Lorsque vous configurez l'authentification personnalisée, vous contrôlez le processus d'authentification et personnalisez la connexion dans l'application AEM Mobile. La connexion via l'authentification personnalisée s'affiche dans l'application sous la forme d'une vue web plein écran que vous concevez.

Connexions personnalisées

Les formats suivants sont pris en charge :

  • SAML 2.0, avec notamment la prise en charge de MFA/OKTA et Gigya.
  • OAuth 2.0, avec notamment les connexions de partage sur les réseaux sociaux telles que Facebook ou Gmail.
  • Générique, qui vous permet de concevoir votre propre comportement de connexion et d'interagir avec votre service de droits.

Par exemple, vous pouvez permettre aux commerciaux de se connecter à l'application à l'aide de leur adresse électronique et de leur mot de passe avec une vérification OKTA (SAML 2.0). Ou vous pouvez permettre aux clients de se connecter à l'application en utilisant leur compte Gmail ou Facebook (OAuth 2.0). L'application récupère les jetons d'autorisation de ces fournisseurs d'identité, que vous pouvez utiliser dans votre service de droits pour autoriser les utilisateurs à accéder à un contenu. Grâce à l'API setAuthToken, vous pouvez optimiser vos méthodes d'authentification de différentes manières, notamment en utilisant plusieurs méthodes d'authentification au sein la même application.

Les fournisseurs d'identité génériques permettent deux autres cas d'utilisation de l'authentification, notamment :

  • Proposer une IU personnalisée, telle qu'un formulaire HTML, plutôt que d'utiliser l'invite standard de saisie du nom d'utilisateur et du mot de passe.
  • Créer une expérience de connexion au sein d'un article plutôt que via le processus d'authentification standard.

 

Notez qu'un service de droits utilisant les interfaces Direct Entitlement API v2 doit toujours autoriser les utilisateurs à accéder à un contenu.

Les API sont fournies pour que le client détermine si l'utilisateur est authentifié, pour obtenir le jeton d'authentification et pour lancer la vue web de connexion de l'interface utilisateur. Reportez-vous à la page Utilisation des API activées pour Cordova spécifiques à AEM Mobile.

 

Vidéo sur l'authentification personnalisée

Vidéo sur l'authentification personnalisée
Vidéo de présentation de l'authentification personnalisée.

Configuration de l'authentification personnalisée

Les fournisseurs d'identité sont configurés dans les paramètres principaux et appliqués à un projet dans les paramètres du projet. Vous pouvez créer plusieurs fournisseurs d'identité au niveau du compte principal pour une utilisation dans les projets.

  1. Configurez un service de droits afin qu'il fonctionne avec AEM Mobile.

    Même si vous activez un service d'authentification personnalisée, un service de droits en utilisant les interfaces Direct Entitlement API v2 doit autoriser les utilisateurs à accéder à un contenu. Reportez-vous à la page Droits dans les applications AEM Mobile.

  2. Configurez un fournisseur d'identité de type SAML 2.0, OAuth 2.0 ou générique pour une utilisation avec AEM Mobile et votre service de droits.

    Fournisseur d'identité Google

    Pour un exemple de configuration d'un fournisseur d'identité Google, reportez-vous au fichier PDF suivant (en anglais uniquement) :  

    Telechargement

    Fournisseur d'identité Facebook

    Pour un exemple de configuration d'un fournisseur d'identité Facebook, reportez-vous au fichier PDF suivant (en anglais uniquement) :

    Telechargement

    Fournisseur d'identité générique

    Pour un exemple de configuration d'un fournisseur d'identité générique, reportez-vous à l'exemple suivant (en anglais uniquement) :

    Telechargement

    Pour une vidéo sur les fournisseurs d'identité génériques, reportez-vous à la vidéo Generic IdP (Fournisseurs d'identité génériques - en anglais uniquement).

    Gigya

    Vous pouvez utiliser la gestion d'identités clients de Gigya comme fournisseur d'identité, ce qui permet aux clients de se connecter en utilisant les méthodes classiques et les méthodes des différentes plateformes sociales, telles que Facebook, Google et LinkedIn. Pour un exemple de configuration d'un fournisseur d'identité Gigya, reportez-vous à l'exemple suivant (en anglais uniquement) :

    Telechargement

    Reportez-vous à cet article AEM Mobile dans la documentation Gigya.

