L’API Brightspace fournit aux développeurs deux approches d’authentification : OAuth 2.0 et notre propre id key auth propriétaire. Ce guide d’authentification se concentre sur OAuth 2.0. Veuillez noter que nous vous encourageons à utiliser la norme OAuth 2.0, car c’est là que nous, chez D2L, investissons.
Indépendamment de l’approche d’authentification, les meilleures pratiques de sécurité décrites ici s’appliquent.
Sécurité de l’application
Les applications API fournissent un moyen très puissant d’accéder à Brightspace. La combinaison des informations d’une application API et d’un compte d’utilisateur Brightspace permet d’accéder à l’API Brightspace. Il est donc important de garder les informations de l’application API accessibles à un nombre minimal de personnes. Plus important encore, gardez ces éléments d’information sécurisés :
- OAuth 2.0 - Client Secret
- authentification par clé Id - Clé d’application
Contexte utilisateur Brightspace
Chaque utilisateur de Brightspace est inscrit dans des unités d’organisation Brightspace avec un rôle spécifique. Les autorisations de ce rôle déterminent ce que l’utilisateur peut et ne peut pas faire dans l’interface utilisateur de Brightspace et avec l’API Brightspace.
Portées OAuth 2.0
OAuth 2.0 offre un niveau de contrôle supplémentaire sur l’accès à Brightspace via notre API. Avec OAuth 2.0, les autorisations Brightspace de l’utilisateur s’appliquent toujours, mais l’application OAuth 2.0 utilisée doit aussi ont des étendues suffisantes pour effectuer des appels d’API. Un liste des portées OAuth 2.0 disponibles est disponible dans notre documentation de l'API Brightspace.
core:*:*
Tous les itinéraires API n’ont pas une portée OAuth 2.0 définie. Ces itinéraires utilisent une portée spéciale nommée « core:*:* ». Nous prévoyons d’ajouter des portées OAuth 2.0 plus spécifiques au fil du temps. Ce faisant, nous continuerons d’appuyer la portée « core:*:* » pour ces itinéraires. Toutefois, il est fortement recommandé que les applications mettent à jour leur définition de portée pour s’aligner sur les valeurs de portée les plus spécifiques disponibles.
Ressources
Documentation
API Brightspace et contexte utilisateur
Tableau des portées OAuth 2.0
Prise en main des portées OAuth 2.0 - FAQ
Communauté
authentification par clé Id - FAQ sur l’authentification de l’utilisateur et meilleures pratiques