Authentifier les utilisateurs
Chez Stonal, nous utilisons un service dédié pour la gestion des identités.
Nous ne prenons en charge que le protocole OpenID Connect (OIDC) pour l'authentification.
Besoin d'un jeton d'accès API à la place ? Voir Authentification.
Vous fédérez le SSO propre à un client ? Voir Mettre en place la délégation d'identité.
Authentification
Flux de travail
Nous utilisons le flux de type d'autorisation authorization_code pour l'authentification OIDC.
Description
Toutes les API Stonal sont protégées par des mécanismes d'authentification et d'autorisation.
Par défaut, le frontend de notre plateforme récupère l'autorisation de l'utilisateur connecté via une API Gateway interne. L'API Gateway est chargée de vérifier si l'utilisateur courant est connecté via un cookie sécurisé.
Selon que l'utilisateur est connecté ou non, l'API Gateway utilisera les jetons d'accès et de rafraîchissement (jetons JWT) stockés avec le cookie dans un magasin de données privé pour récupérer les autorisations de l'utilisateur connecté et accéder aux API privées de Stonal.
Si l'utilisateur n'est pas connecté, l'API Gateway redirigera l'utilisateur vers notre service SSO pour s'authentifier. Une fois authentifié, notre service SSO redirigera l'utilisateur vers l'API Gateway avec un code d'autorisation qui sera échangé contre un jeton d'accès et un jeton de rafraîchissement associés à l'utilisateur et stockés dans le magasin de données privé avec le cookie.
Attention, les comptes utilisateur doivent être créés avant que les utilisateurs puissent s'authentifier via le SSO.
Rendez-vous sur Gestion des utilisateurs pour plus d'informations.