" />
        <add key="ApplicationSecurityAuthAppIdClaim" value="sub" />
        <add key="ApplicationSecurityAuthClockTolerance" value="60" />
        <add key="ApplicationSecurityAuthSessionRefreshEnableIFrame" value="Y"/>
    </appSettings>
</configuration>

Avec support multi-audiences :

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <appSettings>
        <!-- Okta auth -->
        <add key="ApplicationSecurityAuthProvider" value="okta"/>
        <add key="ApplicationSecurityAuthClientId" value="<CLIENT ID>" />
        <add key="ApplicationSecurityAuthClientSecret" value="<CLIENT SECRET>" />
        <add key="ApplicationSecurityAuthMetadataUrl" value="<METADATA URL>" />
        <add key="ApplicationSecurityAuthUsernameClaim" value="com.workflowgen.api.username" />
        <add key="ApplicationSecurityAuthAppIdClaim" value="sub" />
        <add key="ApplicationSecurityAuthClockTolerance" value="60" />
        <add key="ApplicationSecurityAuthSessionRefreshEnableIFrame" value="Y"/>
        <add key="ApplicationSecurityAuthAudience" value="my-apis"/>
        <add key="ApplicationSecurityAuthAdditionalScopes" value="wfgen-graphql-full-access"/>
        <add key="ApplicationSecurityAuthGraphQLScope" value="wfgen-graphql-full-access"/>
    </appSettings>
</configuration>
  • Remplacez <CLIENT ID> par l'ID client de l'application Web WorkflowGen d'Okta.

  • Remplacez <CLIENT_SECRET> par le secret client de l'application Web WorkflowGen d'Okta.

  • Remplacez <METADATA_URL> par la propriété Metadata URI qui se trouve dans la page des paramètres WorkflowGen GraphQL API. Ensuite, remplacez la dernière partie, /.well-known/oauth-authorization-server, par /.well-known/openid-configuration (p.ex. https://{YOUR_OKTA_DOMAIN}/oauth2/{AUTH_SERVER_ID}/.well-known/openid-configuration).

Vous avez probablement remarqué que le paramètre avec la clé ApplicationSecurityAuthUsernameClaim est réglé sur la valeur entrée précédemment dans une règle. Par conséquent, vous pouvez utiliser n'importe quelle valeur ici à condition que vous modifiiez également la règle.

Pour des informations sur les options de configuration disponibles à utiliser avec votre instance, consultez l'annexe Paramètres de configuration Web et d'application.

WorkflowGen est maintenant lié à Okta et réciproquement. Il ne reste plus qu'à configurer quelques options supplémentaires afin de terminer le « câblage interne » de WorkflowGen afin qu'il puisse déléguer son authentification.

Étape 2 : Ajoutez des valeurs de sécurité pour la génération de session

Pour générer un jeton de session, vous devez ajouter quelques configurations au fichier web.config.

  1. Ouvrez le fichier web.config de WorkflowGen et ajouter/modifier la propriété suivante sous <appSettings> :

    <?xml version="1.0" encoding="UTF-8"?>
    <configuration>
        <appSettings>
            <!-- Auth -->
            <add key="ApplicationSecurityAuthSessionTokenSigningSecret" value="<SECRET>" />
        </appSettings>
    </configuration>
  2. Remplacez <SECRET> par une valeur qui ne peut pas être devinée, comme un UUID.

Le secret sera seulement accessible dans votre instance de WorkflowGen, donc lors de la génération du jeton de session, WorkflowGen le signera avec ce secret afin de vérifier la validité de tous les jetons qui seront envoyés.

Étape 3 : Activez la délégation d'authentification

Vous devez maintenant activer la délégation en remplaçant le système d'authentification dans IIS et faire pointer les modules de WorkflowGen au module d'authentification correct.

Configurez IIS

  1. Dans Gestionnaire IIS, cliquez sur l'application WorkflowGen dans l'arborescence.

  2. Cliquez sur le bouton Authentification.

  3. Activez Authentification anonyme et désactivez toutes les autres authentifications.

  4. Répétez ces étapes pour toutes les sous-applications.

Ajoutez des propriétés aux fichiers web.config de certains modules

Certains modules doivent faire vérifier leur authentification par le module d'authentification spécial de WorkflowGen Advantys.Security.JWTAuthenticationModule, tandis que certains autres modules ne le doivent pas parce qu'ils sont soit publics ou ne font pas partie du système d'authentification global.

