Accueil > OpenID Connect OAuth Serveur dédié > Entrée des informations de profil

Entrée des informations de profil

Cet article traite des interfaces qui permettent aux utilisateurs finaux d’enregistrer leurs données de profil sur OAuth Server by DnC ou de les modifier.

UI de profil standard

OAuth Server by DnC propose un formulaire dont les champs de saisie correspondent exactement aux couples scope-claims définis dans cet article : Réponse UserInfo.

Le formulaire editer_user comporte l’ensemble des champs définis par la spécification standard d’OpenID Connect, c’est à dire qu’il répond aux scopes profile + email + adress + phone.
Ce formulaire n’est pas très pertinent pour un usage courant et ne devrait être utile qu’en tant qu’outil d’administration.

Les informations fournies par une ressource protégée en réponse à la requête d’une application sont plus ou moins complètes, selon le paramètre scope fourni dans la requête. Il apparait donc logique de définir les UI de saisie des informations selon les scopes définis pour une application donnée. Le formulaire editer_user_ext présente les champs de la spécification selon la valeur des scopes définis pour cette application.

UI de profils étendus

De même qu’OAuth Server by DnC propose des données de profil étendues afin de répondre à différentes applications, il existe des formulaires correspondant à ces profils, présentant des champs particuliers en fonction de scopes particuliers.

Utilisation du champ email comme identifiant de connexion

OAuth Server by DnC utilise l’E-mail comme identifiant de connexion (login) dans la procédure d’authentification, concurremment avec un mot de passe.

Il y a plusieurs raisons à cela :
- l’E-mail est un identifiant universellement unique, contrairement à un login ;
- il y a peu de chance que l’utilisateur final oublie son E-mail, ce qui permet d’assurer la récupération du mot de passe en cas de perte de celui-ci. ;
- on peut accorder une certaine confiance en tant qu’identificateur à un E-mail, à condition toutefois qu’il soit enregistré à titre payant chez un fournisseur d’accès connu.

Le champ email est donc toujours présenté dans les formulaires de profil de OAuth Server by DnC, même en l’absence du scope email.

Notons que, par principe de la délégation d’authentification réalisée par OAuth, l’E-mail ne circule pas sur les réseaux, de même que le mot de passe ou tout autre élément du profil.

username

Selon les imlémentations, le login peut être un nom d’utilisateur "principal et canonique" (username, canonical principal name of the Subject). Dans certains cas, l’utilisateur peut remplacer l’e-mail par un tel nom.

A propos du mot de passe

OAuth Server by DnC requiert des mots de passe composés de 9 chiffres exactement. La saisie du mot de passe est réalisée au moyen de clics de souris dans une grille aléatoire (GhostKeys). Ainsi, le mot de passe ne peut être intercepté par un malware et ne circule jamais sur les réseaux.

Formulaire d'identification avec GhostKeys

De plus, cette technique permet :
- de s’assurer de façon certaine que l’on n’a pas affaire à un robot,
- de rendre sans effet l’enregistrement du login et du mot de passe sur le poste de travail.