Configurer les connexions OAuth dans la Control Room

OAuth est un protocole d'autorisation standard ouvert, sûr, efficace et facile à utiliser qui permet de protéger la vie privée des utilisateurs. Il définit la manière de déléguer ou d'autoriser des applications à accéder à des ressources (des API distantes ou tierces ou des données utilisateur, par exemple) sans que l'utilisateur n'ait à fournir son nom d'utilisateur et son mot de passe.

Remarque : La marque et le logo Salesforce, la marque et le logo Microsoft SharePoint, la marque et le logo Apigee, la marque et le logo ServiceNow, et la marque et le logo Genesys sont des marques commerciales ou des marques déposées de Salesforce, Inc., de Microsoft Corp., de Google LLC, de ServiceNow, Inc., et de Genesys, respectivement, qui ne sont utilisées qu'à des fins d'identification.

Pour plus d'informations, consultez OAuth 2.0.

OAuth prend en charge un ensemble de méthodes prédéfinies appelées types d'autorisations. Chaque type d'autorisation a des exigences et des flux spécifiques en fonction du scénario. Les connexions OAuth dans la Control Room prennent en charge les types d'autorisation suivants :

  • Flux de code d'autorisation
  • Flux de code d'autorisation avec clé de vérification pour l'échange de code (Proof Key for Code Exchange, PKCE)
Remarque : Dans les cas où l'autorisation et l'accord de l'utilisateur ne sont pas requis ou un jeton est partagé entre plusieurs robots (tels que des exécutions robot non assistées), veillez à utiliser un jeton partagé (option Enregistrer les informations d'identification de connexion) pour exécuter des automatisations non assistées. Pour plus d'informations, consultez Créer une connexion OAuth.

Architecture d'OAuth

La gestion des connexions OAuth dans la Control Room vous permet de gérer les connexions et le cycle de vie des jetons de manière centralisée via la Control Room. En outre, vous pouvez stocker en toute sécurité les jetons nécessaires pour authentifier et autoriser l'accès aux applications de l'entreprise sans devoir les obtenir à chaque exécution d'automatisation. Les connexions OAuth configurées dans la Control Room sortent vers les applications d'entreprise correspondantes pour l'authentification.

La Control Room prend en charge les options suivantes :
  • Créer et gérer des connexions pour chaque application SaaS utilisée dans les automatisations.
  • Gérer le cycle de vie des jetons partagés et des jetons spécifiques à l'utilisateur.
  • Sécuriser le stockage des jetons à l'aide des niveaux de chiffrement conformes aux normes du secteur.
  • Accorder des autorisations et un accès basé sur les rôles pour gérer et consommer les connexions OAuth dans les automatisations.

Exemple de flux de travail OAuth : L'exemple suivant illustre la configuration, la création et l'utilisation de la connexion OAuth :

  1. Configuration d'applications d'entreprise
  2. Créer une connexion OAuth
  3. Utiliser une connexion OAuth

Image montrant le flux de travail de la connexion OAuth

Rôles et responsabilités : Les administrateurs effectuent les tâches suivantes :
  1. Créer une connexion pour une application SaaS d'entreprise.
  2. Saisir les détails d'authentification tels que l'ID du client, le secret du client, l'URL d'autorisation, etc.
  3. (Facultatif) Enregistrer les informations d'identification et tester la connexion.
  4. Inviter des rôles à utiliser cette connexion ou à s'authentifier pour les Bot Runners non assistés.
  5. Enregistrer et gérer la connexion.

Voir : Créer une connexion OAuth.

Les développeurs professionnels ou citoyens effectuent les tâches suivantes :
Remarque : pour créer et exécuter une API robot, les développeurs professionnels ou citoyens doivent s'authentifier auprès de l'application d'entreprise, excepté si l'administrateur a enregistré les informations d'identification de connexion des développeurs (utilisateurs) pour qu'ils puissent utiliser la connexion.
  1. Créer une API de tâche ou un Robot de tâches.
  2. Ajouter une action d'authentification pour les packages.
  3. Sélectionner le type d'authentification (Connexion OAuth de la Control Room), le nom de la connexion et les informations relatives à l'application d'entreprise.

Voir : Utiliser une connexion OAuth.

