Gestion des paramètres d’accès et d’authentification à l’API

  • Mis à jour le Apr 27, 2026
  • Publié le Nov 18, 2024
  • 6 Minute(s) lue(s)
Prev Next

OneSpan Sign fournit une référence API interactive qui vous permet d’essayer différents appels API. Pour utiliser cette fonctionnalité, vous devez activer l’une des méthodes d’authentification suivantes :

  • Clé API : Authentification traditionnelle basée sur la clé API

  • API Token : token spécifique à OneSpan de type OAuth2

  • OAuth 2.0 - Identifiants clients : OAuth 2.0 basé sur des standards utilisant la concession de crédibilité client

Si ces fonctionnalités n’ont pas été activées pour vous, contactez notre équipe de support.

Une fonction optionnelle de jeton d’authentification de l’expéditeur est également disponible. Auparavant, lorsque vous demandiez un jeton d’authentification de l’expéditeur, vous deviez spécifier un identifiant de transaction. Le jeton d’authentification de l’expéditeur alors généré pouvait être utilisé pour accéder à cette transaction spécifique ou à toute autre transaction disponible pour l’expéditeur. En utilisant un jeton d’authentification de l’expéditeur, vous pouvez également restreindre les droits d’accès de l’expéditeur uniquement à la transaction utilisée pour la générer. Pour activer cette fonctionnalité, contactez notre Support Team.

Paramètres d’authentification

La page Accès à l’Authentification vous permet de définir la méthode d’authentification à utiliser lors des appels API REST pour se connecter à OneSpan Sign.

Pour choisir votre méthode d’authentification :

  1. Cliquez sur Admin > Accès API.

  2. Sélectionnez votre méthode d’authentification préférée.

    • Identifiants clients OAuth 2.0

    • API KEY

    • Identifiants de l’application client

  3. Cliquez sur Enregistrer.

  4. À l’aide du panneau de gauche, naviguez vers la page de configuration pour la méthode d’authentification que vous avez sélectionnée.

  5. Utilisez les sections suivantes pour continuer à configurer votre méthode d’authentification. Vous pouvez également utiliser ces pages pour mettre à jour ou supprimer une méthode d’authentification existante.

La méthode d’authentification utilisée lors des appels API est déterminée par la méthode d’authentification que vous sélectionnez.

OAuth 2.0

OAuth 2.0 est le protocole standard de l’industrie pour l’autorisation en ligne et est recommandé par OneSpan. OneSpan Sign prend désormais en charge le protocole OAuth 2.0 axé sur l’accès consenti, en utilisant uniquement les identifiants clients de type Grant.

Les capacités OAuth 2.0 Scope, qui vous permettent de restreindre les actions qu’une application client peut effectuer sur les ressources au nom de l’utilisateur, seront disponibles dans une version future.

Pour plus d’informations, voir OAuth 2.0 Client Credentials Flow.

Bien qu’il soit possible de définir à tout moment des clients et secrets OAuth 2.0, ceux-ci ne seront disponibles que lorsque vous sélectionnez les identifiants clients OAuth 2.0 sur la page d’accès à l’authentification .

Les jetons OAuth 2.0 expirent par défaut après cinq minutes.

Pour ajouter ou configurer l’authentification OAuth 2.0 :

  1. Cliquez sur Admin > Accès API.

  2. Dans la page Paramètres d’authentification , utilisez le panneau de gauche pour sélectionner OAuth 2.0 Clients.

  3. Copiez l’URL du serveur d’authentification affichée. Cela sera nécessaire pour vos paramètres d’intégration. L’URL du serveur d’authentification est visible en permanence.

    Cliquez sur Créer. Une boîte de dialogue Créer un client OAuth 2.0 apparaît.

  4. Saisissez un nom pour le client OAuth 2.0.

  5. Cliquez sur Créer.

  6. Copiez les codes de secret client qui apparaissent. Stockez les codes secrets du client dans un lieu sécurisé.

    Assurez-vous de copier et de stocker en toute sécurité le secret client pour référence future, car ces informations ne seront plus affichées.

  7. Ferme le dialogue.

Pour des raisons de sécurité, les identifiants ne peuvent être envoyés que sur l’en-tête HTTP.

Le Secret du Client n’apparaîtra plus une fois que vous aurez fermé ce dialogue. Pour vos archives. veuillez copier ce Secret Client dans un lieu sécurisé. Si vous perdez ce Secret Client, vous devrez en régénérer un nouveau. Pour cela, sélectionnez votre client OAuth 2.0 et cliquez sur Obtenir de nouvelles identifiantes dans le menu actions à droite du client.

Pour plus d’informations, voir Comment sécuriser les appels API avec OAuth 2.0.

