Gestion des paramètres d’accès et d’authentification de l’API

Cette section décrit les méthodes d’authentification suivantes qui peuvent être utilisées :

• Paramètres d’authentification

• Clé API et applications clientes

• OAuth 2.0

Pour utiliser ces paramètres d’authentification, l’une des fonctionnalités de compte suivantes doit être activée :

• Intégration - Clé API

• Intégration - Jeton API

Si ces fonctionnalités n’ont pas été activées pour vous, contactez notre équipe d’assistance.

Paramètres d’authentification

La page Accès à l’authentification vous permet de définir la méthode d’authentification à utiliser lors de l’utilisation d’appels d’API REST pour vous connecter à OneSpan Sign.

Pour choisir votre méthode d’authentification :

1. Sélectionnez votre méthode d’authentification préférée.

   • CLÉ API et/ou informations d’identification de l’application cliente

   • Informations d’identification du client OAuth 2.0

2. Cliquez sur Enregistrer.

3. À l’aide du panneau de gauche, accédez à la page de configuration de la méthode d’authentification que vous avez sélectionnée.

4. Utilisez les sections suivantes pour poursuivre la configuration de votre méthode d’authentification. Vous pouvez également utiliser ces pages pour mettre à jour ou supprimer une méthode d’authentification existante.

La méthode d’authentification utilisée lors des appels d’API est déterminée par la méthode d’authentification que vous sélectionnez. Cela signifie que si l’option Informations d’identification du client OAuth 2.0 est sélectionnée, vous ne serez pas autorisé à effectuer des appels d’API à l’aide de la clé API ou du jeton d’API, et vice versa.

Clé API et applications clientes

Pour plus d’informations sur l’utilisation des jetons d’API, consultez notre article de blog sur ce sujet.

Pour accéder à la page Clé API et applications clientes :

1. Cliquez sur Admin > Accès à l’API.

2. Dans la page Paramètres d’authentification, utilisez le panneau de gauche pour sélectionner Clé API et Applications clientes.

Clés API

Bien que les clés API puissent être utilisées avec OneSpan Sign, nous vous recommandons d’utiliser Client Apps à la place. Les applications clientes sont plus flexibles et permettent de réduire le nombre de vulnérabilités de sécurité potentielles.

Les applications clientes offrent les avantages suivants par rapport aux clés API :

• Avec les applications clientes, l’accès peut être créé, pivoté ou révoqué selon les besoins. Les clés API sont fixes, et donc si vous souhaitez apporter des modifications d’accès, vous devrez contacter notre équipe d’assistance.

• Plusieurs applications clientes peuvent être utilisées si vous avez configuré plusieurs intégrations. Cela permet de limiter la portée de toute attaque frauduleuse sur votre système. À l’inverse, une seule clé API est fournie pour toutes les intégrations.

• Les applications clientes utilisent des jetons temporaires pour autoriser l’accès à l’API, qui ne sont disponibles que pendant une courte période. Les clés API n’expirent pas, et toute violation vous obligera donc à contacter notre équipe d’assistance.

La clé API peut ne pas être visible, en fonction de votre environnement et des privilèges de votre compte. Seul le propriétaire d’un compte peut afficher une clé API.

Pour afficher votre clé API

• Dans la section Clé API de la page Clé API et applications clientes, cliquez sur l’icône Afficher .

Par défaut, votre clé API est masquée.

Applications clientes

Avant que les intégrateurs puissent effectuer des requêtes via les API REST ou les fonctions SDK, OneSpan Sign exige que les utilisateurs enregistrent une application cliente ou fournissent une clé API sécurisée pour authentifier les appels d’API. OneSpan vous recommande d’utiliser des applications clientes.

Pour enregistrer une application cliente

Vous pouvez authentifier les appels d’API REST à partir du système d’un utilisateur en lui fournissant un jeton d’API sécurisé mais de courte durée (par exemple, 30 minutes) qui peut être utilisé pour l’authentification. Cette fonctionnalité est appelée Applications clientes. Pour l’activer, vous devez contacter notre équipe d’assistance. Une fois cette fonctionnalité activée, les intégrateurs tiers pourront se connecter à l’API OneSpan Sign à l’aide de ces jetons d’API.

