Related pages: 🇬🇧 Federated authentication
1. Authentification fédérée
La page d'aide vous présente des ressources pour configurer l'authentification fédérée afin de pas avoir à gérer explicitement des comptes utilisateurs dans Pwic.wiki. Vous avez besoin d'une configuration HTTP(S) opérationnelle et d'une connexion à Internet avant de continuer. Référez-vous à l'installation et à HTTPS si besoin.
Grâce à la fonctionnalité, les utilisateurs s'identifient grâce à leur courriel qui est supposé être unique dans un contexte professionnel. À noter que le courriel (utilisé en tant que compte de connexion) est une donnée publique dans Pwic.wiki qui ne peut pas être cachée. Il n'est pas prévu de pouvoir utiliser la racine du compte utilisateur comme identifiant. Les utilisateurs peuvent refuser que leur courriel les identifie mais ils doivent quitter.
1.1. Configuration commune
Quel que soit le fournisseur OAuth2, vous devez définir les paramètres suivants avec la commande python3 pwic_admin.py set-env :
base_envest la racine du site web sans le signe/terminal,oauth_domainsest la liste des domaines autorisés pour pouvoir se restreindre aux domaines gérés par l'entreprise,strict_cookiesne doit pas être défini.
1.2. Github
Github est une plateforme sociale de programmation regroupant des millions de développeurs et des éditeurs de logiciels.
D'abord, enregistrez l'application qui est liée à votre nom de domaine :
- Application name :
pwic_wiki - Homepage URL :
https://your.tldorhttp://localhost:8080(you cannot use 127.0.0.1) - Application description :
Pwic.wiki supports your documentation - Authorization callback URL :
https://your.tld/api/oauth
Vous obtenez un client ID qui identifie l'application. Vous devez ensuite générer un identifiant secret que Pwic.wiki utilisera pour vérifier que l'utilisateur s'est bien identifié. Cliquez sur Generate a new client secret.
Maintenant, vous devez sauvegarder les paramètres dans Pwic.wiki :
| Clé | Valeur |
|---|---|
oauth_provider |
github |
oauth_identifier |
Le client ID |
oauth_secret |
Le client secret |
Aperçu de ce que vous devez voir :
1.3. Google
Google est géré par son Cloud Platform. Vous avez besoin d'un compte créé en gmail.com ou de votre société si elle utilise Google Workspace.
Connectez-vous sur GCP et ajoutez un nouveau OAuth 2.0 client ID depuis le menu supérieur :
- Type d'application :
Web application - Nom :
pwic_wiki - Redirection :
https://your.tld/api/oauth
Une zone surgit avec l'identifiant client et la clé secrète.
Maintenant, vous devez sauvegarder les paramètres dans Pwic.wiki :
| Clé | Valeur |
|---|---|
oauth_provider |
google |
oauth_identifier |
Le client ID |
oauth_secret |
Le client secret |
Aperçu de ce que vous devez voir :
1.4. Microsoft
Microsoft est géré par l'Azure platform. Si vous avez un abonnement professionnel à Office 365 ou un compte lié à votre système Windows, vous pouvez déjà vous connecter.
La procédure est certainement la plus compliquée, car les sites web sont compliqués à utiliser, et vous devez allouer les droits dont Pwic.wiki aura besoin.
Connectez vous sur Azure. Puis gérez votre Azure Active Directory. Dans le menu à gauche, vous avez un menu «Applications identifiées».
Vous pouvez ajouter une inscription depuis le menu supérieur :
- Nom :
pwic_wiki - Type de compte : le premier choix correspond à votre organisation courante professionnelle ou personnelle
- Redirection :
Web+https://your.tld/api/oauth
Cliquez sur le service ajouté :
- Le menu «Authentification» indique les redirections:
- Le menu «Certificats et secrets» permet de créer la clé secrète :
- Le menu «API autorisées» active les fonctions de l'interface, notamment
https://graph.microsoft.com/User.ReadBasic.Allque vous devez ajouter:
Maintenant, vous devez sauvegarder les paramètres dans Pwic.wiki :
| Clé | Valeur |
|---|---|
oauth_provider |
microsoft |
oauth_tenant |
Le directory ID |
oauth_identifier |
L'application ID |
oauth_secret |
Le client secret |
1.5. Autres fournisseurs d'identité
Pour les utilisateurs européens et américains, Google et Microsoft sont les champions de l'authentification professionnelle en raison de l'intégration de leurs systèmes de messagerie. Il n'est ainsi volontairement pas prévu de supporter d'autres services que ceux énoncés ci-dessus.
Pour les autres régions du monde, le sujet d'étendre la couverture des services est à l'étude.
Revision #1 was last modified by gitbra
on 2023-12-11 at 00:00:00 — 2002ba7eaf58a6ce