  1. Ouvrez le fichier web.config de WorkflowGen et ajoutez/modifiez la propriété suivante :

    <?xml version="1.0" encoding="UTF-8"?>
    <configuration>
     <system.webServer>
         <modules>
             <add name="ApplicationSecurityAuthenticationModule" type="Advantys.Security.Http.JWTAuthenticationModule" />
         </modules>
     </system.webServer>
    </configuration>
  2. Dans le fichier web.config du module auth, ajoutez/modifiez la propriété suivante :

    <?xml version="1.0" encoding="UTF-8"?>
    <configuration>
     <system.webServer>
         <modules>
             <remove name="ApplicationSecurityAuthenticationModule"/>
         </modules>
     </system.webServer>
    </configuration>

    Cette ligne enlève le module d'authentification Node.js du système d'authentification global, car cette application Node.js encapsule les mécanismes d'authentification de OpenID connect.

  3. Répétez les deux étapes précédentes pour les modules hooks et scim.

  4. Copiez les assemblys et bibliothèques de dépendances .NET suivants de \wfgen\bin dans les dossiers \bin de tous les formulaires Web personnalisés (\wfgen\wfapps\webforms\<custom webform>\bin) :

    • Advantys.My.dll

    • Advantys.Security.dll

    • Newtonsoft.Json.dll

    • jose-jwt.dll

Vous devriez maintenant avoir une instance de WorkflowGen en fonctionnement avec l'authentification déléguée à Okta via le protocole OpenID Connect. Assurez-vous d'avoir approvisionné vos utilisateurs à WorkflowGen afin qu'ils puissent accéder à WorkflowGen.

Configurer l'authentification sans l'API GraphQL

Si, pour une raison quelconque, vous ne pouvez pas ajouter de serveur d'autorisation dans votre compte Okta et que vous n'avez pas besoin de l'authentification API GraphQL configurée avec le fournisseur, vous pouvez éviter de créer le serveur et configurer WorkflowGen avec le serveur d'autorisation Okta par défaut.

Étape 1 : Créez l'application Web WorkflowGen

  1. Accédez au portail des développeurs Okta.

  2. Dans l'élément Applications sous le menu Applications, cliquez sur le bouton Create App Integration.

  3. Sélectionnez les options suivantes dans Create a new app integration, puis cliquez sur Next :

    • Sign-in method : OIDC - OpenID Connect

    • Application type : Web Application

  4. Entrez les informations suivantes :

    • App integration name : WorkflowGen

    • Grant type : Check Authorization Code

    • Sign-in redirect URIs : <workflowgen url>/auth/callback

    • Sign-out redirect URIs : <workflowgen url>/auth/logout/return

    • Base URIs : <workflowgen url> without any path (just the base URL); for example, https://localhost, if <workflowgen url> is https://localhost/wfgen

    • Controlled access : Check Allow everyone in your organization to access

  5. Cliquez sur le bouton Save.

  6. Dans l'onglet General de la page de votre application Web WorkflowGen, cliquez sur le bouton Edit dans la section General Settings.

  7. Entrez les informations suivantes :

    • Initiate login URI : <workflowgen url>/auth/callback

  8. Cliquez sur Save.

Vous avez maintenant configuré avec succès Okta pour votre instance WorkflowGen.

Étape 2 : Configurez WorkflowGen

Ajoutez ou modifiez les options de configuration suivantes dans le fichier web.config de WorkflowGen :

  • Remplacez la valeur de MetadataUrl par https://<YOUR OKTA DOMAIN>/.well-known/openid-configuration.

  • Remplacez la valeur de UsernameClaim par preferred_username.

  • Remplacez la valeur de AuthAudience par l'ID client de l'application Web WorkflowGen configurée dans Okta.

  • Réglez l'option ApplicationSecurityAuthDecodeAccessToken sur N.

  • Gardez à l'esprit qu'en définissant ApplicationSecurityAuthDecodeAccessToken=N, la date d'expiration du jeton de session généré par WorkflowGen sera basée sur celle du jeton d'ID.

