Documentation sur les intégrations

Utilisateurs de services et authentification serveur-serveur pour Brightspace

Cet article explique comment les intégrateurs et les administrateurs peuvent tirer parti des utilisateurs de services Brightspace et des identifiants du client OAuth 2.0 pour authentifier les intégrations sécurisées serveur-serveur, automatiser les flux de travail et gérer l’accès à l’API de machine à machine sans comptes humains.

Introduction

Dans l’ensemble de l’écosystème Brightspace, les développeurs et les administrateurs demandent un moyen plus simple et plus sécuritaire de prendre en charge les intégrations, les automatisations et les services en arrière-plan, sans avoir recours à des comptes humains ou à des jetons de longue durée. Aujourd’hui, nous sommes heureux de vous annoncer une avancée majeure pour répondre à ce besoin : les utilisateurs de services, un nouveau type d’identité non humaine spécialement conçue pour les charges de travail de communications machine à machine (M2M).

Les utilisateurs de services, associés à la nouvelle application OAuth 2.0 qui utilise les identifiants du client de Brightspace fournis avec les assertions client à l’aide de la clé privée JWT, offrent un modèle d’authentification moderne, basé sur des normes et des principes de droit d’accès minimal pour les intégrations automatisées. Ensemble, ils permettent un accès sécurisé aux API sans invite utilisateur, redirection du navigateur ou jetons d’actualisation.

Cette importante amélioration apportée à Brightspace ouvre la voie à des intégrations plus propres, plus sécuritaires et plus faciles à maintenir sur l’ensemble de la plateforme.

Que sont les utilisateurs de services?

Les utilisateurs de services sont des comptes d’utilisateur Brightspace spécialisés conçus pour les systèmes et intégrations automatisés. Contrairement aux comptes humains standard, ces comptes disposent des caractéristiques suivantes :

Authentification d’API non interactive
Respect strict des principes de droit d’accès minimal
Liaison à une seule application
Prise en charge d’autorisations à portée restreinte à l’aide des rôles Brightspace
Participation au modèle d’accès de l’organisation de manière prévisible

Vous pouvez les considérer comme des opérateurs de machines dans votre environnement Brightspace. Ces comptes agissent au nom d’une application plutôt que d’une personne et ne disposent que des autorisations que les administrateurs choisissent de leur accorder.

Pourquoi avons-nous créé des utilisateurs de services

Les établissements et les partenaires ont toujours demandé une solution de première classe pour :

Les tâches de synchronisation programmées du SIS ou de l’intergiciel
Les processus automatisés arrière-plan
La génération d’analyses côté serveur
L’actualisation du contenu et synchronisation du catalogue
Les passerelles de système à système à travers l’infrastructure institutionnelle

Ces scénarios ont été difficiles à prendre en charge à l’aide des flux OAuth délégués conçus pour les utilisateurs humains. Les utilisateurs de services fournissent un modèle d’identité approprié pour un accès automatisé qui est transparent, sécuritaire et adapté aux besoins des charges de travail non interactives.

Comment les utilisateurs de service s’intègrent à la sécurité Brightspace

L’outil des utilisateurs de services s’appuie directement sur le modèle de rôle d’utilisateur Brightspace et suit les mêmes principes d’autorisation de base que les administrateurs connaissent déjà.

Accès en cascade

Les utilisateurs de services peuvent être inscrits à n’importe quel niveau de la structure organisationnelle Brightspace. Ces inscriptions peuvent se répercuter en cascade à travers les unités organisationnelles, le cas échéant. Cela permet à l’intégration d’accéder exactement aux cours ou aux unités organisationnelles dont elle a besoin, sans accorder d’accès inutile. Les administrateurs peuvent gérer ces inscriptions et autorisations à l’aide des mêmes modèles qu’ils utilisent déjà pour les comptes humains.

Effacer la séparation de l’interface utilisateur

Pour garder l’administration propre et éviter de mélanger des identités automatisées avec de vraies personnes :

Les utilisateurs de services apparaissent dans un emplacement dédié dans l’outil Gérer l’extensibilité.
Ils sont exclus des listes de participants standard, des recherches d’utilisateurs, des exportations, des ensembles de données et des API non pertinentes.
Les options de configuration sont simplifiées pour se concentrer sur l’intégration et le contrôle d’accès.

