Gestion des permissions de l’application OIDC / OAuth
Les applications tierces, qui n’appartiennent pas à votre service, sont intégrées à Logto en tant que fournisseurs d’identité pour authentifier les utilisateurs. Ces applications, généralement issues de fournisseurs de services externes, nécessitent une gestion rigoureuse des permissions pour protéger les données des utilisateurs.
Logto vous permet de contrôler les permissions spécifiques accordées aux applications tierces. Cela inclut la gestion des permissions de profil utilisateur, des ressources API et des portées d’organisation. Contrairement aux applications propriétaires, les applications tierces demandant des portées non autorisées se verront refuser l’accès.
En activant des portées spécifiques, vous déterminez quelles informations utilisateur les applications tierces peuvent consulter. Les utilisateurs examineront et approuveront ces permissions sur l’écran de consentement avant d’accorder l’accès.
Gérer les permissions de vos applications tierces OIDC
Rendez-vous sur la page Console > Applications > Détails de l’application de votre application tierce OIDC, puis accédez à l’onglet Permissions et cliquez sur le bouton Ajouter des permissions pour gérer les permissions de vos applications tierces.
Les données utilisateur de base sont toujours requises pour les requêtes d’applications tierces. De plus, Logto prend en charge l’attribution de ressources d’organisation, ce qui le rend idéal pour les services B2B.
Accorder des permissions sur les données utilisateur
Attribuez des permissions au niveau utilisateur, y compris les permissions de profil utilisateur (par exemple, e-mail, nom et avatar) et les permissions de ressources API (par exemple, accès en lecture ou écriture à des ressources spécifiques).
Les noms des ressources demandées (par exemple, Données personnelles de l’utilisateur, nom de l’API) et les descriptions spécifiques des permissions (par exemple, Votre adresse e-mail) apparaîtront sur l’écran de consentement pour que les utilisateurs puissent les examiner.
En cliquant sur le bouton Autoriser, les utilisateurs acceptent d’accorder les permissions spécifiées à l’application tierce.
Accorder des permissions sur les données d’organisation
Attribuez des permissions au niveau organisation, y compris les permissions d’organisation et les permissions de ressources API. Logto permet d’attribuer des ressources API à des rôles d’organisation spécifiques.
Sur l’écran de consentement, les données d’organisation sont affichées séparément des données utilisateur. Lors du flux d’autorisation, l’utilisateur doit sélectionner une organisation spécifique à laquelle accorder l’accès. Les utilisateurs peuvent changer d’organisation avant de confirmer. L’application tierce ne recevra l’accès qu’aux données de l’organisation sélectionnée et aux permissions associées.
Types de permissions
Permissions utilisateur (Portées de profil utilisateur)
Ces permissions sont des portées standard OIDC et des portées essentielles du profil utilisateur de Logto utilisées pour accéder aux revendications utilisateur. Les revendications utilisateur seront retournées dans le jeton d’identifiant (ID token) et via l’endpoint userinfo en conséquence.
profile: Portée standard OIDC, utilisée pour accéder au nom et à l’avatar de l’utilisateur.email: Portée standard OIDC, utilisée pour accéder à l’e-mail de l’utilisateur.phone: Portée standard OIDC, utilisée pour accéder au numéro de téléphone de l’utilisateur.custom_data: Portée de profil utilisateur Logto, utilisée pour accéder aux données personnalisées de l’utilisateur.identity: Portée de profil utilisateur Logto, utilisée pour accéder aux informations des identités sociales liées de l’utilisateur.role: Portée de profil utilisateur Logto, utilisée pour accéder aux informations de rôle de l’utilisateur.urn:logto:scope:organizations: Portée d’organisation utilisateur Logto, utilisée pour accéder aux informations des organisations de l’utilisateur. Si elle est activée et demandée par une application tierce, un sélecteur d’organisation sera affiché sur l’écran de consentement. Cela permet aux utilisateurs d’examiner et de choisir l’organisation à laquelle ils souhaitent accorder l’accès. Voir organisations pour plus de détails.urn:logto:scope:organization_roles: Portée d’organisation utilisateur Logto, utilisée pour accéder aux informations des rôles d’organisation de l’utilisateur.
Demander une portée de profil utilisateur non activée dans la requête d’autorisation entraînera une erreur.
Permissions de ressources API (Portées de ressources API)
Logto fournit un contrôle d’accès basé sur les rôles (RBAC) pour les ressources API. Les ressources API sont les ressources qui appartiennent à votre service et sont protégées par Logto. Vous pouvez attribuer des portées API personnalisées aux applications tierces pour accéder à vos ressources API. Veuillez consulter RBAC, le modèle d’organisation et Protéger votre API pour plus de détails.
Vous pouvez créer et gérer vos portées de ressources API dans la section Console > Ressources API.
Les portées de ressources API qui ne sont pas activées pour les applications tierces seront ignorées lors de l’envoi d’une requête d’autorisation. Elles ne seront pas affichées sur l’écran de consentement utilisateur et ne seront pas accordées par Logto.
Permissions d’organisation (Portées d’organisation)
Les permissions d’organisation sont des portées définies exclusivement pour les organisations Logto. Elles sont utilisées pour accéder aux informations et ressources d’organisation.
Pour utiliser les permissions d’organisation Logto, vous devez activer la portée utilisateur urn:logto:scope:organizations. Sinon, les permissions d’organisation seront ignorées lors de l’envoi d’une requête d’autorisation.
Vous pouvez définir vos propres portées d’organisation dans la page des paramètres du modèle d’organisation. Veuillez consulter Configurer le modèle d’organisation pour plus de détails.
Les portées d’organisation qui ne sont pas activées pour les applications tierces seront ignorées lors de l’envoi d’une requête d’autorisation. Elles ne seront pas affichées sur l’écran de consentement utilisateur et ne seront pas accordées par Logto.