Documentation sur les intégrations

Inscription d'une application OAuth2.0 pour l'authentification serveur-serveur

Brightspace prend en charge l'authentification d'API serveur-serveur au moyen des identifiants du client OAuth 2.0 fournis avec l'assertion client (clé privée JWT). Ce modèle permet aux intégrations de confiance d'appeler les API Brightspace sans nécessiter une interaction de l'utilisateur tout en protégeant les données sensibles du SGA.

Pour utiliser cette fonction, vous devez d'abord créer un utilisateur de services dédié pour l'intégration, puis inscrire une application OAuth 2.0 qui utilise cet utilisateur de services pour accéder aux jetons d'accès.

Important : L'authentification serveur-serveur est uniquement offerte dans les applications OAuth 2.0 associées à un utilisateur de services. Vous devez utiliser un utilisateur de services non humain dédié disposant des privilèges d'accès minimal pour chaque intégration. Pour en savoir plus sur la création d'utilisateurs de services, consultez la rubrique Gestion des utilisateurs de services.

Pour en savoir plus sur la configuration de l'authentification OAuth 2.0 pour les développeurs, consultez la rubrique Configuration de l'authentification OAuth 2.0 dans la documentation du développeur de Brightspace.

Autorisations requises

Pour inscrire une application OAuth 2.0 pour l'authentification serveur-serveur, votre rôle doit disposer des autorisations suivantes :

Utilisateurs de services > Voir l'outil Utilisateur de services
Gérer l'extensibilité > Peut gérer les applications API

Accès à la liste des applications OAuth 2.0

Les administrateurs gèrent les applications OAuth 2.0 à la page Gérer l'extensibilité.

Marche à suivre pour accéder à la liste des applications OAuth 2.0 :

Accédez à Outils d'administration > Gérer l'extensibilité.
Ouvrez l'onglet OAuth 2.0 pour afficher la liste des applications inscrites.

La page énumère les applications OAuth 2.0 existantes et leurs types d'autorisation.

Inscription d'une application OAuth 2.0 serveur-serveur

Marche à suivre pour inscrire une nouvelle application OAuth 2.0 qui utilise les identifiants du client fournis avec l'assertion client à l'aide d'un JWT signé :

Dans l'onglet OAuth 2.0, cliquez sur Inscrire une application. La page Inscrire une application s'ouvre.
Sous Type d'autorisation, sélectionnez Identifiants du client.
Dans Nom de l'application , entrez un nom clair qui identifie l'intégration. Par exemple, Client de l'API serveur-serveur ou le nom du service fournisseur.
Dans le champ URL JWKS, entrez l'URL HTTPS qui héberge l'ensemble de clés Web JSON (JWKS) pour votre serveur d'autorisation. Brightspace utilise cette URL pour récupérer les clés publiques afin de vérifier les assertions client signées.
Dans Portée, entrez les portées que l'application est autorisée à demander. Les portées doivent utiliser le format groupe:ressource:autorisations. Séparez les différentes portées avec des espaces. La portion de groupe ne peut pas être une valeur de remplacement.
Dans le champ Durée de vie du jeton d'accès (secondes), entrez le nombre de secondes pendant lesquelles chaque jeton d'accès doit demeurer valide. Le minimum est 1 800 secondes (30 minutes) et le maximum est 72 000 secondes (20 heures).
Sous Utilisateur de services, cliquez sur Ajouter un utilisateur de services et procédez comme suit :
1. Dans la boîte de dialogue Ajouter un utilisateur de services, recherchez l'utilisateur de services que vous avez créé pour cette intégration.
2. Sélectionnez-le, puis cliquez sur Ajouter.
Passez en revue ou entrez une description qui explique le but de l'application et le système qu'elle représente.
Cochez J'accepte le contrat de développeur d'API.
Cliquez sur Inscrire.

L'application OAuth 2.0 s'affiche dans la liste des applications avec le type d'autorisation des identifiants du client. Dans cette liste, vous pouvez confirmer que l'application est inscrite et vous pourrez la supprimer plus tard, si nécessaire.

Remarque : L'inscription dans Brightspace ne complète que le côté plateforme de la configuration. Les développeurs doivent également configurer leur serveur d'autorisation pour émettre des assertions client signées associées à l'application inscrite et à son URL JWKS.

Prochaines étapes pour les développeurs

Une fois l'application OAuth 2.0 inscrite, les développeurs peuvent commencer à l'utiliser pour l'authentification d'API serveur-serveur.

Configurez le serveur d'autorisation externe pour signer un jeton Web JSON (JWT) avec la clé privée qui correspond à la clé publique dans l'URL JWKS.
Mettez en œuvre le flux d'identifiants du client OAuth 2.0 avec la clé privée JWT pour échanger le JWT signé contre un jeton d'accès de Brightspace.
Appelez les API Brightspace à l'aide du jeton d'accès dans l'en-tête Authorization: Bearer.

Important : Les autorisations disponibles pour les appels API sont déterminées par le rôle et les autorisations octroyées à l'utilisateur de services associé à l'application OAuth 2.0. Suivez les pratiques de privilèges d'accès minimal et n'accordez que les autorisations requises pour que l'intégration fonctionne.