Un administrateur de la Control Room peut créer des connexions OAuth permettant aux utilisateurs d\'utiliser ces connexions dans l\'action d\'authentification pour les packages sans avoir à saisir de détails d\'authentification.

Remarque : La marque et le logo Salesforce, la marque et le logo Microsoft SharePoint, la marque et le logo Apigee, la marque et le logo ServiceNow, et la marque et le logo Genesys sont des marques commerciales ou des marques déposées de Salesforce, Inc., de Microsoft Corp., de Google LLC, de ServiceNow, Inc., et de Genesys, respectivement, qui ne sont utilisées qu\'à des fins d\'identification.

Prérequis

  • Assurez-vous que vous utilisez un rôle d\'utilisateur pour lequel l\'autorisation Gérer les connexions est activée pour la fonctionnalité OAuth Connections. Voir Autorisations de fonctionnalités attribuées à un rôle.
  • Si vous ajoutez plusieurs portées, veillez à les séparer à l\'aide de virgules.

    Exemple : api,refresh_token,offline_access

  • Assurez-vous d\'avoir configuré une application d\'entreprise et d\'avoir noté l\'ID du client, le secret du client, l\'URL d\'autorisation, l\'URL du jeton et la portée. Voir Configuration d\'applications d\'entreprise
    Remarque :
    • Tenez compte des conditions préalables ci-dessus pour éviter une erreur de connexion.
    • Lors de la configuration de OAuth, le champ Scope est facultatif. Consultez le fournisseur d\'identité (IDP) pour déterminer les portées requises.
    Tableau 1. Exemples
    Applications d\'entreprise URL d\'autorisation URL du jeton Portée
    Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
    Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token Non requis
    Google Workspace (Agenda, Drive, Sheets et Gmail) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
    • Google Sheets: https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/spreadsheets
    • Google Drive : https://www.googleapis.com/auth/drive
    • Google Agenda : https://www.googleapis.com/auth/calendar
    • Gmail : https://developers.google.com/identity/protocols/oauth2/scopes#gmail

      https://mail.google.com/,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/gmail.send
    Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token accès hors ligne écriture : jira-work, lecture : jira-user, gestion : jira-webhook, lecture : jira-work
    Microsoft Entra https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access,openid,https://graph.microsoft.com/.default
    Microsoft 365 Outlook https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token Flux de code d\'autorisation: offline_access,openid,https://graph.microsoft.com/.default
    Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api,refresh_token,offline_access
    Remarque : Si aucun périmètre n\'est spécifié dans la commande de connexion, la connexion utilisera par défaut le périmètre attribué à l\'utilisateur.
    ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do Non requis
    SharePoint https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token https://<domain-name>/AllSites.Manage,offline_access,openid
    Remarque : La portée OpenID n\'est requise que lorsque vos applications ont besoin de la revendication sub dans le jeton d\'identification pour identifier l\'utilisateur final. Dans le cas contraire, cette portée est Facultatif.
Remarque : Nous vous recommandons d\'utiliser des jetons d\'actualisation configurés pour une durée d\'expiration plus longue. Voir Utiliser l\'application AuthConfig pour activer les services OAuth2.

