Authentification

Pour s'authentifier à SEI, vous devez créer un fournisseur et y ajouter des utilisateurs. Auparavant, assurez-vous d'avoir enregistré SEI avec le fournisseur pour obtenir les paramètres requis.

Pour créer un fournisseur :

  1. Allez dans le menu Administration en haut à droite.

  2. Cliquez sur le menu Sécurité.

  3. Cliquez sur Authentification dans la liste.

  4. Cliquez sur l'icône +.

  5. Un nouvel élément s'ajoute dans la liste des fournisseurs et fournit un formulaire vide pour configurer un nouveau fournisseur. Entrez les paramètres requis dans l'onglet Général.

  6. Cliquez sur Enregistrer.

  7. L'onglet Utilisateurs est activé. Cet onglet permet aux utilisateurs de configurer le mappage entre le client Web et le fournisseur nouvellement créé.

    • Cliquez sur l'icône + pour ajouter un utilisateur.

    • Cliquez sur l'icône de la poubelle pour supprimer des utilisateurs de la liste.

    Un utilisateur ne pourra pas se connecter au Web Client en utilisant le fournisseur si :

    • Il ne fait pas parti de la liste;

    • La valeur du mappage n'est pas configurée correctement.

  8. Cliquez sur Enregistrer.

Paramètre de l'onglet Général Description
Activer

Le bouton à bascule définit si le fournisseur OAuth doit être disponible pour les utilisateurs qui se connectent à partir de la page de connexion.

Lorsque cette option est activée, un nouveau bouton est affiché sous Comptes externes sur la page de connexion.

Description

Il s'agit du texte qui sera affiché pour le bouton qui sera affiché pour le fournisseur créé sur la page de connexion.

Par défaut, le texte est défini comme Nouveau fournisseur. Il est recommandé de le remplacer par un libellé significatif pour les utilisateurs lorsqu'ils se rendent sur la page de connexion.

L'ID du client

Entrez l'identifiant public unique fourni par le serveur d'autorisation.

Clé secrète du client

Saisissez la chaîne secrète unique qui doit être connue uniquement par le Client Web et le serveur d'autorisation. La valeur définie est secrète et le texte sera donc masqué après sa définition.

URL de découverte automatique

Ce champ est facultatif. Il permet de remplir automatiquement les autres URLs requis en récupérant les informations à partir des métadonnées disponibles.

Après avoir rempli URL de découverte automatique, cliquez sur le bouton Découvrir afin de remplir les valeurs des champs URL d'autorisation, URL de génération de token et URL des informations utilisateur. Une liste déroulante sera accessible pour Scopes avec les scopes disponibles pour le fournisseur OAuth. Le champ Identifiant de l'utilisateur contiendra également une liste déroulante des demandes disponibles qui peuvent être utilisées.

Cet URL est disponible via /.well-known/openid-configuration.

URL d'autorisation

Ce paramètre sera le premier URL auquel les utilisateurs se rendront pour s'authentifier auprès du fournisseur OAuth. Ce paramètre donne également la permission au fournisseur de donner des informations limitées au Client Web.

Cet URL est disponible via /authorize.

URL de génération de tokens

Ce paramètre va obtenir le token d'accès qui sera utilisé pour obtenir les informations de l'utilisateur.

Cet URL est disponible via /token.

Scope

Ces valeurs vont définir les permissions à donner au Client Web. L'autorisation donnée doit être suffisante pour pouvoir obtenir les informations de l'utilisateur afin d'effectuer le mappage de l'utilisateur.

Typiquement, les scopes nécessaires sont openid, email et offline_access, mais chaque fournisseur peut avoir ses propres scopes.

Par exemple, offline_access est ajouté par défaut, mais s'il n'est pas disponible il doit être enlevé.

URLs de redirection

Les URL définies pour le Client Web et l'extension Excel doivent être enregistrées sur le serveur d'authentification.

Si le serveur d'authentification doit être redirigé vers une autre URL, il faut la modifier dans ce champ.

