Documentation annuaires et SSO > Tutoriels > Moovapps Process

Moovapps Process

Paramétrage Moovapps Process ou Moovapps Workplace

SSO et Moovapps Team

Dans l’administration du serveur Moovapps Process, il faut ajouter les clés de configuration du SSO OpenID Connect.

Moovapps Process affichant par ailleurs l’indicateur de messages du service de discussion Moovapps Team,il faut également renseigner sa configuration.

Moovapps Process possède également un login module “moovapps” pour accepter les tokens émis lors des appels d’API de la Gateway Moovapps , dont il faut vérifier l’activation et procéder à sa configuration.

En raison de ces fonctionnalités supplémentaires, il faut, lors de la demande d’obtention des accès SSO, fournir l’url de prise en charge du code d’autorisation (redirect_uris), mais également les éléments suivants:

L’url de navigation à utiliser après déconnexion (oidc.postlogout.url) auprès du SSO Moovapps (post_logout_redirect_uris): ici la page d’accueil du service Moovapps Process
L’url de déconnexion silentieuse (https://openid.net/specs/openid-connect-frontchannel-1_0.html)

Le paramétrage qui varie est donc le suivant :

moovapps.tenant.name: correspondant au nom du tenant
oidc.issuer.url: le serveur de production https://secure-auth.team.moovapps.com ou de pré-production https://secure-auth.team.preprod.moovapps.com par exemple
oidc.redirect.url: https://domain/webapp/navigation/openid-connect-redirect où domain correspond au domaine du seveur Moovapps Process et webapp au nom de l’application (le reste de l’url est invariant)
oidc.client.id: l’identifiant du client OpenID Connect
oidc.client.secret: le mot de passe du client OpenID Connect
oidc.postlogout.url: l’url de post-déconnexion fournie lors de l’obtention des accès SSO (généralement une page d’accueil)
moovapps.nextgen.url.back: le domaine à utiliser pour l’api Moovapps Team (pour la production : https://secure-auth.team.moovapps.com, pour la pré-production: https://secure-auth.team.preprod.moovapps.com)
moovapps.nextgen.url.front: l’url du frontend Moovapps Team
moovapps.tenant.backend.jwkset.url: url du jwk set contenant les clés publiques pour vérifier les tokens par le login module Moovapps pour les api Workplace (comme l’api quicklauncher par exemple)

Le paramétrage à reporter par défaut:

oidc.scope: le scope OpenID Connect par défaut à “openid profile”
moovapps.nextgen.api.url.unread.messages: le chemin relatif de l’API Moovappps Team des messages non lus “/api/moovapps/discussions/statistics/messages/unread”
moovapps.api.unread.messages.url: idem moovapps.nextgen.api.url.unread.messages

Le paramétrage optionel à reporter :

com.moovapps.team.synchronization.user.moovapps.process.application.url=

Exemple :

# ------------------------------------------------------------------------
# OpenId Connect
# ------------------------------------------------------------------------
oidc.redirect.url=https://domain/webapp/navigation/openid-connect-redirect
oidc.issuer.url=https://secure-auth.team.moovapps.com
oidc.client.id=XXXXXXXXXX
oidc.client.secret=XXXXXXXXX
oidc.postlogout.url=https://domain/webapp/easysite/workplace
oidc.scope=openid profile
# ------------------------------------------------------------------------
# Moovapps Team tenant URLs
# ------------------------------------------------------------------------
moovapps.tenant.name=tenant
moovapps.nextgen.url.back=https://secure-auth.team.moovapps.com
moovapps.nextgen.url.front=https://workplace.moovapps.com
moovapps.nextgen.api.url.unread.messages=/api/moovapps/discussions/statistics/messages/unread
moovapps.api.unread.messages.url=/api/moovapps/discussions/statistics/messages/unread
moovapps.tenant.backend.jwkset.url=${oidc.issuer.url}/${moovapps.tenant.name}/auth/exchange/jwks.json
# ------------------------------------------------------------------------
# Moovapps Team avatar URL
# ------------------------------------------------------------------------
com.moovapps.team.synchronization.user.moovapps.process.application.url=https://domain/webapp

