La Control Room Automation 360 peut agir en tant que serveur d\'autorisation OAuth 2.0 et OpenID Connect (OIDC) pour les déploiements Cloud, permettant aux administrateurs d\'enregistrer jusqu\'à 25 clients OAuth externes par Control Room, et de gérer leur cycle de vie ainsi que leurs autorisations d\'accès.

Après l\'enregistrement, ces clients peuvent obtenir des jetons auprès du serveur d\'autorisation AAI en utilisant les flux OAuth 2.0 et OIDC standard, et utiliser ces jetons pour accéder en toute sécurité aux ressources Automation 360. La Control Room prend en charge les types de flux Authorization Code, Authorization Code avec PKCE et Refresh Token pour l\'émission et le renouvellement de ces jetons. Cette fonctionnalité permet des intégrations entrantes, basées sur des standards, avec des systèmes tiers et des applications internes, y compris des clients MCP et d\'autres clients compatibles OAuth.

Le serveur d\'autorisation AAI émet des jetons OAuth avec les attributs suivants :

  • Format de jeton - Indique si les jetons émis sont des JSON Web Tokens (JWT).
  • Durée de validité du jeton d\'accès - Indique combien de temps un jeton d\'accès reste valide avant d\'expirer.
  • Durée de vie du jeton d\'actualisation - Indique pendant combien de temps un jeton d\'actualisation peut être utilisé pour obtenir de nouveaux jetons d\'accès.
  • Point de terminaison JWKS - Le point de terminaison qui expose le JSON Web Key Set (JWKS), contenant les clés publiques utilisées pour vérifier les signatures JWT.

Ces paramètres déterminent la durée de validité des jetons émis et la manière dont les systèmes externes peuvent valider ou révoquer les jetons lors de l\'intégration avec Automation 360.

Remarque : Pour configurer la Control Room en tant que client OAuth pour les connexions sortantes vers des services externes, voir Configurer les connexions OAuth dans la Control Room.

Prérequis

Assurez-vous que votre rôle utilisateur inclut l\'une des autorisations Control Room suivantes :
  • Vue d\'enregistrement d\'application – Pour afficher les clients OAuth existants.
  • Gestion de l\'enregistrement des applications – Pour créer, mettre à jour et supprimer des clients OAuth.

Procédure

  1. Connectez-vous à la Control Room Automation 360.
  2. Dans la navigation de gauche, sélectionnez Gérer.
  3. Accédez à Clients OAuth. Vous y trouverez tous les clients OAuth existants enregistrés dans la Control Room, le cas échéant.Afficher les clients OAuth
  4. Cliquez sur Créer un client pour enregistrer un nouveau client OAuth.Créer de nouveaux clients OAuth
  5. Saisissez un Nom d\'application unique pour identifier le client OAuth.
  6. Sélectionnez un Type d\'application dans la liste déroulante.
    • Web classique - Utilisez ce Type d\'application lorsque vous prévoyez d\'utiliser un secret client. Il est généralement utilisé lorsque votre client se trouve sur un serveur web sécurisé capable de protéger le secret.
    • Application monopage - Utilisez ce Type d\'application lorsque vous souhaitez utiliser PKCE et ne pas transmettre de secret client. Il est généralement utilisé lorsque votre client se trouve dans un environnement non protégé qui ne peut pas garantir la protection du secret.
  7. Facultatif: Saisissez une Description pour le client OAuth.
  8. Saisissez un ou plusieurs URI de redirection pour valider le client et cliquez sur Ajouter. Séparez chaque URI de redirection par une virgule. Actuellement, vous pouvez ajouter jusqu\'à 10 URI de redirection.
    Remarque : Lorsque vous enregistrez la configuration du client OAuth, le système vérifie que toutes les URI de redirection utilisent HTTPS. Après validations, les métadonnées client sont générées.
  9. Cliquez sur Créer le client.

    Le client nouvellement créé sera affiché sur la page Clients OAuth. Cliquez sur le Nom de l\'application créé pour afficher les détails du client OAuth, composés de métadonnées client générées automatiquement. Voir Afficher et gérer les clients OAuth.

    Toutes les valeurs générées peuvent être copiées individuellement. Partagez l\'ID client, le Secret client et les URL de point de terminaison avec le propriétaire de l\'application externe afin qu\'il puisse les configurer dans son application cliente OAuth.

    Remarque :
    • Traitez le Secret client comme un mot de passe. Il ne doit être partagé qu\'avec des administrateurs de confiance de l\'application externe et conservé dans un emplacement sécurisé, tel qu\'un gestionnaire de secrets.
    • Les utilisateurs autorisés peuvent afficher le Secret client depuis la page Clients OAuth à tout moment.