Configuration de l'authentification unique dans les applications Connect for Open Banking d' OpenID

Utilisez OpenID Connect for Open Banking pour permettre aux applications de vérifier l'identité de ses utilisateurs en fonction de l'authentification effectuée par IBM® Verify. Les utilisateurs n'ont pas besoin de créer un compte pour l'application. Les utilisateurs sont redirigés vers Verify pour se connecter. Verify vérifie les identités des utilisateurs, envoie les informations via un jeton d'ID et confirme avec la partie utilisatrice que les utilisateurs sont autorisés à accéder à la ressource et à l'utiliser. https://<tenant-host>/oauth2/.well-known/openid-configurationCette application utilise le nouveau fournisseur « OpenID Connect » avec le point de terminaison de découverte.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Ouvrez au moins deux fenêtres de navigateur pour terminer la configuration. L'un pour la Verify console d'administration et l'autre pour la console d'administration de l'application cible.
    • Connectez-vous à la Verify console d'administration.
    • Connectez-vous à la console d'administration de l'application cible avec votre compte administrateur.
  • Vous devez configurer les informations de base de l'instance d'application dans l'onglet Général. Voir la section « Configuration des informations de base de l'application ».

A propos de cette tâche

Lorsque vous ajoutez une application, sélectionnez le modèle d'application « OpenID Connect for Open Banking » afin de configurer une application qui agira en tant que partie de confiance OpenID Connect ou en tant qu'application cliente déléguant l'authentification des utilisateurs à Verify.

Configurez Verify et la partie utilisatrice pour qu'elles se parlent. Pour activer la connexion unique OpenID Connect, vous devez fournir :

  • Verify avec certaines données de la partie utilisatrice.
  • Partie utilisatrice avec certaines données de Verify.

Vous pouvez configurer IBM Verify Access et les applications mobiles en tant que parties utilisatrices OpenID Connect.

Procédure

  1. Accédez à l'onglet « Connexion ».
  2. Fournissez des informations de base sur la partie utilisatrice.
    Tableau 1. Informations sur la partie qui se fie
    Zone Descriptif
    URL de l'application

    Il s'agit de l' URL d'initialisation de l'authentification unique utilisée pour se connecter à la partie de confiance OpenID Connect.

    L'application utilise cette adresse URL pour demander Verify le jeton d'identification contenant les informations de l'utilisateur.

    Lorsque les utilisateurs accèdent à l'application via cette page URL, ils sont redirigés vers Verify pour s'authentifier.

    Vous pouvez obtenir ces informations auprès de la partie utilisatrice lorsque vous configurez un fournisseur d'autorisation ou un fournisseur OpenID Connect sur le site ou l'interface utilisateur de la partie utilisatrice.

    Types d'octroi

    Cela indique le mécanisme que la partie de confiance peut utiliser pour récupérer le jeton d'identification auprès de Verify.

    OpenID Connect for Open Banking prend en charge les types d'octroi suivants :
    • Code d'autorisation
    • Implicite
    • Données d'identification du client
    • Code d'autorisation et implicite (flux hybride)
    • Echange de jetons
    • Jeton bearer JWT
    • Flux d'appareils
    • Autorisation contextuelle

    Vous devez sélectionner au moins un type d'octroi. Consultez la section « Types de subventions » pour obtenir un aperçu comparatif des types de subventions pris en charge et déterminer celui qui convient le mieux à votre demande.

    Types de réponse Les types de réponse indiquent au serveur d'autorisation le flux de traitement d'autorisation souhaité.
    Remarque : lorsque vous modifiez une demande existante pour laquelle aucun type de réponse n'a été configuré, le système sélectionne par défaut tous les types de réponse applicables aux types d'octroi qui ont été activés.
    OpenID Connect prend en charge les types de réponse suivants :
    • none
    • code
    • token
    • id_token
    • code token
    • code id_token
    • token id_token
    • code token id_token

    Si le type de réponse code ou none est sélectionné, le mode de réponse query est activé. Sinon, le mode query de réponse est réinitialisé et désactivé.