  • Vous ne pourrez pas utiliser le jeton d'accès reçu d'Okta pour interroger l'API GraphQL. Ce jeton d'accès vous donnera accès à l'API Okta et à rien d'autre. Pour interroger l'API GraphQL, vous devrez configurer l'authentification de GraphQL avec une autre méthode, comme l'authentification de base.

Usage classique :

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <appSettings>
        <!-- Okta auth -->
        <add key="ApplicationSecurityAuthProvider" value="okta"/>
        <add key="ApplicationSecurityAuthClientId" value="<CLIENT ID>" />
        <add key="ApplicationSecurityAuthClientSecret" value="<CLIENT SECRET>" />
        <add key="ApplicationSecurityAuthMetadataUrl" value="https://<YOUR OKTA DOMAIN>/.well-known/openid-configuration" />
        <add key="ApplicationSecurityAuthUsernameClaim" value="preferred_username" />
        <add key="ApplicationSecurityAuthAppIdClaim" value="sub" />
        <add key="ApplicationSecurityAuthClockTolerance" value="60" />
        <add key="ApplicationSecurityAuthSessionRefreshEnableIFrame" value="Y"/>
        <add key="ApplicationSecurityAuthAudience" value="<CLIENT ID>"/>
        <add key="ApplicationSecurityAuthDecodeAccessToken" value="N"/>
    </appSettings>
</configuration>

Étape 3 : Ajoutez des valeurs de sécurité pour la génération de session

Pour générer un jeton de session, vous devez ajouter quelques paramètres supplémentaires au fichier web.config.

  1. Ouvrez le fichier web.config de WorkflowGen et ajoutez/modifiez la propriété suivante :

    <?xml version="1.0" encoding="UTF-8"?>
    <configuration>
        <appSettings>
            <!-- Auth -->
            <add key="ApplicationSecurityAuthSessionTokenSigningSecret" value="<SECRET>" />
        </appSettings>
    </configuration>
  2. Remplacez <SECRET> par une valeur difficile à deviner, telle qu'un UUID.

Le secret ne sera accessible qu'à l'intérieur de votre instance de WorkflowGen, donc lors de la génération d'un jeton de session, WorkflowGen le signera avec ce secret afin de vérifier la validité de tous les jetons de session qui lui sont transmis.

Étape 4 : Activez la délégation de l'authentification

Vous devez maintenant activer la délégation en remplaçant le système d'authentification dans IIS et en pointant les modules de WorkflowGen vers le bon module d'authentification.

Configurez IIS

  1. Dans Gestionnaire IIS, cliquez sur l'application WorkflowGen dans l'arborescence.

  2. Cliquez sur le bouton Authentification.

  3. Activez l'Authentification anonyme et désactivez toutes les autres authentifications.

Effectuez également ces étapes pour toutes les sous-applications.

Ajouter des propriétés aux fichiers web.config de certains modules

Certains modules doivent faire vérifier leur authentification par le module d'authentification spécial Advantys.Security.JWTAuthenticationModule de WorkflowGen, mais certains autres modules ne le doivent pas car ils sont publics ou ne font pas partie du système d'authentification global.

  1. Ouvrez le fichier web.config de WorkflowGen et ajoutez/modifiez la propriété suivante :

    <?xml version="1.0" encoding="UTF-8"?>
    <configuration>
     <system.webServer>
         <modules>
             <add name="ApplicationSecurityAuthenticationModule" type="Advantys.Security.Http.JWTAuthenticationModule" />
         </modules>
     </system.webServer>
    </configuration>
  2. Dans le fichier web.config du module auth, ajoutez/modifiez la propriété suivante :

    <?xml version="1.0" encoding="UTF-8"?>
    <configuration>
     <system.webServer>
         <modules>
             <remove name="ApplicationSecurityAuthenticationModule"/>
         </modules>
     </system.webServer>
    </configuration>

    Cette ligne supprime le module d'authentification Node.js du système d'authentification global, car cette application Node.js encapsule les mécanismes d'authentification OpenID Connect.

  3. Répétez les deux étapes ci-dessus pour les modules hooks et scim également.

  4. Copiez les assemblys .NET et les bibliothèques de dépendances suivants de \wfgen\bin dans le dossier \bin de chaque formulaire Web personnalisé (\wfgen\wfapps\webforms<formulaire Web personnalisé>\bin) :

    • Advantys.My.dll

    • Advantys.Security.dll

    • Newtonsoft.Json.dll

    • jose-jwt.dll

Vous devriez maintenant avoir une instance WorkflowGen fonctionnelle avec l'authentification déléguée à Okta via le protocole OpenID Connect. Assurez-vous d'avoir provisionné vos utilisateurs sur WorkflowGen afin qu'ils puissent accéder avec succès à WorkflowGen.