     

    Remarque :

    le flux de travaux d'authentification de Gigya repose sur les cookies définis dans les navigateurs des utilisateurs. L'authentification Gigya peut échouer dans les applications AEM Mobile lorsque l'application détecte ces cookies comme étant des cookies tiers et les bloque. Si des cookies tiers bloqués empêchent l'authentification correcte par le flux de travaux Gigya, vous pouvez vouloir mettre en place une solution contournant ce problème comme décrit dans la documentation Gigya : Cookies tiers bloqués.

     

    L'exemple de code de service de droits d'exemple comporte la prise en charge de l'authentification personnalisée. Pour plus d’informations, reportez-vous à la page Configuration d'un service de droits.

  3. Connectez-vous au portail à la demande avec un compte doté du rôle Administrateur principal. Cliquez sur Paramètres principaux, puis sur l'onglet Fournisseur d'identité.

  4. Cliquez sur l'icône Créer un fournisseur d'identité (+), puis indiquez le nom du fournisseur d'identité et son type (OAuth 2.0, SAML 2.0 ou Générique).

  5. Saisissez les informations de votre fournisseur d'identité. Les différentes options sont décrites dans la suite de ce document.

  6. Pour configurer une relation de confiance entre votre fournisseur d'identité et l'application AEM Mobile, copiez la valeur du champ Experience Manager Mobile - Point de terminaison de la réponse (SAML 2.0) ou du champ Experience Manager Mobile - Point de terminaison de la réponse (OAuth 2.0) et ajoutez-la à la configuration du fournisseur d'identité.

    L'ajout de cette information indique au service comment informer AEM Mobile des résultats du processus d'authentification. Par exemple, le jeton d'authentification retourné par Facebook est différent du jeton de votre service de droits pour cet utilisateur. Dans votre service de droits, vous devez associer le jeton d'authentification Facebook pour l'utilisateur afin que, lorsqu'AEM Mobile appelle les droits, le service de droits renvoie la réponse correcte. L'utilisateur est alors autorisé à afficher le contenu lorsqu'il se connecte.

  7. Sur le portail à la demande, accédez aux paramètres du projet, modifiez le projet, puis cliquez sur l'onglet Accès. Sélectionnez l'option « Activer l'authentification personnalisée » et choisissez le fournisseur d'identité approprié créé dans les paramètres principaux.

  8. Créez une application sans contrôle en amont et testez la configuration de l'authentification personnalisée.

Paramètres SAML 2.0

ID de prestataire de services : valeur utilisée par AEM Mobile pour s'identifier lors de l'envoi d'une demande d'authentification au fournisseur d'identité. L'ID de prestataire de services doit être enregistré auprès du fournisseur d'identité.

Lien de protocole : définit le lien de protocole SAML à utiliser pour l'envoi de demandes d'authentification au fournisseur d'identité. Les liens de protocole POST et REDIRECT sont pris en charge.

Format d'ID de nom : si indiqué, le service de droits d'AEM Mobile demande l'identifiant de l'objet de la réponse afin d'utiliser le format spécifié : Aucun, Persistent, Temporaire ou Non spécifié. Utilisez « Non spécifié » pour des fournisseurs d'identité Gigya.

Source du jeton d'authentification : indique la partie de la réponse d'authentification contenant le jeton d'authentification. Si vous utilisez Attribut, indiquez le nom d'un attribut dans la réponse de l'authentification contenant le jeton d'authentification. Si le format d'ID de nom est défini comme étant temporaire, vous pouvez sélectionner l'ID de nom.

URL d'authentification : URL du fournisseur d'identité à laquelle AEM Mobile doit envoyer la demande d'authentification.

Certificat de clé de signature publique : certificat X509 de la clé de signature publique du fournisseur d'identité utilisée par AEM Mobile pour valider la signature d'assertion.