    Modes de réponse Le mode de réponse indique comment le serveur d'autorisation renvoie les paramètres de résultat à partir du noeud final d'autorisation.
    OpenID Connect for Open Banking prend en charge les modes de réponse suivants :
    • Requête
    • Fragment
    • Formulaire POST
    • Interroger le JWT
    • Fragment JWT
    • Formulaire POST JWT
    ID de client

    Il s'agit de l'identifiant public unique attribué à l 'application cliente, qui est la partie de confiance « OpenID Connect ». Le serveur d'autorisation utilise ces informations pour identifier la partie utilisatrice et la demande d'autorisation.

    Ces informations sont générées automatiquement une fois que vous avez enregistré l'application OpenID Connect. Vous devez fournir ces informations à la partie utilisatrice lorsque vous configurez Verify en tant que fournisseur OpenID Connect dans la console d'administration de l'application.

    La partie utilisatrice utilise l'ID client chaque fois qu'elle demande un jeton d'accès.

    Client public (pas de secret client)

    Indique que le client n'a pas de secret qui doit être fourni par l'application.

    Générez un secret client uniquement si le type de client est confidentiel. Les clients confidentiels peuvent conserver l'ID et le secret client de manière sécurisée et n'exposent pas leurs données d'identification à des parties non autorisées.

    Un secret client doit être connu uniquement pour l'application client et pour le serveur d'autorisations.
    Remarque : lorsque vous sélectionnez cette option, le champ « Secret client » est masqué.
    Secret client

    Ces données sont utilisées avec l'ID client pour authentifier la partie utilisatrice et pour échanger un code d'autorisation pour un jeton d'ID.

    Ces informations sont générées automatiquement une fois que vous avez enregistré l'application OpenID Connect. Vous devez fournir ces informations à la partie utilisatrice lorsque vous configurez Verify en tant que fournisseur OpenID Connect dans la console d'administration de l'application.

    URI de redirection

    Il s'agit de l'URL de rappel ; l'adresse où Verify envoie sa réponse d'authentification à la partie utilisatrice.

    Les utilisateurs sont redirigés vers cette page URL après avoir été authentifiés et autorisés par Verify.

    Vous devez spécifier au moins un URI.

    Vous pouvez ajouter un maximum de 400 URI.

    Vous pouvez obtenir ces informations de la partie utilisatrice lorsque vous configurez un fournisseur d'autorisation ou fournisseur OpenID Connect sur son site.

    Méthode d'authentification client
    Verify prend en charge les méthodes d'authentification client suivantes :
    • Par défaut
    • Méthode de base pour secret client
    • POST pour secret client
    • Jeton JWT pour clé privée
    • TLS mutuel

    Si vous conservez la valeur par défaut, les méthodes de base et POST pour secret client sont autorisées. Si ce client est un client public, le secret client de base et l'autotest à la mise sous tension ne sont pas autorisés. Si la partie utilisatrice la prend en charge, utilisez la clé privée JWT ou TLS mutuel comme configuration. Pour plus d'informations sur l'authentification client « Mutual TLS », consultez la page OpenID Connecter l'authentification client « Mutual TLS » et le jeton d'accès lié à un certificat.

    Pour plus d'informations sur le JWT avec secret client et le JWT avec clé privée, consultez la section Créer un JWT avec secret client et un JWT avec clé privée.

    Valider le JTI d'assertion client

    Indique si l'élément JTI dans le jeton JWT d'assertion client est validé pour un usage unique. Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