Approvisionnement des utilisateurs dans Okta

Le connecteur d'auto-approvisionnement est un connecteur d'annuaire qui crée et synchronise un utilisateur automatiquement selon ses revendications des jetons de session qui contiennent les revendications du jeton d'ID du fournisseur OpenID Connect. Cette fonctionnalité est uniquement compatible avec l'authentification OpenID Connect.

Prérequis

  • Assurez-vous d'avoir une instance de WorkflowGen en fonctionnement.

  • Assurez-vous de connaître l'adresse IP de l'instance ou son nom complet.

  • Assurez-vous de connaître l'adresse de l'instance.

  • Assurez-vous d'avoir configuré Okta ou une des autres méthodes conformes OIDC (Azure Active Directory, AD FS ou Auth0).

Configuration de WorkflowGen

Cette section vous guidera à travers les configurations de WorkflowGen nécessaires pour créer la fonctionnalité d'auto-approvisionnement avec un annuaire.

Étape 1 : Créez un annuaire d'auto-approvisionnement

Ce répertoire contiendra tous les utilisateurs qui ne sont pas approvisionnés ailleurs. Pour créer un annuaire d'auto-approvisionnement :

  1. Dans la page Annuaires du module d'administration de WorkflowGen, cliquez sur Nouvel annuaire.

  2. Renseignez le formulaire :

    • Nom : AUTO_APPROVISIONNEMENT (ou n'importe quoi)

    • Description : Une bonne description de l'annuaire

    • Connecteur d'annuaire : Approvisionnement automatique

  3. Cliquez sur Enregistrer.

Étape 2 : Configurez les correspondances entre les champs d'utilisateurs et les revendications

Maintenant que vous avez créé un nouvel annuaire avec le connecteur d'auto-approvisionnement, vous devez définir les correspondances entre les revendications et les champs d'utilisateurs de WorkflowGen. Pour ce faire :

  1. Dans la page du nouvel annuaire, cliquez sur Correspondances.

  2. À droite du nom du champ de l'utilisateur WorkflowGen, saisissez le nom de la revendication dans le jeton de session pour lequel vous voulez créer la correspondance.

    Voici un exemple un jeton de session généré par l'application node auth depuis un jeton d'ID Okta connecté avec Google Apps :

     {
         "sub": "some.user@advantys.com",
         "iss": "https://<workflowgen_url>/auth",
         "aud": "https://<workflowgen_url>",
         "exp": 1535627127,
         "https://api.workflowgen.com/username": "some.user@advantys.com",
         "given_name": "Some",
         "family_name": "User",
         "nickname": "some-user",
         "name": "Some User",
         "picture":  "https://lh4.googleusercontent.com/path/to/photo.jpg",
         "gender": "male",
         "locale": "en",
         "updated_at": "1970-01-01T00:00:00Z",
         "email": "some.user@advantys.com",
         "email_verified": true,
         "nonce": "ffdd6d95-31e6-4466-84c4-43f8c0fbaae7",
         "iat": 1535591128
     }

    Note : Les champs Nom d'utilisateur et Nom sont obligatoires.

  3. Cliquez sur Enregistrer.

Vous avez maintenant activé la fonctionnalité d'auto-approvisionnement et les utilisateurs inconnus peuvent être automatiquement approvisionnés et synchronisés avec WorkflowGen sans aucune action externe requise.

Configuration d'Okta pour les applications mobiles

Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.

Cette section contient les instructions sur comment configurer Okta pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur Okta pour pouvoir le configurer.

  • Assurez-vous d'avoir approvisionné un utilisateur Okta existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application après.

  • Assurez-vous d'avoir installé la plus récente version de WorkflowGen Plus sur votre appareil et que l'appareil est supporté.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Okta sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Okta.

