Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 9 Current »

Configuration de CAS pour permettre l'authentification depuis une application AppScho


AppScho est en mesure d'utiliser votre CAS afin d'authentifier l'utilisateur, ainsi que récupérer certaines informations basiques sur son profil.

Les indications de configuration vont rester ici très abstraites car entièrement dépendantes des versions de CAS en question ainsi que les méthodes de déploiements utilises. Nous redirigerons, lorsque nécessaire, vers la documentation officielle d'Apereo.

Deux protocoles différents peuvent être utilisés afin de s'interfacer avec CAS.

Protocole REST

Le protocole REST proposé par CAS permet, à partir d'un nom d'utilisateur, un mot de passe et un service CAS, de récupérer deux éléments authentifiants pour l'utilisateur : un Ticket Granting Ticket (TGT) et un Service Ticket (ST).

Le renouvellement d'une session nécessite le renvoi du nom d'utilisateur et du mot de passe, nécessitant le stockage - sur le terminal de l'utilisateur - de ceux-ci.

Le TGT sert également à obtenir, lorsque l'utilisateur y a accès, des ST pour d'autres services qu'AppScho, permettant un transfert d'authentification transparent entre l'application mobile et des services Web présentés dans des webviews (détails à confirmer en fonction de l'implémentation).

Lien vers la Documentation CAS pour le Protocole REST: cliquez-ici

Les informations à fournir à AppScho sont :

  • L'adresse de votre instance CAS

  • Un nom de service CAS à utiliser

Protocole OpenID Connect

Ce protocole utilise le standard de l'industrie OpenID Connect afin d'autoriser l'utilisateur. Ici, l'authentification est présentée dans une webview, signifiant que les identifants ne sont jamais traités par AppScho directement.

Egalement, à l'issue d'une authentification réussie, un access token ainsi qu'un refresh token sont générés et fournis à l'application. Ce refresh token permet le renouvellement de la session utilisateur sans avoir à stocker ou réutiliser les identifiants.

Cette méthode fournit également un TGT qui permet de réaliser des transferts d'authentification.

Lien vers la Documentation CAS pour le Protocole OpenID Connect : cliquez-ici

Ici, les informations à fournir à AppScho sont les suivantes :

  • Endpoint /authorize : https://cas.<nom_de_domaine>.fr/cas/oidc/oidcAuthorize par exemple

    • Cet endpoint doit être accessible depuis n’importe quelle adresse IP car c’est l'étudiant qui y accède.

  • Client ID

  • Client secret

  • les éventuels Scopes et Claims à mettre en place côté AppScho

Un exemple de configuration d'un service CAS OpenID Connect peut ressembler, par exemple, à ceci (configuration à adapter à votre situation) :

{
  "id": 1000,
  "name": "AppScho",
  "@class": "org.apereo.cas.services.OidcRegisteredService", "supportedGrantTypes": [
    "java.util.HashSet", 
    [
      "authorization_code", 
      "refresh_token"
    ]
  ],
  "clientId": "appscho",
  "clientSecret": "MjIwYjY1YzhhMzJjN2U3YmY3NTcwNDI3NzMxNWZjYzVhNDVlZTMyY=", 
  "serviceId": "^https://<id>.callback.oauth.appscho.com$",
  "scopes": [ 
    "java.util.HashSet", 
    [
      "profile", 
      "email", 
      "offline_access"
    ]
  ]
}

Il est indispensable que CAS soit configuré pour à la fois émettre un refresh token et d'émettre un nouveau

refresh token régulièrement (pour éviter que les étudiants soient déconnectés à l'expiration de celui-ci).

Vous pouvez vous référer à la documentation de CAS pour votre version, mais cette page peut etre un bon point de départ, notamment les directives generateRefreshToken et renewRefreshToken.

  • No labels