    Algorithme de signature d'assertion client Cette option n'apparaît que lorsque la méthode d'authentification client JWT par clé privée est sélectionnée.
    Attribut d'authentification client TLS Attribut de certificat utilisé pour l'authentification. Cette option s'affiche uniquement lorsque la méthode d'authentification du client TLS est sélectionnée.
    • Nom distinctif du sujet
    • Serveur de noms de domaine du réseau de stockage
    • URI du réseau de stockage
    • Adresse IP du réseau de stockage
    • Adresse électronique du réseau de stockage
    Valeur d'attribut d'authentification client TLS Valeur de l'attribut dans le certificat utilisé pour l'authentification. Cette option s'affiche uniquement lorsque la méthode d'authentification du client TLS est sélectionnée.
    Exiger une vérification PKCE (Proof Key for Code Exchange) La méthode PKCE est utilisée pour limiter les attaques visant à intercepter les codes d'autorisation. Elle requiert l'obtention d'un code pour que le flux d'octroi de code d'autorisation puisse continuer. Cette option est disponible uniquement si le flux d'octroi de code d'autorisation est sélectionné.
    Demande d'autorisation poussée requise (PAR) La PAR permet aux clients de faire passer la charge utile d'une demande d'autorisation au serveur d'autorisation via une demande directe et leur fournit un URI de requête qui est utilisé comme référence aux données lors d'un appel ultérieur au nœud final d'autorisation.
    Autoriser l'échange des jetons d'accès contre une session SSO Échange de jetons d'accès pour la session SSO.
    • Autoriser : les jetons d'accès peuvent être échangés contre une session SSO.
    • Autoriser et révoquer un jeton : les jetons d'accès peuvent être échangés contre une session SSO, mais le jeton est révoqué.
    • Refus : les jetons d'accès ne peuvent pas être utilisés pour une session SSO.
    • Par défaut : les paramètres généraux de l'application OIDC déterminent si les jetons d'accès peuvent être échangés pour une session SSO.
    Si vous éditez une application existante, vous pouvez utiliser les options de secret client suivantes :
    • Sélectionnez Afficher pour afficher le secret du client.
    • Sélectionnez Masquer pour masquer le secret du client.
    • Cliquez sur Copier pour copier l'identifiant client ou la clé secrète dans le presse-papiers.
    • Cliquez Liste ici pour afficher les secrets client mis à jour.
      • Sélectionnez un ou plusieurs secrets client renouvelés dans la liste, puis cliquez sur « Supprimer » pour les supprimer.
    • Sélectionnez Régénérer pour générer un nouveau secret client. Utilisez cette option si vous pensez que le secret client est compromis. Si vous régénérez le secret client, vous devez le mettre à jour dans tous les clients OAuth de l'application.
      • Cochez la case « Conserver le secret actuel » pour ajouter le secret client actuel à la liste des secrets clients renouvelés.
      • Si la case « Conserver le secret actuel » est cochée, sélectionnez la description du secret client et la date d'expiration (selon l'heure locale du navigateur). Si aucune durée d'expiration n'est sélectionnée, la durée de vie du secret renouvelé du locataire définie dans les paramètres de l'application s'appliquera.
      • Les secrets client renouvelés sont hachés et ne peuvent plus être récupérés en clair, mais ils restent utilisables jusqu'à la date d'expiration choisie.
      • Une fois la confirmation effectuée, le secret client est immédiatement renouvelé. Le nouveau secret client s'affiche à l'écran.
  3. Configurez les paramètres JWT.
    Tableau 2. Paramètres JWT
    Zone Descriptif
    URI JWKS URI dans lequel la partie utilisatrice publie ses clés publiques au format JWKS (Web Keys Set) JSON. Cet URI est utilisé pour la vérification de signature ou le chiffrement JWT. Le système peut rejeter un URI JWKS inaccessible ou qui n'a pas répondu. Le système peut également rejeter l'URL JWKS si la taille JWKS est trop grande. Si la partie utilisatrice ne publie pas d'URI JWKS, une clé publique peut être ajoutée dans le système, sous la forme d'un certificat X509. Voir « Gestion des certificats ». Le 'Nom usuel' associé au certificat public correspond à la valeur de l'en-tête d'ID de clé (enfant) de JWT.
    Clés de vérification de signature autorisées

    ID de clé de vérification de signature permettant de vérifier le jeton JWT d'assertion client. Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

    Identification de l'utilisateur via un JWT « bearer » Disponible uniquement pour le type d'autorisation JWT « bearer ». Cette configuration indique au système la façon dont le sujet de support JWT (enfant) est interprété pour identifier l'utilisateur associé à ce jeton bearer JWT. Le sous-titre peut être celui de l'utilisateurID, leUsername ou leExternal ID.
    Source d'identité par défaut pour les JWT de type « bearer » Disponible uniquement pour le type d'octroi JWT « bearer ». Si le JWT ne précise pas de domaine, la valeur par défaut est le domaine de la source d'identité à laquelle appartient l'utilisateur identifié par le sous-jeton. Lorsque cetteJWT bearer user identification option est activée,User ID ce paramètre n'est pas applicable.
  4. Configurez les paramètres de l'objet Request.
    Tableau 3. Récupérer les paramètres de l'objet
    Zone Descriptif
    Paramètres d'objet de demande uniquement Exiger que tous les paramètres de requête soient dans l'objet de demande.
    Algorithme de signature L'algorithme avec lequel Verify s'attend à ce que l'objet de requête soit signé.
    Choisissez l'un des algorithmes de hachage suivants pour vérifier la signature :
    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
    Exiger une demande d'expiration L'objet de requête doit contenir la propriété « expiry'exp' ».
    Validité (s) Durée maximale (en secondes) pendant laquelle l'objet de requête peut être valide. Ce calcul s'effectue en soustrayant la date'exp' limite d'expiration des horodatages « not-before'nbf' » contenus dans l'objet de requête.
    URI de demande URL d'une ressource contenant un objet de requête. Seuls les URI de requête enregistrés ici seront autorisés lors de la demande d'autorisation.
  5. Configurez l'expiration du jeton d'accès et du jeton d'actualisation afin de limiter la durée pendant laquelle l'accès est autorisé en cas de vol de ces jetons.