Configuration d'Okta

Étape 1 : Créez une application native

  1. Cliquez sur le bouton Add Application dans l'onglet Applications de votre portail des développeurs Okta.

  2. Choisissez l'option Native, puis cliquez sur Next.

  3. Saisissez les informations suivantes :

    • Name : Mon application native (ou le nom de votre application)

    • Login Redirect URIs : Ajoutez vos URIs de redirection personnalisés ici

    Note : Assurez-vous d'avoir coché l'option Authorization Code.

  4. Cliquez sur le bouton Done.

Étape 2 : Ajoutez un URI de redirection de déconnexion

  1. Cliquez sur le bouton Edit dans l'onglet General dans la page de votre application native Okta.

  2. Cliquez sur le bouton Add URI à côté de la propriété Title de Logout redirect URIs.

  3. Saisissez votre URI de redirection de déconnexion personnalisé dans le champ de texte qui s'affiche.

  4. Cliquez sur Save.

Étape 3 : Ajoutez un URL de rappel

Dans l'onglet Settings, défilez vers le bas jusqu'à la section Allowed Callback URLs et ajoutez-y l'URL workflowgenplus://auth.authorize/okta.

Vérifiez l'inscription

Si vous avez configuré l'authentification déléguée à Okta sur votre serveur WorkflowGen, vous devriez avoir une stratégie d'accès sur votre serveur d'autorisation Okta de l'API GraphQL de WorkflowGen qui permettra à tous les utilisateurs configurés d'y accéder; il ne reste rien à faire du côté d'Okta. Voici un résumé des informations dont il vous faut :

  • Un ID client, qui se trouve dans l'onglet Settings dans la page de l'application native.

  • Un nom de domaine Okta, qui se trouve directement à gauche de votre photo de profil en haut à droite de la page.

Toutes ces informations doivent être données aux utilisateurs qui utiliseront l'application mobile; ils devront les copier-coller directement dans l'application.

Configuration d'Okta pour les scripts côté serveur

Dans certains cas, vous voudrez effectuer une tâche spécifique qui peut être automatisée mais qui doit pouvoir accéder à l'API GraphQL de WorkflowGen; ce cas d'usage est souvent sous forme de script côté serveur. Pour ceci, OAuth2 fournit un type d'autorisation appelé Client Credentials qui échange tout simplement un ID client et une clé secrète client pour un jeton d'accès. Il n'y a aucun jeton ID car ceci ne fait pas partie du standard OpenID Connect, et aucun utilisateur n'est impliqué.

Cette section contient les instructions sur comment configurer Okta avec un script côté serveur qui a accès à l'API GraphQL. D'abord, vous devez configurer une nouvelle application Web dans le portail Okta, et ensuite vous devez configurer une nouvelle applications dans WorkflowGen.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur WorkflowGen.

  • Assurez-vous d'avoir l'accès d'administrateur Okta pour pouvoir le configurer.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Okta sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Okta.

Configuration d'Okta

Ajoutez une nouvelle application

  1. Dans la section Applications de votre portail des développeurs Okta, cliquez sur le bouton Add Application.

  2. Sélectionnez le type Service, puis cliquez sur Next.

  3. Saisissez le nom de votre application, puis cliquez sur Done.

Vérifiez l'inscription

Voici un résumé des informations dont il vous faut :

  • Un ID client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  • Une clé secrète client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  • L'identifiant de l'API GraphQL de WorkflowGen, qui se trouve dans sa page des paramètres.

Configuration de WorkflowGen

Comme pour l'approvisionnement des utilisateurs, WorkflowGen doit savoir quelle application accède à l'API GraphQL. Vous devez donc inscrire l'application, qui est constituée de votre script.

Inscrivez une nouvelle application

  1. Dans la page Applications du module d'administration de WorkflowGen, cliquez sur Nouvelle application.

  2. Renseignez le formulaire :

    • Name : Mon application serveur

    • Description : Une description qui indique clairement qui identifie clairement le script

    • Type : Non-interactive Client

    • Impersonate username : Un nom d'utilisateur qui a les permissions requises pour accéder à l'API GraphQL

    • Client ID : L'ID client que vous avez retrouvée plus tôt

    • Active : Cochez cette case à cocher

  3. Cliquez sur Save.

Votre application devrait maintenant paraître dans la liste d'applications.

Vous devriez maintenant mis en place les composants nécessaires à faire des requêtes à l'API GraphQL depuis votre script en passant le jeton d'accès reçu d'Okta via le flux Client Credentials Grant.