Cette séparation assure que les identités de service automatisées demeurent faciles à gérer et clairement distinctes des utilisateurs humains.

Présentation des identifiants du client OAuth 2.0 fournis avec les assertions client à l’aide de la clé privée JWT

Pour prendre en charge les utilisateurs de services, Brightspace propose désormais un nouveau flux d’authentification robuste basé sur OAuth 2.0.

Obtention des identifiants du client

L’obtention des identifiants du client est conçue pour l’authentification machine à machine, lorsqu’une application s’authentifie en tant qu’elle-même.

Assertions client à l’aide de la clé privée JWT

Contrairement aux secrets client traditionnels, une assertion client est un jeton Web JSON signé et de courte durée créé à l’aide de la clé privée de l’application. Brightspace valide cette assertion à l’aide des clés publiques stockées dans un JWKS spécifié par l’administrateur lors de l’enregistrement de l’application.

Cette approche offre ce qui suit :

Aucun secret partagé à gérer
Protection contre les attaques par réinsertion
Jetons de courte durée non actualisables
Cryptographie asymétrique puissante
Harmonisation avec les meilleures pratiques OAuth 2.0 (RFC 7523, RFC 7519, RFC 6749)

Elle offre un équilibre entre la flexibilité pour les développeurs et la sécurité renforcée pour les administrateurs.

Comment les utilisateurs de services fonctionnent-ils avec les identifiants du client

Chaque application OAuth2.0 utilisant des identifiants du client doit être associée à un utilisateur de services. Lorsque l’application demande un jeton :

Elle envoie une assertion à l’aide de la clé privée JWT signée.
Brightspace valide la signature à l’aide du JWKS enregistré.
Brightspace émet un jeton d’accès de courte durée.
Tout appel API effectué à l’aide de ce jeton est réalisé avec les autorisations de l’utilisateur de services associé.

Illustration de ce qui se passe lorsque le client de l’API demande un jeton.

Enregistrement d’une application : un aperçu rapide

Pour enregistrer une application d’identifiants du client dans Brightspace, les administrateurs n’ont qu’à :

Créer un utilisateur de services
Attribuer des autorisations à portée restreinte
Enregistrer une application OAuth et préciser l’URL JWKS
Lier l’utilisateur de services à l’application
Tester et déployer

Ce flux de travail maintient une configuration légère et aide les établissements à préserver des limites de sécurité solides.

Enregistrer un écran d’application avec les identifiants du client sélectionnés.

Quand utiliser chaque flux OAuth

Mise en situation	Flux recommandé
Une personne se connecte et accorde l’accès	Code d’autorisation avec jetons d’actualisation
Un système dorsal nécessite un accès continu sans utilisateur présent	Identifiants du client et utilisateur de services
Tâches planifiées, pipelines de données, intergiciel, synchronisations en arrière-plan	Identifiants du client et utilisateur de services

Remarque : S’il n’y a aucune intervention humaine, l’application doit s’authentifier elle-même en tant qu’utilisateur de services.

Ce que cela signifie pour les développeurs et les administrateurs

Avec les utilisateurs de services et la nouvelle application OAuth2.0 qui utilise les identifiants du client, Brightspace offre maintenant désormais :

Une approche d’authentification moderne fondée sur les normes de l’industrie
Une sécurité renforcée sans secrets partagés
Une séparation claire entre comptes humains et comptes machine
Un contrôle précis des autorisations relatives à l’API
Une gestion simple du cycle de vie des intégrations
Une base évolutive pour de futures améliorations d’extensibilité

Ces capacités renforcent l’ensemble de l’expérience d’intégration Brightspace pour les établissements et les développeurs.

Ce qui vient ensuite

Nous continuerons d’enrichir la documentation, les exemples et les outils pour développeurs qui prennent en charge OAuth et les intégrations Brightspace. Cette mise à jour constitue une étape importante vers de futures améliorations dans la façon dont les administrateurs configurent et gèrent les intégrations.

Si vous créez ou tenez à jour des intégrations avec Brightspace, gardez un œil sur les notes de publication et les mises à jour à venir de notre documentation du développeur.