    Le jeton d'accès est utilisé pour autoriser l'accès à la ressource protégée. Après son expiration, l'autorisation est révoquée.

    Tableau 4. Paramètres des jetons
    Zone Descriptif
    Expiration du jeton d'accès (secs)

    Définit la durée en secondes au bout de laquelle le jeton d'accès expire.

    Définissez une expiration de jeton d'accès pour limiter l'heure à laquelle un agresseur peut accéder à la ressource avec le jeton volé lorsque l'application client est compromise.

    Seuls les entiers positifs sont autorisés.

    La valeur par défaut est 7200 secondes. La valeur minimale admise est 1 seconde et la valeur maximale admise est 2147483647 secondes.

    Format du jeton d'accès Indique le format du jeton d'accès. Les options suivantes sont disponibles :
    • valeur par défaut
    • JWT
    Audiences Spécifie les cibles qui sont les destinataires du jeton. Ces valeurs sont répertoriées dans laaud requête pour les jetons au format JWT et dans la charge utile d'introspection, sous la forme d'une chaîne unique ou d'un tableau de chaînes.
    Générer un jeton d'actualisation

    Indique si l'application cliente peut demander et utiliser un jeton de rafraîchissement pour obtenir un nouveau jeton d'accès auprès du serveur d'autorisation du fournisseur d'identité OpenID Connect.

    Il suffit d'obtenir un nouveau jeton d'accès si le précédent est arrivé à expiration.

    Cette option n'est pas pertinente si « Implicite » est le seul type d'octroi que vous avez sélectionné.

    Expiration du jeton d'actualisation (secs)

    Définit la durée en secondes au bout de laquelle le jeton d'actualisation expire. Ce paramètre détermine la fréquence de la nouvelle authentification de l'utilisateur.

    Définissez la durée de validité du jeton d'actualisation afin de garantir que l'utilisateur répète l'opération complète d'authentification unique après Verify un certain laps de temps.

    Cette option est affichée uniquement si vous avez activé l'option Générer un jeton d'actualisation.

    Un jeton d'actualisation est utilisé pour obtenir un nouveau jeton d'accès afin d'assurer la continuité de l'accès à la ressource protégée.

    Seuls les entiers positifs sont autorisés.

    La valeur par défaut est 604800 secondes. La valeur minimale admise est 1 seconde et la valeur maximale admise est 2147483647 secondes.

  6. Indiquez les options de signature et de chiffrement du jeton d'ID. La partie utilisatrice utilise la signature pour vérifier l'intégrité et l'authenticité des réclamations utilisateur contenues dans le jeton et le fournisseur d'identité OpenID Connect qui a signé le jeton. Le jeton peut être chiffré de sorte que seule la partie utilisatrice puisse le déchiffrer.
    Tableau 5. Options de signature et de chiffrement
    Zone Descriptif
    Algorithme de signature

    Algorithme utilisé par Verify pour signer le jeton d'ID. L'algorithme doit correspondre à celui de la partie utilisatrice enregistrée avec Verify.

    Choisissez l'un des algorithmes de hachage suivants pour vérifier la signature :
    • RS256
    • PS256
    • ES256
    • RS384
    • PS384
    • ES384
    • RS512
    • PS512
    • ES512
    Remarque :
    • Si l'algorithme de signature ES256 est sélectionné, le certificat doit être ECDSA avec P-256.
    • Si l'algorithme de signature ES384 est sélectionné, le certificat doit être ECDSA avec P-384.
    • Si l'algorithme de signature ES512 est sélectionné, le certificat doit être ECDSA avec P-521.
    Signature du certificat

    Cette option s'affiche uniquement si vous avez sélectionné des algorithmes de signature RS, ES ou PS.