Configuration d'Okta pour les applications monopages

Les applications JavaScript s'exécutant dans un navigateur sont souvent difficiles à sécuriser à cause de la nature ouverte du Web. Le stockage sécurisé est non-existant, et tout est en texte clair (pour HTTP version 1.1). Voici une citation (en Anglais) de l'équipe Azure Active Directory qui synthétise l'état de l'authentification avec les applications monopages (« single-page applications ») :

The OAuth2 implicit grant is notorious for being the grant with the longest list of security concerns in the OAuth2 specification. And yet, that is the approach implemented by ADAL JS and the one we recommend when writing SPA applications. What gives? It’s all a matter of tradeoffs: and as it turns out, the implicit grant is the best approach you can pursue for applications that consume a Web API via JavaScript from a browser.

(Source : https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-dev-understanding-oauth2-implicit-grant)

Il est donc important de faire toutes les vérifications nécessaires pour assurer la validité de vos demandes et les réponses.

Cette section contient les instructions sur comment configurer Okta avec une application monopage (« SPA ») avec laquelle les utilisateurs pourront s'authentifier et faire des requêtes à l'API GraphQL. Cette configuration est constituée de trois étapes : inscrire l'application monopage, lui donner accès à l'API et régler quelques URLs de redirection.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur Okta pour pouvoir le configurer.

  • Assurez-vous d'avoir approvisionné un utilisateur Okta existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application après.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Okta sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Okta.

Étape 1 : Inscrivez une nouvelle application monopage

  1. Dans l'onglet Applications de votre portail des développeurs Okta, cliquez sur le bouton Add Application.

  2. Choisissez le type Single-Page App, puis cliquez sur Next.

  3. Saisissez les informations suivantes :

    • Name : Mon SPA, ou le nom de votre application monopage

    • Base URIs : L'URL de base de votre application

    • Login redirect URIs : L'URI de redirection pour votre application monopage

  4. Cliquez sur Done.

Étape 2 : Ajoutez un URI de redirection de déconnexion

  1. Cliquez sur le bouton Edit dans l'onglet General dans la page de votre application native Okta.

  2. Cliquez sur le bouton Add URI à côté de la propriété Title de Logout redirect URIs.

  3. Saisissez votre URI de redirection de déconnexion personnalisé dans le champ de texte qui s'affiche.

  4. Cliquez sur Save.

Vérifiez l'inscription

Vous devez avoir un ID client, qui se trouve dans l'onglet General dans la page de l'application.

Votre application devrait maintenant être liée à l'infrastructure Okta et les utilisateurs pourront se connecter par elle. Si vous avez satisfait aux prérequis, votre application recevra un jeton d'accès qu'elle pourra envoyer à l'API GraphQL de WorkflowGen pour faire des requêtes autorisées en tant que jeton du porteur via l'en-tête Authorization.

Configuration d'Okta pour la CLI WorkflowGen

Mode interactif

Créez une application native

  1. Cliquez sur le bouton Add Application dans l'onglet Applications de votre portail des développeurs Okta.

  2. Choisissez l'option Native, puis cliquez sur Next.

  3. Saisissez les informations suivantes :

    • Name : CLI WorkflowGen

    • Login redirect URIs : Définissez l'URL sur http://127.0.0.1:8888/callback

      ✏️ Note : Le port 8888 est celui défini par défaut, vous pouvez le changer s'il est déjà utilisé sur votre poste.

    • Logout redirect URI : Ne définissez pas d'URL

    • Grant Type allowed : Cochez les cases Authorization Code et Refresh token si elles ne sont pas déjà cochées

  4. Cliquez sur le bouton Done.

Vérifiez l'inscription

Si vous avez configuré l'authentification déléguée à Okta sur votre serveur WorkflowGen, vous devriez avoir une stratégie d'accès sur votre serveur d'autorisation Okta de l'API GraphQL de WorkflowGen qui permettra à tous les utilisateurs configurés d'y accéder; il ne reste rien à faire du côté d'Okta. Voici un résumé des informations dont il vous faut :

  • Un ID client, qui se trouve dans l'onglet Settings dans la page de l'application native.

  • Une URL des métadonnées qui se compose de la valeur de Issuer et de /.well-known/openid-configuration.

    ✏️ Note : La valeur de Issuer se trouve dans les Settings de votre Authorization Servers.