Jetons OAuth

OAuth fournit les types de jetons suivants :

Jeton d'accès
Longue chaîne de caractères qui fait office d'informations d'identification pour accéder aux ressources protégées.
Actualisation du jeton
Jeton spécial à longue durée de vie utilisé pour obtenir un nouveau jeton d'accès lorsque le jeton d'accès existant expire. Le jeton d'actualisation fournit un jeton d'accès de courte durée au lieu de collecter les informations d'identification de l'utilisateur à chaque fois qu'un nouveau jeton d'accès est requis. La Control Room utilise le jeton d'actualisation pour obtenir un nouveau jeton d'accès auprès du serveur d'autorisation (SA).

Lorsque vous utilisez OAuth, le jeton d'accès et le jeton d'actualisation sont renvoyés dans la même réponse lors du processus d'échange de jetons appelé Réponse au jeton d'accès.

Jetons OAuth dans la Control Room

Les types de jetons suivants sont utilisés dans la Control Room :
  • Partagée : le type de jeton partagé est généralement utilisé pour exécuter des automatisations non assistées où l'authentification ou le consentement de l'utilisateur n'est pas nécessaire. Pour configurer et utiliser ce type de jeton dans la Control Room, vous devez configurer les options suivantes :
    1. Dans la section Gestion > Connexions OAuth, un utilisateur ayant l'autorisation Gérer les connexions peut créer des connexions OAuth. Un tel utilisateur doit sélectionner l'option Enregistrer les infos d'identification de connexion dans l'écran Tester la connexion et enregistrer les infos d'identification lors de la création d'une connexion afin qu'un jeton partagé soit généré. Reportez-vous à la rubrique Créer une connexion OAuth.
    2. Lorsqu'un utilisateur utilise cette connexion dans ses robots, il doit sélectionner le type de jeton Partagé dans l'option Choisir une connexion. Reportez-vous à la rubrique Utiliser une connexion OAuth.
  • Spécifique à l'utilisateur : Le type de jeton spécifique à l'utilisateur est généralement utilisé pour exécuter des automatisations assistées où l'authentification ou le consentement de l'utilisateur est obligatoire. Pour configurer et utiliser ce type de jeton dans la Control Room, vous devez configurer les options suivantes :
    1. Dans la section Gestion > Connexions OAuth, un utilisateur ayant l'autorisation Gérer les connexions peut créer des connexions OAuth. Un tel utilisateur ne doit pas sélectionner l'option Enregistrer les infos d'identification de connexion dans l'écran Tester la connexion et enregistrer les infos d'identification. Au lieu de cela, l'utilisateur doit inviter des rôles à utiliser la connexion en sélectionnant les rôles appropriés dans l'écran Inviter des rôles. Reportez-vous à la rubrique Créer une connexion OAuth.

      Les utilisateurs qui font partie des rôles sont informés de la connexion attribuée s'ils ont souscrit aux notifications d'événements. Reportez-vous à la rubrique Notifications.

    2. L'utilisateur qui utilise la connexion Spécifique à l'utilisateur dans ses robots doit authentifier la connexion dans la section Mes paramètres > Connexions OAuth avant d'utiliser la connexion. Reportez-vous à la rubrique Authentifier les connexions OAuth spécifiques à l'utilisateur.
    3. Lorsque l'utilisateur utilise cette connexion dans ses robots, il doit sélectionner le type de jeton Spécifique à l'utilisateur dans l'option Choisir une connexion. Reportez-vous à la rubrique Utiliser une connexion OAuth.

Avantages de l'intégration d'OAuth à la Control Room

Lorsque vous intégrez OAuth à la Control Room, vous :

  • fournissez un modèle sécurisé et standard pour que les automatisations authentifient et autorisent les applications d'entreprise ;
  • éliminez la nécessité de saisir manuellement les informations d'identification au moment de l'exécution, ou de les coder en dur dans les automatisations ;
  • garantissez que les jetons d'accès sont toujours valides et disponibles pour les automatisations au moment de l'exécution en les obtenant avant qu'ils n'expirent ; les utilisateurs n'ont alors pas besoin de passer par le processus d'authentification pour les obtenir ;
  • évitez les tâches répétitives de configuration des paramètres OAuth pour chaque automatisation utilisant la connexion OAuth. Les connexions sont référencées dans les automatisations à l'aide du type de fournisseur d'applications d'entreprise.

Gestion du cycle de vie des jetons

Tous les jetons d'accès ont un délai d'expiration défini par le serveur d'autorisation (SA). Les jetons sont actualisés à l'aide du mécanisme d'actualisation des jetons afin de prolonger la validité du jeton (par l'émission d'un nouveau jeton). Dans le cadre d'une approche centralisée, la Control Room gère le cycle de vie des jetons et valide chaque jeton avant l'exécution du robot.