OAuth 2.0 avec rôles et permissions

Lors de l’utilisation d’OAuth 2.0, notez ce qui suit :

  • Lorsque les rôles et permissions sont désactivés sur un compte, la page d’accès à l’API ne sera visible que par le propriétaire du compte.

  • Lorsque les rôles et permissions sont activés sur un compte, la page d’accès à l’API sera visible pour tout utilisateur ayant un rôle quelconque avec l’autorisation d’accès à l’API activée.

Clés API

Pour plus d’informations sur l’utilisation des API Tokens, consultez notre article de blog sur ce sujet.

Bien que les clés API puissent être utilisées avec OneSpan Sign, nous vous recommandons d’utiliser OAuth 2.0 ou Applications Client à la place. OAuth 2.0 est le protocole standard de l’industrie pour l’autorisation en ligne et les applications Client sont plus flexibles et contribuent à réduire le nombre de vulnérabilités potentielles de sécurité.

Les applications clientes offrent les avantages suivants par rapport aux clés API :

  • Avec les applications client, l’accès peut être créé, tourné ou révoqué selon les besoins. Les clés API sont fixes, et si vous souhaitez effectuer des modifications d’accès, vous devrez contacter notre équipe de support.

  • Plusieurs applications clients peuvent être utilisées si vous avez plusieurs intégrations configurées. Cela permet de limiter la portée de toute attaque frauduleuse contre votre système. Inversement, une seule clé API est fournie pour toutes les intégrations.

  • Les applications clients utilisent des jetons temporaires pour permettre l’accès à l’API, qui ne sont disponibles que pour une courte période. Les clés API n’expirent pas, et toute violation vous obligera donc à contacter notre équipe de support.

La clé API peut ne pas être visible, selon votre environnement et les privilèges de votre compte. Seul un propriétaire de compte peut consulter une clé API.

Pour consulter votre clé API

  1. Cliquez sur Admin > Accès API.

  2. Dans la section clé API de la page Authentification , cliquez sur Voir la clé API.

Par défaut, votre clé API est masquée.

Applications clients

Avant que les intégrateurs puissent effectuer des requêtes via des API REST ou des fonctions SDK, OneSpan Sign exige que les utilisateurs enregistrent soit une application client, soit fournissent une clé API sécurisée pour authentifier les appels API. OneSpan recommande d’utiliser les applications clients.

Pour enregistrer une application client

Vous pouvez authentifier les appels API REST depuis le système de l’utilisateur en lui fournissant un jeton API sécurisé mais de courte durée (par exemple, 30 minutes) pouvant être utilisé pour l’authentification. Cette fonctionnalité s’appelle Applications Clients. Pour l’activer, vous devez contacter notre équipe de support. Une fois cette fonctionnalité activée, les intégrateurs tiers pourront se connecter à l’API OneSpan Sign en utilisant ces jetons API.

Cette fonctionnalité n’est pas prise en charge pour les connecteurs OneSpan Sign .

Créer une application client

  1. Cliquez sur Admin > Accès API.

  2. Dans la page Paramètres d’authentification, utilisez le panneau de gauche pour sélectionner Applications clientes.

  3. Cliquez sur Créer. Une barre latérale Créer une application client apparaît.

  4. Saisissez un nom pour l’application client.

  5. Cliquez sur Créer.

  6. Copiez l’identifiant client et les codes secrets qui apparaissent.

  7. Stockez l’identifiant client et les codes secrets dans un lieu sécurisé.

  8. Cliquez sur terminé.

Le Secret n’apparaîtra plus une fois que vous cliquerez sur Terminé. Pour vos archives. veuillez copier ce Secret dans un lieu sécurisé. L’ID du client et le secret sont tous deux utilisés pour récupérer le jeton API temporaire.

Demande d’un jeton d’accès

La paire ID client et Secret peut désormais être utilisée pour demander un jeton d’accès de courte durée, en utilisant l’appel suivant :

Requête HTTP

POST /apitoken/clientApp/accessToken

En-têtes HTTP

Accept: application/json
Content-Type: application/json

Charge utile de demande

{
  "clientId": "your_client_id",
  "secret": "your_client_secret",
  "type": "OWNER"
}

Les options disponibles Type sont Owner et Sender. Si Sender elle est saisie, un champ email est également nécessaire.

Prévention de la perte de données (DLP)

Les applications clients peuvent être configurées pour fonctionner avec un logiciel de prévention de la perte de données (DLP). Si vous utilisez un logiciel DLP dans votre environnement et souhaitez configurer votre logiciel pour surveiller l’identifiant client et le secret client, contactez notre équipe de support.