Toutes ces informations doivent être données aux utilisateurs qui utiliseront la CLI WorkflowGen.

Mode non interactif

La configuration du mode non interactif est la même que dans la section Configuration d'Okta pour les scripts côté serveur.

Voici un résumé des informations dont il vous faut :

  • Un ID client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  • Une clé secrète client, qui se trouve dans l'onglet des paramètres de l'application inscrite.

  • Le domaine, qui se trouve dans l'onglet des paramètres de l'application inscrite.

Vous pouvez désormais utiliser la CLI WorkflowGen en mode Client credentials.

Génération d'un lien universel pour WorkflowGen Plus

Depuis la version 1.4.0 de WorkflowGen Plus et la version 7.14.0 de WorkflowGen serveur, vous pouvez générer un lien universel pour simplifier le processus de connexion Okta de vos utilisateurs de l'application mobile WorkflowGen Plus.

URL de base

  • protocol : workflowgenplus://

  • hostname : auth.init

Paramètres

Vous devez régler les paramètres suivants :

  • provider : okta

  • client_id : Utilisez l'ID client que vous avez créé antérieurement dans la configuration (p.ex. : 0o7gdj4hs92yh7).

  • domain : Le nom du domaine Auth0 sans le protocole URL, dont la valeur doit être encodée URL (p.ex. : https://dev-958754.oktapreview.com/oauth2/{AUTH_SERVER_ID}/.well-known/openid-configuration%60).

  • audience : Votre URL WorkflowGen, dont la valeur doit être encodée URL (p.ex. : http://workflow.mycompany.com/wfgen).

Le lien universel devrait suivre cette structure :

workflowgenplus://auth.init?provider=okta&client_id=0o7gdj4hs92yh7&domain=https%3A%2F%2Fdev-958754.oktapreview.com%2Foauth2%2F{AUTH_SERVER_ID}%2F.well-known%2Fopenid-configuration&audience=http%3A%2F%2Fworkflow.mycompany.com%2Fwfgen

Une fois que vous aurez généré le lien universel, donnez-le à vos utilisateurs, qui pourront l'utiliser pour se connecter à WorkflowGen Plus par la méthode préconfigurée.

Informations supplémentaires sur l'intégration Okta

Support des services SOAP API de WorkflowGen

WorkflowGen supporte seulement les requêtes à l'API SOAP en utilisant les méthodes d'authentification classiques. Si vous devez toujours utiliser cette API, vous devez effectuer quelques étapes additionnelles pour la configurer correctement.

  1. Créez un nouvel annuaire WorkflowGen séparé pour les utilisateurs de l'API SOAP.

  2. Approvisionnez-le avec des utilisateurs et des groupes au besoin.

  3. Dans Gestionnaire IIS, cochez la méthode d'authentification De base pour l'application \wfgen\ws.

  4. Dans le fichier web.config (situé dans \Inetpub\wwwroot\wfgen), ajoutez le suivant sous <location path="ws" inheritInChildApplications="false"> :

    <system.webServer>
        <modules>
            <remove name="ApplicationSecurityAuthenticationModule" />
        </modules>
    </system.webServer>

Support des applications de type service Web

Les applications de type service Web supportent uniquement les requêtes utilisant les méthodes d'authentification classiques. Si vous devez toujours utiliser ces API, vous devez effectuer quelques étapes supplémentaires pour les configurer correctement.

  1. Assurez-vous d'avoir un compte local ou de domaine provisionné sur votre serveur WorkflowGen. (Il peut s'agir du compte que vous avez utilisé avant de modifier votre méthode d'authentification pour Okta.)

  2. Dans le Gestionnaire IIS, activez la méthode d'authentification de base ou Windows pour votre application (p.ex. : wfapps/webservices/myWebService).

  3. Dans le fichier web.config (situé dans \Inetpub\wwwroot\wfgen), ajoutez le nouvel emplacement suivant sous le dernier emplacement : <location path=" wfapps/webservices/myWebService" inheritInChildApplications="false"> La structure devrait être la suivante :

    <location path="wfapps/webservices/myWebService" inheritInChildApplications="false">
        <system.webServer>
            <modules>
                <remove name="ApplicationSecurityAuthenticationModule" />
            </modules>
        </system.webServer>
    </location>

Dernière mise à jour