Aller au contenu principal

Gestion des permissions

Les applications tierces, qui ne sont pas détenues par votre service, sont intégrées à Logto en tant que fournisseurs d'identité pour authentifier les utilisateurs. Ces applications, généralement de fournisseurs de services externes, nécessitent une gestion minutieuse des permissions pour protéger les données des utilisateurs.

Logto vous permet de contrôler les permissions spécifiques accordées aux applications tierces. Cela inclut la gestion des profils utilisateur, des ressources API et des portées d'organisation. Contrairement aux applications de première partie, les applications tierces demandant des portées non autorisées se verront refuser l'accès.

En activant des portées spécifiques, vous déterminez quelles informations utilisateur les applications tierces peuvent accéder. Les utilisateurs examineront et approuveront ces permissions sur l'écran de consentement avant d'accorder l'accès.

Gérer les permissions de vos applications tierces OIDC

Accédez à la Console > Applications > Page de détails de l'application de votre application tierce OIDC et naviguez vers l'onglet Permissions et cliquez sur le bouton Ajouter des permissions pour gérer les permissions de vos applications tierces.

Les données utilisateur de base sont toujours requises pour les demandes d'applications tierces. De plus, Logto prend en charge l'attribution de ressources d'organisation, ce qui le rend idéal pour les services B2B.

Accorder des permissions sur les données utilisateur

Attribuez des permissions au niveau utilisateur, y compris les permissions de profil utilisateur (par exemple, e-mail, nom et avatar) et les permissions de ressources API (par exemple, accès en lecture ou écriture à des ressources spécifiques).

Les noms des ressources demandées (par exemple, Données utilisateur personnelles, Nom de l'API) et les descriptions spécifiques des permissions (par exemple, Votre adresse e-mail) apparaîtront sur l'écran de consentement pour que les utilisateurs les examinent.

En cliquant sur le bouton Autoriser, les utilisateurs acceptent d'accorder les permissions spécifiées à l'application tierce.

accorder des permissions sur les données utilisateur

Accorder des permissions sur les données d'organisation

Attribuez des permissions au niveau de l'organisation, y compris les permissions d'organisation et les permissions de ressources API. Logto permet d'attribuer des ressources API à des rôles d'organisation spécifiques.

Sur l'écran de consentement, les données d'organisation sont affichées séparément des données utilisateur. Pendant le flux d'autorisation, l'utilisateur doit sélectionner une organisation spécifique pour accorder l'accès. Les utilisateurs peuvent basculer entre les organisations avant de confirmer. L'application tierce ne recevra l'accès qu'aux données de l'organisation sélectionnée et aux permissions associées.

accorder des permissions sur les données d'organisation

Types de permissions

Permissions utilisateur (Portées de profil utilisateur)

Ces permissions sont des portées standard OIDC et des portées essentielles de profil utilisateur de Logto utilisées pour accéder aux revendications utilisateur. Les revendications utilisateur seront renvoyées dans le jeton d’identifiant et le point de terminaison userinfo en conséquence.

  • profile : Portée standard OIDC, utilisée pour accéder au nom et à l'avatar de l'utilisateur.
  • email : Portée standard OIDC, utilisée pour accéder à l'e-mail de l'utilisateur.
  • phone : Portée standard OIDC, utilisée pour accéder au numéro de téléphone de l'utilisateur.
  • custom_data : Portée de profil utilisateur Logto, utilisée pour accéder aux données personnalisées de l'utilisateur.
  • identity : Portée de profil utilisateur Logto, utilisée pour accéder aux informations des identités sociales liées de l'utilisateur.
  • role : Portée de profil utilisateur Logto, utilisée pour accéder aux informations de rôle de l'utilisateur.
  • urn:logto:scope:organizations : Portée d'organisation utilisateur Logto, utilisée pour accéder aux informations des organisations de l'utilisateur. Si activée et demandée par une application tierce, un sélecteur d'organisation sera affiché sur l'écran de consentement. Cela permet aux utilisateurs d'examiner et de choisir l'organisation à laquelle ils souhaitent accorder l'accès. Voir organisations pour plus de détails.
  • urn:logto:scope:organization_roles : Portée d'organisation utilisateur Logto, utilisée pour accéder aux informations des rôles d'organisation de l'utilisateur.
attention:

Demander une portée de profil utilisateur non activée dans la requête d'autorisation entraînera une erreur.

Permissions de ressources API (Portées de ressources API)

Logto fournit un contrôle d’accès basé sur les rôles (RBAC) pour les ressources API. Les ressources API sont les ressources qui appartiennent à votre service et sont protégées par Logto. Vous pouvez attribuer des portées API définies par vous-même aux applications tierces pour accéder à vos ressources API. Veuillez vous référer à RBAC, au modèle d'organisation et à Protéger votre API pour plus de détails.

Vous pouvez créer et gérer vos portées de ressources API sous la Console > Ressources API.

attention:

Les portées de ressources API qui ne sont pas activées pour les applications tierces seront ignorées lors de l'envoi d'une requête d'autorisation. Elles ne seront pas affichées sur l'écran de consentement de l'utilisateur et ne seront pas accordées par Logto.

Permissions d'organisation (Portées d'organisation)

Les permissions d'organisation sont les portées définies exclusivement pour les organisations Logto. Elles sont utilisées pour accéder aux informations et ressources de l'organisation.

remarque:

Pour utiliser les permissions d'organisation Logto, vous devez activer la portée utilisateur urn:logto:scope:organizations. Sinon, les permissions d'organisation seront ignorées lors de l'envoi d'une requête d'autorisation.

Vous pouvez définir vos propres portées d'organisation sous la page des paramètres du modèle d'organisation. Veuillez consulter Configurer le modèle d'organisation pour plus de détails.

attention:

Les portées d'organisation qui ne sont pas activées pour les applications tierces seront ignorées lors de l'envoi d'une requête d'autorisation. Elles ne seront pas affichées sur l'écran de consentement de l'utilisateur et ne seront pas accordées par Logto.