    Utilisez ce certificat pour signer le jeton d'ID au cours de la connexion unique.

    La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels.

    Algorithme de chiffrement Algorithme de chiffrement utilisé pour chiffrer ou déterminer la valeur de la clé de chiffrement de contenu (CEK).
    Les algorithmes suivants sont pris en charge :
    • RSA-OAEP
    • RSA-OAEP-256
    Algorithme de contenu Algorithme de chiffrement de contenu utilisé pour effectuer un chiffrement authentifié sur le texte en clair pour produire le texte chiffré et la balise d'authentification.
    Les algorithmes suivants sont pris en charge :
    • A128GCM
    • A192GCM
    • A256GCM
    Clé de chiffrement Libellé de certificat ou ID de la clé à utiliser pour le chiffrement.
  7. Configurez les paramètres de preuve de possession. Pour plus d'informations, consultez la rubrique « Justifier de la preuve de possession » ( DPoP ).
    Tableau 6. Paramètres de la preuve de possession
    Zone Descriptif
    Jetons d'accès liés au certificat Indique si les jetons générés sont liés au certificat. Pour plus d'informations sur les jetons d'accès liés à un certificat, consultez la page Authentification mutuelle du client TLS OpenID Connect et jeton d'accès lié à un certificat.
    Appliquer les jetons d'accès DPoP Indique si l'en-tête « DPoP » est obligatoire pour les demandes de jeton.
    Valider la demande JTI du jeton JWT DPoP Indique si le JTI contenu dans le JWT de l' DPoP t validé pour un usage unique.
    Algorithme de signature du jeton JWT DPoP

    L'algorithme de signature prévu pour le JWT de l' DPoP.

    Choisissez parmi les algorithmes suivants :

    • RS256

    • RS384

    • RS512

    • PS256

    • PS384

    • PS512

    • ES256

    • ES384

    • ES512

  8. Spécifiez les options de configuration du mode de réponse d'autorisation sécurisé par JWT (JARM). La partie qui se fie à la signature utilise celle-ci pour vérifier l'intégrité et l'authenticité des jetons contenus dans la réponse JWT. Le JWT peut également être chiffré de manière à ce que seule la partie de confiance puisse le déchiffrer.
    Tableau 7. Mode de réponse d'autorisation sécurisé par JWT
    Zone Descriptif
    Algorithme de signature L'algorithme utilisé par Verify pour signer la réponse JWT. L'algorithme doit correspondre à celui que la partie utilisatrice a enregistré auprès de Verify.
    Choisissez parmi les algorithmes de hachage suivants :
    • RS256
    • PS256
    • ES256
    • RS384
    • PS384
    • ES384
    • RS512
    • PS512
    • ES512
    Remarque :
    • Si l'algorithme de signature ES256 est sélectionné, le certificat doit être ECDSA avec P-256.
    • Si l'algorithme de signature ES384 est sélectionné, le certificat doit être ECDSA avec P-384.
    • Si l'algorithme de signature ES512 est sélectionné, le certificat doit être ECDSA avec P-521.
    Signature du certificat Cette option s'affiche uniquement si vous avez sélectionné des algorithmes de signature RS, ES ou PS. Utilisez ce certificat pour signer la réponse JWT lors de l'authentification unique.

    La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Sécurité > Certificats > Certificats personnels.

    Algorithme de chiffrement Algorithme de chiffrement utilisé pour chiffrer ou déterminer la valeur de la clé de chiffrement de contenu (CEK).
    Les algorithmes suivants sont pris en charge :
    • RSA-OAEP
    • RSA-OAPE-256
    Algorithme de contenu Algorithme de chiffrement de contenu utilisé pour effectuer un chiffrement authentifié sur le texte en clair pour produire le texte chiffré et la balise d'authentification.
    Les algorithmes suivants sont pris en charge :
    • A128GCM
    • A192GCM
    • A256GCM
    Clé de chiffrement Libellé de certificat ou ID de la clé à utiliser pour le chiffrement.
  9. Configurez les paramètres d'échange de jetons.
    Tableau 8. Échange de jetons
    Zone Descriptif
    Jeton de sujet Le type du jeton en question, qui représente l'identité de la partie pour le compte de laquelle le jeton est demandé.
    Jeton d'acteur Le type de jeton de l'acteur, qui représente l'identité de la partie à laquelle sont délégués les droits d'accès du jeton émis.
    Jeton demandé

    Le type de jetons dont la génération peut être demandée dans le cadre de l'échange de jetons.