Cette fonctionnalité n’est pas prise en charge pour les connecteurs OneSpan Sign .

Pour créer une application cliente

1. Cliquez sur Admin > Accès à l’API.

2. Dans la page Paramètres d’authentification, utilisez le panneau de gauche pour sélectionner Clé API et Applications clientes.

3. Cliquez sur Ajouter. Une barre latérale Créer une application cliente s’affiche .

4. Entrez un nom pour l’application cliente.

5. Cliquez sur Créer.

6. Copiez l’ID client et les codes secrets qui s’affichent.

7. Stockez l’ID client et les codes secrets dans un emplacement sécurisé.

8. Cliquez sur OK.

Le secret n’apparaîtra plus une fois que vous aurez cliqué sur Terminé. Pour vos dossiers. veuillez copier ce secret dans un emplacement sécurisé. L’ID client et la clé secrète sont utilisés pour récupérer le jeton d’API temporaire.

Prévention des pertes de données (DLP)

Les applications clientes peuvent être configurées pour fonctionner avec un logiciel de protection contre la perte de données (DLP). Si vous utilisez un logiciel DLP dans votre environnement et que vous souhaitez configurer votre logiciel pour surveiller l’ID client et la clé secrète client, contactez notre équipe d’assistance.

OAuth 2.0

OAuth 2.0 s’agit du protocole standard de l’industrie pour l’autorisation en ligne. OneSpan Sign prend désormais en charge le protocole OAuth 2.0 axé sur l’accès consenti, en utilisant les informations d’identification du client de type Grant (uniquement).

Les fonctionnalités d’étendue OAuth 2.0, qui vous permettent de restreindre les actions qu’une application cliente peut effectuer sur les ressources pour le compte de l’utilisateur, seront disponibles dans une version ultérieure.

Bien qu’il soit possible de définir des clients et des secrets OAuth 2.0 à tout moment, ceux-ci ne seront pas disponibles tant que vous n’aurez pas sélectionné Informations d’identification du client OAuth 2.0 sur la page Accès à l’authentification .

Par défaut, les jetons OAuth 2.0 expirent au bout de cinq minutes.

Pour ajouter ou configurer l’authentification OAuth 2.0 :

1. Cliquez sur Admin > Accès à l’API.

2. Dans la page Paramètres d’authentification , utilisez le panneau de gauche pour sélectionner OAuth 2.0.

3. Copiez l’URL du serveur d’authentification qui s’affiche. Cela sera nécessaire pour vos paramètres d’intégration. L’URL du serveur d’authentification est visible à tout moment.

   Cliquez sur Ajouter. Une boîte de dialogue Créer un client OAuth 2.0 s’affiche.

4. Entrez un nom pour le client OAuth 2.0.

5. Cliquez sur Créer.

6. Copiez les codes de clé client qui s’affichent.

7. Stockez les codes de clé secrète client dans un emplacement sécurisé.

8. Fermez la boîte de dialogue.

Pour des raisons de sécurité, les informations d’identification ne peuvent être envoyées que sur l’en-tête HTTP.

La clé secrète client n’apparaîtra plus une fois que vous aurez fermé cette boîte de dialogue. Pour vos dossiers. veuillez copier cette clé secrète client dans un emplacement sécurisé. Si vous perdez ce secret client, vous devrez en régénérer un nouveau. Pour ce faire, sélectionnez votre client OAuth 2.0 et cliquez sur Obtenir de nouvelles informations d’identification dans le menu d’actions situé à droite du client.

Cas d’utilisation d’OAuth 2.0

Lorsque vous utilisez OAuth 2.0, notez ce qui suit :

• Lorsque Roles and Permissions est désactivé sur un compte, la page d’accès à l’API n’est visible que par le propriétaire du compte.

• Lorsque Roles and Permissions est activé sur un compte, la page Accès à l’API est visible par tout utilisateur ayant un rôle avec l’autorisation Accès à l’API activée.