Nous voici arrivés au terme de cette série de trois articles dédiés à l'authentification. Pour conclure, nous verrons ici ensemble comment configurer les différents services d'authentification disponibles sur Nudgis.
Sommaire
1/ LOCAL
1A/ SOUSCRIPTION
2B/ COLLECTE D'EMAIL
2/ LTI
3/ CAS
4/ SAML
5/ LDAP
6/ OPENID CONNECT ET AUTHENTIFICATION SOCIALE
Local
L'authentification locale est l'authentification par défaut de Nudgis. Dans le cas où la page de connexion est redirigée vers un service externe, la connexion locale reste disponible à l'adresse https://mon.url.nudgis/login-local/.
Le premier paramètre de la page permet de forcer l'utilisation d'un mot de passe à forte complexité dont voici les contraintes :
- Minimum 12 caractères.
- Au moins trois types de caractères différents sont utilisés parmi les lettres minuscules, les lettres majuscules, les chiffres et les caractères spéciaux.
- Pas de mots de passe couramment utilisés (comme "qwerty").
- Aucune similitude avec l'un des attributs de l'utilisateur (plus de 30% des caractères doivent être différents du nom d'utilisateur, du prénom, du nom de famille et de l'adresse électronique).
Les comptes locaux peuvent être créés manuellement par un administrateur mais il est également possible d'autoriser les utilisateurs à créer leurs comptes de façon autonome par le biais de la souscription ou de la collecte d'email.
Souscription
Activez l'option "Autoriser la création de comptes" pour permettre aux utilisateurs de s'inscrire sur le site. Si vous souhaitez ajouter une étape de validation par un administrateur cochez l'option de validation de compte. Il est possible d'indiquer des domaines d'adresses emails ne nécessitant pas de validation dans le champ suivant. La liste d'emails pour la création de comptes locaux permet d'envoyer un email de notifications aux adresses renseignées lorsqu'un utilisateur crée un compte via le formulaire de souscription.
Collecte d'email
Une autre possibilité existe pour autoriser les utilisateurs à créer un compte de manière autonome, c'est la collecte d'email. Cette fonctionnalité permet de conditionner l'accès à un média à la fourniture d'informations personnelles. Voici ce que l'utilisateur verra lorsqu'il tentera d'accéder au média :
Voyons maintenant comment configurer la collecte d'emails.
Commencez par activer la fonctionnalité en cochant la case "Autoriser la collecte d'emails". Vous pouvez personnaliser le label de l'acceptation des conditions d'utilisations ainsi que le texte d'aide.
Vous pouvez également modifier l'email de validation qui sera envoyé à l'utilisateur et le délai (en heure) d'expiration du lien d'accès contenu dans l'email.
Enfin vous pouvez ajouter des champs supplémentaires à collecter parmi le prénom, le nom, la société, le poste et le pays de l'utilisateur. Ces derniers peuvent être optionnels ou obligatoires.
Voyons maintenant comment appliquer la collecte d'emails à un média. Pour cela, rendez vous dans la page de gestion des permissions du média et cochez la case "Activer la collecte d'emails". Si vous le souhaitez, vous pouvez également imposer l'acceptation de l'utilisation des données personnelles.
Pensez à sauvegarder les changements, et la collecte d'emails est maintenant activée pour ce média.
LTI
La configuration et l'utilisation de LTI est couverte dans un article dédié, que nous vous invitons à consulter pour en apprendre plus sur le sujet.
CAS
Pré-requis : Le serveur Nudgis et le serveur d'authentification CAS doivent pouvoir communiquer sur le port HTTPS/443, le domaine du serveur d'authentification doit être valide du point de vue du serveur Nudgis, et le serveur d'authentification doit être accessible par les utilisateurs (domaine valide et port ouvert).
Pour configurer le service CAS, commencez par l'activer, et choisissez le nom qui sera affiché sur la page d'authentification.
Renseignez l'URL du serveur d'authentification dans le champ suivant et sélectionnez la version.
L'option de vérification du certificat SSL est à désactiver si votre serveur d'authentification CAS utilise un certificat auto-signé.
L'option déconnexion complète permet de vous déconnecter du serveur CAS lorsque vous vous déconnectez de Nudgis.
Si vous souhaitez utiliser le service comme authentification par défaut les utilisateurs seront redirigés vers votre CAS en cliquant sur le bouton "Connexion" (la page d'authentification classique reste accessible avec le suffixe /login-local/).
Enfin, le dernier paramètre permet d'autoriser l'ouverture de la page d'authentification de votre serveur CAS dans des iframes.
SAML
Le service d'authentification suivant est le SAML.
Pré-requis : Dans la nomenclature de SAML, Nudgis est un "Service provider (SP)" et le serveur d'authentification un "Identity provider (IdP)". Le SP et l'IdP doivent être accessibles en HTTPS par les utilisateurs ainsi qu'entre eux. Les métadonnées présentes sur chaque serveur doivent pouvoir être lues par l'autre serveur.
Pour configurer le service, commencez par l'activer. Il est également possible d'activer une option de débogage qui permettra d'afficher le détail des requêtes dans les fichiers journaux.
Vous pouvez ensuite modifier le nom du service d'authentification, qui sera le nom affiché sur la page de connexion.