    Jeton de transaction : ce jeton de sécurité à usage unique contient des informations contextuelles relatives à une transaction, une action, une ressource ou une requête spécifique, permettant ainsi une autorisation très précise pour cette opération particulière. Lorsque vous sélectionnez le jeton, la vignette « Contexte de transaction » s'affiche; vous pouvez alors définir le contexte à l'aide d'une expression CELx. Pour plus d'informations, consultez la section « Jeton de transaction ».
    Remarque : le jeton de transaction est une fonctionnalité disponible sur demande, VDEV-186514: Sécurisation des agents IA. Pour demander cette fonctionnalité, veuillez contacter votre représentant commercial IBM ou votre interlocuteur IBM et lui faire part de votre souhait d'activer cette fonctionnalité. Vous pouvez également créer un ticket d'assistance en indiquant le numéro de la fonctionnalité si vous disposez des autorisations nécessaires. IBM Verify Les abonnements d'essai ne permettent pas de créer des tickets d'assistance.
    Groupes de clients Liste des groupes de clients d' OpenID Connect. Les jetons générés par ce client peuvent servir de jetons de référence pour l'échange de jetons au sein du même groupe. Si cette liste est vide, n'importe quel client peut utiliser les jetons générés par ce client comme jeton de sujet pour l'échange de jetons.
    Demander un jeton d'acteur Exiger un jeton d'acteur dans le cadre de la demande d'échange de jetons. Cette action applique le scénario de délégation et interdit le scénario d'usurpation d'identité.
    Critères relatifs aux acteurs Les critères d'acteur sont des règles d'autorisation configurables qui définissent et valident les relations de délégation, en déterminant quels services ou agents peuvent agir au nom des utilisateurs et dans quelles conditions. Pour plus d'informations, consultez les critères relatifs aux acteurs.
    Contexte de la transaction Le champ « Contexte de la transaction » n'est visible que lorsque le paramètre « Jeton demandé » est défini sur « Jeton de transaction ». Ce champ ne s'applique pas aux autres types de jetons. Pour plus d'informations, consultez la section « Jeton de transaction ».
  10. Configurez les paramètres de flux de l'appareil.
    Tableau 9. Flux des appareils
    Zone Descriptif
    Générer un code Quick Response pour le flux d'appareil Indique si un code QR est généré en même temps que le code utilisateur.
  11. Configurez les mappages de demandes et de réponses pour chacun des nœuds finaux.
    1. Configurez le mappage des demandes et des réponses pour le nœud final autorisé.
    2. Configurez le mappage de réponses pour le nœud final de jeton.
    3. Configurez le mappage d'introspection pour ajouter et modifier les attributs renvoyés par le nœud final d'introspection.
    4. Configurez le mappage des attributs d'informations utilisateur et de jeton d'ID pour ajouter et modifier les attributs renvoyés par le nœud final userinfo et dans le jeton d'ID.
  12. Sélectionnez les fournisseurs d'identité et la stratégie qui déterminent la manière dont les utilisateurs peuvent accéder à l'application.
    1. Sélectionnez les fournisseurs d'identité pouvant être utilisés pour se connecter à cette application.

      Par défaut, l'accès est autorisé pour tous les fournisseurs d'identité d'entreprise configurés pour le tenant. Pour limiter les fournisseurs d'identité pouvant être utilisés pour se connecter à l'application, sélectionnez « Sélectionner des fournisseurs d'identité pris en charge spécifiques ». Cochez les cases correspondant aux fournisseurs d'identité à partir desquels vous souhaitez autoriser la connexion.

