OIDC

Contexte : Gèrer l'accès à une ressource web ( API ou Site )

Plusieurs scénarios :

• Authentification utilisateur, un usager cherche à accéder à une ressource web,
• Authentification intra-applicative, un site front appel une api par exemple.

https://learn.microsoft.com/fr-fr/entra/identity-platform/v2-protocols-oidc

Scénario 1

• Authentification Utilisateur : primitive /oauth2/v2.0/authorize.

L'utilisateur va ouvrir la ressource demandée. (le site web le plus souvent).

Le site web vérifie si l'utilisateur n'a pas un cookie d'authentification.

Si l'utilisateur a un cookie et que ce cookie et encore valide alors

l'utilisateur accède à la ressource.

fin si

Si l'utilisateur n'a pas encore de jeton ou son jeton est trop vieux alors

Redirection vers entra id avec client_id , client_secret  + retour url.

L'utilisateur devra s'authentifier sur entra id , cela permet de générer un token.

Alors seulement il pourra revenir sur l'application avec ce token.

L'application valide le token et crée le cookie.

Elle donne alors accès à son contenue.

fin si

Le dialogue entre l'app web et entra id utilise le client_id et le client_secret.

Scénario 2

• Authentification intra-applicative : primitive /oauth2/v2.0/token

L'application client crée une requête POST HTTPS avec cient_id , client_secret vers l'annuaire.

Il reçoit un access token dans la réponse JSON.

Puis, il peut faire une requête GET sur la ressource WEB en passant comme auhentification bearer + access token.