Configurer OpenID

Ruban

Paramètres > Sécurité > Utilisateurs > Accepter l'authentification OpenID

Paramètres > Sécurité > Utilisateurs > Configurer OpenID

URL OpenID

Saisissez le chemin complet vers l'URL de découverte du serveur OpenID, moins le " /.well-known/openid-configuration " standard (celui-ci sera ajouté automatiquement).

Incluez le protocole (http:// ou https://) et le port s'il est exécuté sur un port non standard (c'est-à-dire pas 80 ou 443).

Vous devriez pouvoir copier l'adresse avec le " /.well-known/openid-configuration » ajouté et l'ouvrir dans un navigateur et voir une réponse textuelle.

Appuyez maintenant sur le bouton Test et cliquez sur « Se connecter avec OpenID » pour ouvrir un navigateur à l'adresse correcte. Si l'URL est incorrecte ou si OpenID renvoie une réponse de configuration mal formée, un message d'erreur s'affiche.

ID client

OpenID doit être configuré avec un client pour permettre à Enterprise Architect d'utiliser ses services. Saisissez l' ID client ici.

Les fournisseurs OpenID vous permettront d'ajouter un nouveau client. Il est recommandé de le nommer « Enterprise Architect » ou « WebEA » ou similaire pour permettre une identification facile.

Après avoir créé un client, le fournisseur OpenID vous fournira l' ID client ou vous permettra d'en spécifier un.

Secret client - (facultatif)

Certains clients OpenID nécessitent un secret client pour sécuriser davantage les requêtes. Si le client nécessite un secret, saisissez-le ici. Il sera enregistré sous forme de valeur chiffrée.

Portée

Saisissez les portées OpenID requises pour renvoyer une réponse avec les informations requises. Une portée de « openid » est obligatoire selon la norme. D'autres portées courantes incluent « profil » ou « e-mail ».

Prétention à correspondre à un utilisateur local

Saisissez la revendication qui sera renvoyée lors de l'interrogation de l'OpenID « user_info » qui sera utilisé pour faire correspondre l'utilisateur OpenID à une connexion utilisateur de modèle existante.

Les « revendications » sont des champs d'informations que le serveur OpenID déclare être vrais à propos de l'utilisateur authentifié. La plupart des serveurs OpenID permettent de personnaliser ce champ afin qu'il puisse être configuré pour renvoyer un champ de revendication spécifiquement destiné à être utilisé avec Enterprise Architect , si vous le souhaitez.

Note : la seule revendication qui est garantie d'être unique pour un utilisateur est « sub ». Il s'agit du « sujet » de la revendication. Pour les nouveaux modèles, ce serait un bon paramètre par défaut dans le champ de revendication.

Pour les modèles existants dans lesquels il existe déjà des utilisateurs qui doivent être associés à OpenID, il est recommandé d'utiliser un champ « nom d'utilisateur » quelconque. Dans cette situation, il serait judicieux d'utiliser le champ standard « prefer_username », « email » (si l'e-mail est utilisé, il est recommandé d'activer la validation par e-mail) ou un « nom d'utilisateur EA » personnalisé.

Si vous utilisez une revendication autre que « sub », il appartient au responsable du serveur OpenID de s'assurer que la revendication est unique et sécurisée, et de garantir que la revendication ne peut pas être modifiée par l'utilisateur.

Prétention à correspondre à des groupes locaux

Cette option est utilisée si le paramètre supplémentaire « Créer ou modifier automatiquement les utilisateurs Windows ou OpenID » est activé. Elle n'est pas utilisée dans les autres cas. Consultez la rubrique d'aide Options d'authentification unique (SSO) .

Saisissez la revendication qui sera renvoyée lors de l'interrogation de l'OpenID « id_token » ou « user_info » qui sera utilisé pour faire correspondre les groupes d'utilisateurs OpenID aux groupes de modèles existants.

Les « revendications » sont des champs d'informations que le serveur OpenID déclare être vrais à propos de l'utilisateur authentifié. La plupart des serveurs OpenID permettent de personnaliser ce champ afin qu'il puisse être configuré pour renvoyer un champ de revendication spécifiquement destiné à être utilisé avec Enterprise Architect , si vous le souhaitez.

La norme OpenID ne spécifie rien concernant les groupes d'utilisateurs. Certains serveurs OpenID ont cette fonctionnalité intégrée, mais elle doit quand même être activée pour que les groupes puissent être renvoyés dans « id_token » ou « user_info ». Les groupes renvoyés peuvent être soit un seul champ JSON, soit un tableau JSON contenant plusieurs noms de groupe.