Expiration de session par défaut : nombre de secondes pendant lesquelles une réponse de connexion réussie est valide si aucune durée n'est explicitement spécifiée dans la réponse. Lorsque la session expire, elle est actualisée, si cette fonction est prise en charge par le fournisseur d'identité ; dans le cas contraire, l'utilisateur est déconnecté. La valeur par défaut est d'une heure (3 600 s).

Experience Manager Mobile - Point de terminaison de la réponse : URL à laquelle le fournisseur d'identité doit envoyer la réponse d'assertion. Vous devez configurer votre fournisseur d'identité afin qu'il utilise cette valeur indiquée par AEM Mobile.

Experience Manager Mobile - Certificat de clé de chiffrement publique : certificat X509 de la clé de chiffrement publique qui peut être utilisée par le fournisseur d'identité pour chiffrer la clé dans la réponse d'authentification, si nécessaire.

Paramètres OAuth 2.0

Type d'octroi d'autorisation : détermine le type d'octroi d'autorisation : Code d'autorisation ou Implicite.

Point de terminaison du jeton : utilisé par AEM Mobile pour échanger un code d'autorisation ou un jeton actualisé avec un jeton d'accès. Le protocole HTTPS est fortement recommandé.

Clé secrète client : AEM Mobile utilise cette valeur pour s'authentifier lors du contact avec le point de terminaison du jeton. La clé secrète client que vous spécifiez doit être enregistrée auprès du fournisseur d'identité.

Expiration de session par défaut : nombre de secondes pendant lesquelles une réponse de connexion réussie est valide si aucune durée n'est explicitement spécifiée dans la réponse. Lorsque la session expire, elle est actualisée, si cette fonction est prise en charge par le fournisseur d'identité ; dans le cas contraire, l'utilisateur est déconnecté. La valeur par défaut est d'une heure (3 600 s).

Point de terminaison de l'autorisation : utilisé par AEM Mobile pour obtenir l'autorisation auprès du fournisseur d'identité. Le protocole HTTPS est fortement recommandé.

Identifiant du client : AEM Mobile utilise cette valeur pour s'identifier lors du contact avec le fournisseur d'identité. L'identifiant du client doit être enregistré auprès du fournisseur d'identité.

Champ d'application du jeton d'accès : décrit le champ d'application de la requête d'accès. Utilisez des espaces pour spécifier plusieurs valeurs. Exemples Facebook : public_profile, email, user_likes, user_friends.

Experience Manager Mobile - Point de terminaison de la redirection : spécifie l'URL AEM Mobile vers laquelle le fournisseur d'identité doit rediriger après avoir terminé le processus d'autorisation. Cette valeur fournie par AEM Mobile doit être enregistrée auprès du fournisseur d'identité.

Paramètres génériques

URL d'authentification : indiquez l'URL du site web comportant l'IU pour le comportement de connexion. Ce site web doit comprendre les informations transmettant le jeton d'authentification au service de droits lorsque l'utilisateur se connecte.

Expiration de session par défaut : nombre de secondes pendant lesquelles une réponse de connexion réussie est valide si aucune durée n'est explicitement spécifiée dans la réponse. Lorsque la session expire, elle est actualisée, si cette fonction est prise en charge par le fournisseur d'identité ; dans le cas contraire, l'utilisateur est déconnecté. La valeur par défaut est d'une heure (3 600 s).

Notes et meilleures pratiques relatives à l'authentification personnalisée

  • Après la création du fournisseur d'identité dans les paramètres principaux, vous ne pouvez plus modifier le type de fournisseur d'identité (SAML 2.0 ou OAuth 2.0). Pour le modifier, vous devez créer un nouveau fournisseur d'identité.
  • La modification du fournisseur d'identité sur un projet actif déconnecte tous les utilisateurs.
  • SAML ne prend pas en charge l'actualisation. À la fin d'une session, l'utilisateur doit se reconnecter. Cela s'applique également à OAuth si le fournisseur OAuth ne prend pas en charge les jetons actualisés.
  • La déconnexion d'un appareil ne déconnecte pas nécessairement l'utilisateur du fournisseur d'identité. Le fournisseur d'identité détermine la durée pendant laquelle la session reste valide.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne