Gérer l'accès à l'API et les paramètres d'authentification
Cette section présente les méthodes d'authentification suivantes qui peuvent être utilisées :
Pour utiliser ces paramètres d'authentification, il faut que l'une des fonctions de compte suivantes soit activée :
-
Intégration - Clé API
-
Intégration - Jeton API
Si ces fonctionnalités n'ont pas été activées pour vous, contactez notre équipe de soutien.
Paramètres d'authentification
La page Accès à l'authentification vous permet de définir la méthode d'authentification à utiliser lors des appels API REST pour se connecter à OneSpan Sign.
Pour choisir votre méthode d'authentification :
-
Sélectionnez votre méthode d'authentification préférée.
-
Clé API et/ou informations d'identification de l'application client
-
Identifiants client OAuth 2.0
-
-
Cliquez sur Enregistrer.
-
À partir du volet de gauche, accédez à la page de configuration de la méthode d'authentification que vous avez sélectionnée.
-
Les sections suivantes vous permettent de poursuivre la configuration de la méthode d'authentification. Vous pouvez également utiliser ces pages pour mettre à jour ou supprimer une méthode d'authentification existante.
La méthode d'authentification utilisée lors des appels API est déterminée par la méthode d'authentification que vous sélectionnez. Cela signifie que si l'option Identifiants client OAuth 2.0 est sélectionnée, vous ne serez pas autorisé à effectuer des appels API via la clé ou le jeton API, et vice versa.
Clé API et application client
Pour plus d'informations sur la façon d'utiliser les jetons API, voir notre article de blog à ce sujet.
Pour accéder à la page Clé API et application client :
- Cliquez sur Admin > Accès à l'API.
- Dans la page Paramètres d'authentification, utilisez le volet de gauche pour sélectionner Clé API et application client.
Clés API
Bien que les clés API puissent être utilisées avec OneSpan Sign, nous vous recommandons d'utiliser plutôt une application client. Les applications clients sont plus flexibles et contribuent à réduire le nombre de failles de sécurité potentielles.
Par rapport aux clés AP, I'application client présente les avantages suivants :
-
Avec les applications client, l'accès peut être créé, renouvelé ou révoqué selon les besoins. Les clés API sont fixes, et donc si vous voulez faire des changements d'accès, vous devrez communiquer avec notre équipe de soutien.
-
Plusieurs applications client peuvent être utilisées si vous avez configuré plusieurs intégrations. Cela permet de limiter la portée de toute attaque frauduleuse sur votre système. À l'inverse, une seule clé API est fournie pour toutes les intégrations.
-
Les applications clientes utilisent des jetons temporaires pour permettre l'accès à l'API, qui ne sont disponibles que pour une brève période de temps. Les clés API n'expirent pas et, par conséquent, toute violation vous obligera à communiquer avec notre équipe de soutien.
La clé API peut ne pas être visible, en fonction de votre environnement et des privilèges de votre compte. Seul le propriétaire d'un compte peut consulter une clé API.
Pour afficher votre clé API
- Dans la section Clé API de la page Clé API et application client, cliquez sur l'icône Afficher.
Par défaut, votre clé API est masquée.
Application client
Avant que les intégrateurs puissent faire des demandes via les API REST ou les fonctions SDK, OneSpan Sign exige que les utilisateurs enregistrent une application client ou fournissent une clé API sécurisée pour authentifier les appels API. OneSpan vous recommande d'utiliser une application client.
Pour enregistrer une application client
Vous pouvez authentifier les appels d'API REST à partir du système d'un utilisateur en fournissant à ce dernier un jeton d'API sécurisé mais de courte durée (par exemple, 30 minutes) qui peut être utilisé pour l'authentification. Cette fonctionnalité est appelée Applications clients. Pour l'activer, vous devez communiquer avec notre équipe de soutien. Une fois cette fonctionnalité activée, les intégrateurs tiers pourront se connecter à l'API OneSpan Sign en utilisant ces jetons d'API.
Cette fonction n'est pas prise en charge pour les OneSpan Sign les connecteurs.
Pour créer une application client
- Cliquez sur Admin > Accès à l'API.
- Dans la page Paramètres d'authentification, utilisez le volet de gauche pour sélectionner Clé API et application client.
- Cliquez sur Ajouter. Une barre latérale Créer une application client apparaît.
- Saisissez un nom pour l'application client.
- Cliquez sur Créer.
- Copiez l'ID client et les codes secrets qui apparaissent
- Conservez l'ID client et les codes secrets dans un endroit sûr.
- Cliquez sur Terminé.
Le secret n'apparaîtra plus une fois que vous aurez cliqué sur Terminé. Pour vos dossiers, veuillez copier ce secret dans un endroit sûr. L'ID et le secret du client sont utilisés pour récupérer le jeton temporaire de l'API.
Prévention des pertes de données (PPD)
Les applications client peuvent être configurées pour fonctionner avec un logiciel de prévention des pertes de données (PPD). Si vous utilisez un logiciel PPD dans votre environnement et que vous souhaitez configurer votre logiciel pour surveiller l'ID et le secret du client, communiquez avec notre équipe de soutien.
OAuth 2.0
OAuth 2.0 est le protocole standard de l'industrie pour l'autorisation en ligne. OneSpan Sign prend désormais en charge le protocole OAuth 2.0 en se concentrant sur l'accès consenti, via les identifiants du client de type Grant (uniquement).
Les fonctionnalités OAuth 2.0 Scope, qui permettent de restreindre les actions qu'une application client peut effectuer sur les ressources au nom de l'utilisateur, seront disponibles dans une prochaine version.
Bien qu'il soit possible de définir des secrets et des clients OAuth 2.0 à tout moment, ceux-ci ne seront pas disponibles tant que vous n'aurez pas sélectionné Identifiants client OAuth 2.0 à la page Accès à l'authentification .
Les jetons OAuth 2.0 expirent par défaut au bout de cinq minutes.
Pour ajouter ou configurer l'authentification OAuth 2.0 :
- Cliquez sur Admin > Accès à l'API.
- Dans la page Paramètres d'authentification, sélectionnez OAuth 2.0 dans le volet de gauche.
- Copiez l'URL du serveur d'authentification qui s'affiche. Vous en aurez besoin pour vos paramètres d'intégration. L'URL du serveur d'authentification est visible en permanence.
L'URL du serveur d'autorisation est fournie par OneSpan Sign et ne peut pas être modifiée.
- Cliquez sur Ajouter. La boîte de dialogue Créer client OAuth 2.0 s'affiche.
- Saisissez un Nom pour le client OAuth 2.0.
- Cliquez sur Créer.
- Copiez le code secret du client qui apparaît.
- Conservez le code secret du client à un endroit sûr.
- Fermez la boîte de dialogue.
Dès vous aurez cliqué sur Terminé, le code secret du client n'apparaîtra plus. Pour vos dossiers, copiez ce code secret du client à un endroit sûr. Si vous perdez ce code secret du client, vous devrez en régénérer un nouveau. Pour ce faire, sélectionnez votre client OAuth 2.0 et cliquez sur Obtenir de nouveaux identifiants dans le menu d'actions situé à droite du client.
Cas d'utilisation d'OAuth 2.0
Lorsque vous utilisez OAuth 2.0, notez ce qui suit :
- Lorsque l'option Rôles et autorisations est désactivée pour un compte, la page Accès à l'API n'est visible que par le titulaire du compte.
- Lorsque l'option Rôles et autorisations est activée pour un compte, la page Accès à l'API est visible par tout utilisateur ayant un rôle pour lequel l'autorisation Accès à l'API est activée.