Si votre IdP nécessite d'accéder aux métadonnées de Nudgis, cochez l'option pour l'autoriser. Pour la configuration côté Nudgis, vous pouvez utiliser un fichier de métadonnées ou un URL. L'utilisation d'un fichier permet d'améliorer les performances, mais nécessite d'être remplacé si il change sur l'IdP.
Les paramètres suivants concernent des cas où plusieurs IdP sont présents dans le fichier de métadonnées ainsi que des paramètres spécifiques à certains fournisseurs.
Viennent ensuite les paramètres d'attributs et de correspondance des champs entre l'IdP et Nudgis :
Enfin, les derniers paramètres permettent de définir le service comme authentification par défaut (qui entraîne une redirection lors de l'accès à la page de connexion), et d'ajuster différentes options de sécurité.
Notez que si le service LDAP est activé simultanément à SAML, LDAP servira à récupérer les attributs de l'utilisateur et SAML à l'authentification.
LDAP
Le prochain service disponible dans Nudgis est le service LDAP.
Pré-requis : Le serveur LDAP doit être accessible par les frontend Nudgis, le domaine doit être valide, et le port ouvert (l'utilisation d'une IP au lieu d'un domaine pour le serveur LDAP est possible). Les ports par défaut de LDAP sont 389 pour LDAP et 636 pour LDAPS.
Ce premier cadre présente un résumé de la configuration du service. Un outil pour tester l'authentification est également disponible derrière le bouton "Tester les paramètres", qui montre aussi les attributs remontés par le serveur LDAP.
Voyons maintenant la configuration du service. Commencez par activer le service puis indiquez l'URL du serveur (Nudgis supporte LDAP et LDAPS). Activez l'initialisation TLS si vous souhaitez chiffrer les requêtes avec le serveur. Vous pouvez également choisir si vous souhaitez vérifier la validité du certificat si vous activez TLS, ou bien fournir un certificat au format CRT si le certificat n'est pas signé par une autorité reconnue.
Le paramètre suivant permet d'activer ou non le SASL.
Le temps d'attente maximal et le nombre d'éléments par page permettent de gérer les problèmes de performances.
Enfin, indiquez un nom d'utilisateur (au format DN) et son mot de passe, qui seront utilisés pour effectuer les requêtes de recherche sur le serveur LDAP.
Viennent ensuite les paramètres relatifs aux attributs, et la correspondance à établir entre les attributs remontés et les champs de l'utilisateur dans Nudgis.
Le dernier paramètre ci-dessus permet d'autoriser les recherches LDAP dans l'API Nudgis. Il est notamment pertinent si vous souhaitez que les utilisateurs puissent rechercher et ajouter des comptes depuis les pages de permissions des chaînes et des médias.
Suite à cela, vous pourrez configurer les paramètres et filtres pour la recherche LDAP. Nous ne les verrons pas en détail car les info-bulles proposent déjà d'amples informations ainsi que des exemples de valeurs. N'hésitez pas à les consulter en cas d'incertitude.
Enfin le dernier bloc de la page permet de configurer la synchronisation quotidienne. Celle-ci s'effectue la nuit et permet d'importer les utilisateurs, et éventuellement leurs groupes, de façon automatique. Si vous le souhaitez, les groupes et les utilisateurs n'existant plus dans l'annuaire LDAP seront supprimés automatiquement.
Vous avez aussi la possibilité de créer des chaînes pour les groupes importés via la synchronisation. Les utilisateurs présents dans les groupes auront les droits pour accéder à la chaîne correspondante.
OpenID Connect et authentification sociale
Les services d'authentification restants sont tous basés sur Oauth2.
Pré-requis : Les serveurs Nudgis et d'authentification doivent être accessibles en HTTPS (port 443). Les serveurs doivent pouvoir communiquer entre eux (domaine valide et port ouvert).
Commençons par voir comment configurer OpenID Connect.
Ici aussi vous aurez la possibilité d'activer ou non le service, de modifier le nom du service qui sera affiché sur la page de connexion, ou de le définir en authentification par défaut pour automatiser la redirection lors de l'accès à la page de connexion.
Fournissez l'URL, la clé et le secret. Par défaut OpenID Connect vérifie la présence d'une clé "preferred_username" mais vous pouvez surcharger cette clé dans le champ "Clé du nom d'utilisateur".
Les champs d'application par défaut sont "openid", "profile" et "email" ; vous pouvez les ignorer en cochant la dernière case de la page et ajouter des champs supplémentaires dans "Champs d'application" (les valeurs doivent être séparées par des virgules).
Et, finalement, les services d'authentification sociale (ce sont les authentifications basées sur des comptes de réseaux sociaux) requièrent chacun une clé (ou un ID) et un secret.
Pour les obtenir nous vous invitons à consulter directement les documentations des services concernés :
- Facebook : https://developers.facebook.com/
- Google : https://developers.google.com/identity/oauth2/web/guides/get-google-api-clientid?hl=fr
- Twitter : https://developer.x.com/en/docs/apps/overview
- Microsoft Azure AD : https://learn.microsoft.com/fr-fr/entra/identity-platform/quickstart-register-app#add-credentials
Les utilisateurs, les groupes et les services d'authentification n'ont maintenant plus de secrets pour vous ! Une fois les services de votre choix configurés, vos utilisateurs pourront facilement se connecter sur Nudgis.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.