Procédure

  1. Dans la Control Room, accédez à Gestion > Connexions OAuth.
  2. Cliquez sur Créer une connexion.
  3. Dans l\'écran Paramètres de connexion qui s\'ouvre, sélectionnez un Type de fournisseur.
    Remarque : L\'URL de rappel est utilisée dans les paramètres de configuration de l\'application d\'entreprise pour se connecter à la Control Room.
  4. Saisissez un Nom de la connexion unique pour identifier la connexion.
  5. Facultatif : Saisissez une Description pour la connexion.
    Image illustrant la page des paramètres de connexion OAuth
  6. Cliquez sur Suivant.
    L\'écran Détails de l\'authentification s\'affiche.
  7. Sélectionnez un Type d\'autorisation. Reportez-vous aux rubriques OAuth flux de code d\'autorisation et Flux d\'informations d\'identification du client OAuth.
    Remarque : Si vous effectuez la configuration pour un compte Google Cloud Platform (GCP), sélectionnez Flux de code d\'autorisation car la connexion OAuth gérée par la Control Room utilisant le flux de code d\'autorisation avec PKCE n\'est actuellement pas prise en charge.
  8. Saisissez l\'ID Client fourni par le fournisseur pour votre compte.
  9. Saisissez le secret du client fourni par le fournisseur pour votre compte.
    Remarque :
    • Après avoir testé ou créé une connexion, le champ Client secret ne sera pas affiché dans l\'interface utilisateur, mais le service backend continuera d\'utiliser la valeur stockée. Il s\'agit d\'un comportement attendu.
    • Le champ Client secret est masqué pendant que vous saisissez la valeur, comme un champ de mot de passe. Cela renforce la sécurité en empêchant le secret d\'être visible en texte clair.
  10. Saisissez l\'URL d\'autorisation utilisée pour obtenir un code d\'autorisation pour votre compte.
    Remarque : Pour les comptes Apigee ou Google Cloud Platform (GCP), vous devez ajouter &access_type=offline à l\'URL d\'autorisation. Par exemple : https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline.
  11. Saisissez l\'URL du jeton utilisée pour échanger un code d\'autorisation contre un jeton d\'accès.
  12. Facultatif : Saisissez la Portée.

    Le délai d\'expiration du jeton peut être défini par le fournisseur d\'identité. Si le jeton expire, Bot utilise la portée Offline_access pour obtenir un nouveau jeton valide lorsqu\'il est déclenché, en fonction des détails du Control Room. Reportez-vous à la rubrique Configurer les connexions OAuth dans la Control Room.

    Image illustrant la page d\'informations sur l\'authentification OAuth
    Ces informations sont utilisées comme revendications (informations sur l\'utilisateur) dans un jeton d\'accès et transmises au serveur de ressources pour limiter l\'accès.
  13. Cliquez sur Suivant.
    L\'écran Tester la connexion et enregistrer les informations d\'identification s\'affiche.
  14. Facultatif : Sélectionnez l\'option Enregistrer les informations d\'identification de connexion.
    Remarque : Utilisez cette option uniquement si vous souhaitez générer un jeton partagé permettant aux utilisateurs d\'utiliser cette connexion sans authentification ni consentement de la part de l\'utilisateur. Lorsque vous sélectionnez cette option, vous devez sélectionner l\'option de jeton Partagé pour cette connexion. Reportez-vous à la rubrique .
  15. Facultatif : Cliquez sur Enregistrer les modifications et tester la connexion.
    Image illustrant la page de test de connexion à OAuth et d\'enregistrement des informations d\'identification
    Remarque : Après avoir cliqué sur l\'option Enregistrer les modifications et tester la connexion, le bouton Suivant est désactivé une fois la connexion établie. Cliquez sur le bouton Précédent, saisissez à nouveau le secret du client, puis cliquez sur Suivant. Il n\'est pas nécessaire de tester à nouveau la connexion, sauf si vous avez modifié les informations d\'authentification fournies précédemment.
  16. Cliquez sur Suivant.
    L\'écran Inviter des rôles s\'affiche.
  17. Sélectionnez les rôles que vous souhaitez inviter à utiliser cette connexion. Seuls les rôles invités peuvent utiliser le jeton dans un robot, qu\'il soit privé ou partagé.Image illustrant la page Inviter des rôles OAuth

    L\'action d\'invitation des rôles est obligatoire si un Bot utilise la connexion OAuth. Cette action est Facultatif si un service externe utilise la connexion OAuth.

    Remarque : Seuls les rôles personnalisés sont affichés dans la liste des Rôles disponibles.
  18. Cliquez sur Créer une connexion. Une connexion OAuth est créée.

La vidéo suivante explique la procédure de création d\'une connexion à OAuth.

Étapes suivantes

Utiliser une connexion OAuth