Cas d'emploi : ajout d'applications
Pour comprendre l'ajout d'applications personnalisées dans un domaine d'identité, consultez ce cas d'emploi.
Dans ce cas d'emploi, un utilisateur accède à l'application sécurisée Customer Quotes. Cette application sécurisée est une application client qui émet des appels d'API REST vers l'application de serveur de ressource abccorp.com. Une application de serveur de ressource est une application tierce qui fournit des services qu'une application sécurisée peut utiliser au nom de l'utilisateur.
Dans cet exemple, l'application de serveur de ressource abccorp.com est une application financière qui contient des API REST permettant de réaliser un devis (/quote), de demander un devis (/rfq) ou d'obtenir des informations sur l'utilisateur (/user).
Lorsque l'utilisateur accède à l'application sécurisée Customer Quotes, celle-ci émet des appels d'API REST vers l'application de serveur de ressource abccorp.com au nom de l'utilisateur. Dans cet exemple, l'utilisateur ne communique pas directement avec l'application abccorp.com.
Etant donné que l'application Customer Quotes effectue des actions au nom de l'utilisateur, elle doit accéder aux API REST /quote, /rfq et /user disponibles avec l'application abccorp.com. Pour effectuer ces appels d'API REST, l'application Customer Quotes peut demander le consentement de l'utilisateur. Ce consentement peut être demandé à tout moment, dès lors que l'application Customer Quotes appelle ces API REST dans l'application abccorp.com.
L'utilisateur se connecte à IAM et accède à l'application Customer Quotes via l'accès avec connexion unique à l'aide d'OAuth 2.0 et d'OpenID Connect, l'une des méthodes de fédération d'identités dans le cloud. Etant donné que l'application Customer Quotes est autorisée à émettre des appels d'API REST /quote, /rfq et /user vers l'application abccorp.com au nom de l'utilisateur, ce dernier peut se servir de l'application Customer Quotes pour réaliser un devis, demander un devis et obtenir des informations sur l'utilisateur. Les actions supplémentaires de l'utilisateur via l'application Customer Quotes ne sont pas autorisées.
-
L'application de serveur de ressource
abccorp.com. Cette application comprend des API REST (ressources) auxquelles d'autres applications, telles que l'application Customer Quotes, peuvent accéder. Dans cet exemple, l'utilisateur n'accède pas directement à l'application de serveur de ressource, mais indirectement via l'application Customer Quotes.Vous devez inscrire les ressources de l'application de serveur de ressource
abccorp.com. Les ressources d'application sont des appels d'API autorisés par IAM. Dans cet exemple, les ressources d'application sont les API REST/quote,/rfqet/user. A des fins de sécurité et d'audit, vous pouvez indiquer si l'utilisateur doit donner son consentement pour accéder à ces ressources. -
L'application sécurisée Customer Quotes. L'utilisateur passe par cette application pour accéder aux API REST de l'application
abccorp.com.Lorsque vous créez cette application personnalisée, vous voulez générer un code d'autorisation pour l'utilisateur lorsqu'il se connecte à IAM. Le code d'autorisation est ensuite envoyé à l'application Customer Quotes pour extraire un jeton d'accès. Le jeton d'accès contient tous les droits dont dispose l'utilisateur pour accéder à l'application de serveur de ressource. Pour cet exemple, ces droits incluent la création de devis, les demandes de devis et l'extraction d'informations sur l'utilisateur.
La durée de vie du jeton d'accès étant courte, vous pouvez générer un jeton d'actualisation. Un jeton d'actualisation est un mécanisme sécurisé permettant d'obtenir un nouveau jeton d'accès lorsque le jeton en cours expire. De cette façon, l'application Customer Quotes peut accéder aux API de l'application
abccorp.comsans demander à nouveau le consentement de l'utilisateur.
Pour plus d'informations sur la création et l'activation d'applications personnalisées dans IAM, reportez-vous à Ajout d'applications, à Activation d'applications et à Désactivation d'applications.