Authentification

L’authentification et l’identification sont assurés par Keycloak. Véritable hub du référentiel d’identités, il permet de fédérer les identités issues des tous les fournisseurs habituels et les met à disposition via l’ensemble des protocoles d’authentification communément utilisés, il crée une couche d’abstraction avec les systèmes externes comme un ActiveDirectory, un LDAP, …​.

Les services de Provoly nécessitant l’identité d’un client utilise OIDC, un token signé par l’IAM est donc mis à disposition avec l’identité de l’utilisateur.

Une liste de rôles sont définis dans le keycloak au niveau du royaume (realms) et sont la base de la gestion des autorisations des accès aux endpoint de l’API.

Les rôles disponibles sont décrits dans le guide utilisateur.

Keycloak peut être paramétré avec des groupes facilitant la gestion des utilisateurs. Des groupes par défaut sont fournis.

Il est possible d’activer par environnement l’accès anonyme. Dans ce cas, chaque appel HTTP entrant dans le système sans header d’authentification se voit attribuer un utilisateur générique. La liste des rôles associés à cette utilisateur est paramétrable par configuration, et par module.