Pour Excel Add-in, le numéro de port défini devra être celui qui est disponible sur la machine locale où Excel Add-in est installé.

URL des informations utilisateur

Cet paramètre récupère les informations de l'utilisateur qui se connecte. Les informations renvoyées seront utilisées pour se connecter à Web Client.

Cet URL est disponible via /userinfo.

Identifiant de l'utilisateur

Ce paramètre spécifie la demande qui sera utilisée pour récupérer la valeur correspondante dans les informations utilisateur du Client Web.

Par exemple, si l'Identifiant de l'utilisateur est configuré à Courriel, ce paramètre recherchera la valeur du Courriel dans l'URL des informations utilisateur pour la comparer et mapper l'utilisateur du Client Web.

Prompt

Ce paramètre définit la fenêtre d'authentification qui sera affichée lors de la connexion à SEI.

Cliquez sur le champ Prompt et sélectionnez l'option appropriée dans la liste déroulante :

  • login : Affiche un écran qui vous demande de saisir vos informations d'identification. Ceci arrivera à chaque fois que vous cliquerez sur un bouton de compte externe.

  • select_account : Affiche un écran qui vous permet de choisir dans une liste de comptes utilisés dans le passé. Si l'un d'eux est déjà connecté, il ne demandera pas d'informations d'identification.

  • consent : Identique à select_account mais l'écran va aussi vous demander de donner la permission. Ceci arrivera à chaque fois que vous cliquerez sur un bouton de compte externe.

  • none : Si vous êtes déjà connecté avec le fournisseur, il n'affiche pas d'invite. Si aucun compte n'est connecté, il demande des informations d'identification.

Note

Ces quatre options d'invite sont les valeurs par défaut des normes OAuth 2.0. Chaque fournisseur OAuth peut fournir d'autres options en plus de celles par défaut. Dans ce cas, l'administrateur peut simplement saisir la valeur dans le champ Prompt.

Important

L'option Prompt n'est pas une fonction qui contribue à sécuriser l'authentification ; elle indique seulement au navigateur ce qu'il doit faire lors de l'authentification, mais elle peut être contournée par l'utilisateur.

Si l'objectif est de forcer les utilisateurs à toujours ressaisir leurs informations d'identification, il ne suffit pas de fixer la valeur de Prompt à login. Vous devez aussi sélectionner l'option Activer la ré-authentification.

Activer la ré-authentification automatique

Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent toujours à nouveau leurs informations d'identification. Ce paramètre obligera l'utilisateur à se ré-authentifier en fonction du délai qui a été défini dans le champ Délai. (Le délai est exprimé en secondes.)

Par exemple, si le délai est fixé à 0, l'utilisateur devra s'authentifier à chaque fois. S'il est fixé sur 21600, toutes les 6 heures, le prompt obligera l'utilisateur à s'authentifier lorsqu'il cliquera sur le bouton Connexion.

La valeur maximale est de 86400 secondes.

Note

Assurez-vous que le fournisseur OAuth supporte le paramètre max_age. Google ne supporte pas ce paramètre.

Permettre la ré-authentification Sélectionnez cette option pour permettre au navigateur de conserver les paramètres d'authentification.

 

Paramètre de l'onglet Utilisateurs Description
Code d'utilisateur

Indique le nom d'utilisateur du Client Web qui est utilisé pour se connecter.

Nom

Indique le nom associé au code d'utilisateur du Client Web.

Courriel

Indique le courriel associé au code d'utilisateur du Client Web.

Identifiant de l'utilisateur

C'est le seul paramètre que vous pouvez modifier. Il spécifie la valeur qui devrait être renvoyée par le fournisseur OAuth pour l'Identifiant de l'utilisateur saisi dans l'onglet Général.

Par exemple, si la demande spécifiée pour l'Identifiant de l'utilisateur est Courriel, ce champ doit spécifier le courriel de l'utilisateur associé au fournisseur.