Remarques:

A noter que Moovapps Process prend également en charge la déconnexion auprès du service SSO Moovapps.
Moovapps Process détermine le discovery Moovapps en assemblant la valeur issuer (oidc.issuer.url) et le nom du tenant (moovapps.tenant.name)
Les clés de paramétrages peuvent être définies directement dans le fichier properties ou via l’administration dans les paramètres de la configuration serveur.
Le client_id et le client_secret sont fournis à la demande par l’équipe DevOps en échange de :
- L’url redirect_uri servant à la prise en charge du code d’autorisation par Moovapps Process/Workplace
- L’url post_logout_redirect_uri servant à la déconnexion

Synchronisation de l’annuaire

Les utilisateurs créés dans Moovapps Workplace doivent être provisionnnés dans Moovapps Team afin que que le SSO Moovapps fonctionne. Pour ce faire, il faut créer une “Connexions aux données externes” de type “Moovapps” vers “Team” depuis l’administration.

Il s’agit alors de renseigner les éléments suivants :

Le Nom système: obligatoirement renseigné à MoovappsTeam pour que la synchronisation de l’annuaire la reconnaisse
L’Organisation: à partir de la laquelle on souhaite synchroniser les utilisateurs
L’Identifiant de connexion: un utilisateur Team* non synchronisé de type administrateur Team servant au provisionnement des utilisateurs
Le Mot de passe: mot de passe de l’utilisateur Team servant au provisionnement des utilisateurs
Le Client id: identifiant de l’application cliente Oauth2** permettant d’obtenir un token d’api
Le Secret id: mot de passe de l’application cliente Oauth2** permettant d’obtenir un token d’api
Le Nom du tenant Team: nom système du tenant Moovapps Team
L’Adresse de Moovapps Team: domaine du site web Moovapps Team correspondant au tenant
L’Adresse du serveur d’authentification: url corrpondant au domaine du serveur d’authentification de prod ou pré-prod***
L’Adresse du serveur d’API Team: url correspondant au domaine du serveur d’API de prod ou pré-prod***

Remarques :

si dans le cas ou le nom système MoovappsTeam n’est pas respecté, il est possible de changer l’alias pour éviter de recrer la configuration (com.moovapps.team.connection.name=xxxxx)
*L’utilisateur servant au provisionning doit être administrateur afin d’avoir les permissions suffisantes. Cet utilisateur ne doit en aucun cas correspondre à un utilisateur lui même synchronisé
**Couple Identifiant/mot de passe Oauth2 de l’application Moovapps Workplace fourni par Devops
*** L’url du domaine du serveur d’authentification et du serveur d’API sont désormais les mêmes
Vérifier que le login module OpenID est activé dans Moovapps Process :

<login-module code = "com.vs.interop.openid.connect.login.modules.OpenIdConnectLoginModule" flag = "sufficient"/>

Authentification et mot de passe oublié

Quand les utilisateurs sont provisionnés par Moovapps process/Workplace au sein de Moovapps Team, il est nécessaire de configurer la section directory. Moovapps Team délègue alors la validation du mot de passe ainsi que la prise en charge du mot de passe oublié.

Synchronisation des avatars

Si la synchronisation des avatars de Movapps Process vers Moovapps Team est souhaitée, ajouter la clé de configuration suivante :

com.moovapps.team.synchronization.user.moovapps.process.application.url=https://domain/webapp où domain correspond au domaine du seveur Moovapps Process et webapp au nom de l’application (le reste de l’url est invariant) le tout sans / à la fin

Synchronisation des désactivations

Si on souhaite que la desactivation dans Process soit reportée dasn Team également, ajouter la clé de paramétrage suivante :

com.axemble.vdoc.selector.user.display.disabled=true