    2. Sélectionnez la stratégie qui détermine la manière dont les utilisateurs peuvent accéder à l'application.
      Vous pouvez continuer à utiliser la politique d'accès par défaut qui vous a été attribuée. Vous pouvez également décocher la case, puis cliquer sur Editer pour choisir parmi la liste des politiques d'accès prédéfinies. Pour plus d'informations, consultez la section « Politiques d'accès ». Une fois la politique d'accès sélectionnée, choisissez d'appliquer cette politique aux types d'autorisation API en cochant la case correspondante pour chaque type d'autorisation.
  13. Indiquez si vous souhaitez demander le consentement de l'utilisateur.
    La demande de consentement de l'utilisateur peut être ajoutée aux applications OpenID Connect. Si la valeur par défaut, Demander le consentement, reste sélectionnée, l'utilisateur est invité à consentir explicitement aux portées et à d'autres informations de transaction. Si Ne pas demander le consentement est sélectionné, aucun consentement n'est recueilli, mais la demande d'autorisation a abouti. Si l'option « Demander uniquement les consentements non encore donnés » est sélectionnée, l'utilisateur est invité à donner son consentement uniquement pour les éléments pour lesquels il ne l'a pas encore fait.
  14. Restreignez les portées personnalisées.
    Des portées personnalisées peuvent être demandées par un client IODC/OAuth dans les flux d'octroi IODC/OAuth pris en charge. Si l'option Restreindre les portées personnalisées est activée (elle l'est par défaut), les portées octroyées au client à la fin du flux se limitent à celles qui figurent dans cette section. Si l'option Limiter les portées personnalisées est désactivée, toutes les portées personnalisées demandées sont accordées à la fin du flux.
    openidRemarque : les portées standard, profile, email, phone, et address ne peuvent pas être restreintes.
    1. Assurez-vous que la case « Restreindre les champs d'application personnalisés » est cochée.
    2. Entrez le nom de la portée personnalisée à octroyer ainsi qu'une description.
      Le nom de la portée référence la portée OAuth2/OIDC qui est demandée par une partie utilisatrice/un client. La description est une explication compréhensible de la portée.
      Un autre ensemble de zones de portée est affiché.
    3. Répétez l'étape précédente pour chaque portée personnalisée à octroyer.
  15. Détails relatifs à la restriction des autorisations
    Les informations d'autorisation peuvent être demandées par un client OIDC/ OAuth dans les flux d'autorisation OIDC/ OAuth pris en charge. Si l'option « Restreindre les détails d'autorisation » est activée, les détails d'autorisation accordés à la fin du flux sont limités à ceux spécifiés dans cette section. Si l'option « Restreindre les détails d'autorisation » est désactivée, toute demande de détails d'autorisation est acceptée une fois le flux terminé.
    1. Assurez-vous que la case « Détails de l'autorisation restreinte » est cochée.
    2. Vérifiez si l'option « Ignorer les informations d'autorisation inconnues » est activée.
    3. Saisissez ou sélectionnez le nom du type de détail d'autorisation que vous souhaitez accorder. Vous pouvez modifier et définir une règle personnalisée supplémentaire pour filtrer les requêtes en fonction d'une propriété du fichier JSON contenant les détails d'autorisation. Par exemple, si le type de détail d'autorisation est resource_access et qu'il comprend une location propriété, la demande ne peut être acceptée que si le lieu est le Japon. Dans ce cas, la règle serait la suivante : requestContext.ad.location == 'Japan'.
    4. Cliquez sur « Ajouter » et répétez l'étape précédente pour chaque type de détail d'autorisation que vous souhaitez accorder.
  16. Octroyez des autorisations d'API au jeton de connexion.
    Le paramètre Restrict API access est le paramètre par défaut des nouvelles applications. L'application ne dispose pas d'autorisation sur les jetons de connexion. Pour octroyer des autorisations d'accès aux API, procédez comme suit :
    1. Cliquez sur l'icône Editer.
      L'assistant Editer le client API démarre.
    2. Sélectionnez les droits utilisateur et non utilisateur à octroyer au jeton de connexion.
      Si vous cochez la case « Autorisations par défaut pour les jetons utilisateur » ou décochez la case « Restreindre l'accès à l'API », un ensemble de droits par défaut est attribué aux jetons utilisateur. Voir les autorisations de l'API relatives aux jetons de connexion par défaut.
    3. Cliquez sur Enregistrer.
  17. Cliquez sur Enregistrer.

Que faire ensuite