Skip to content

Services et applications

Hiboo supporte les protocoles OIDC et SAML2 pour gérer l'authentification aux services.

Créer un service

La création de service est accessible en cliquant sur le bouton Créer un service depuis la rubrique Services du menu latéral.

SĂ©lectionner une application

Hiboo support nativement certaines applications, pour lesquelles l'implémentation du protocole est préconfigurée et les instructions de configuration à appliquer côté client sont fournies.

Les applications suivantes sont nativement supportées :

Les applications génériques laissent le soin à l'admin de définir les paramètres du protocole et la configuration à appliquer côté client.

  • OIDC gĂ©nĂ©riques via OIDC
  • SAML2 gĂ©nĂ©rique via SAML2
Configurer une application

Après avoir sélectionné une application, un formulaire permet de configurer le service.

Pour les applications supportées nativement, les champs sont normalement suffisamment explicites pour être remplis sans avoir besoin de connaissances particulières sur le fonctionnement des protocoles. Pour les applications génériques en revanche, il est préférable de se référer à la documentation du client et du protocole utilisé.

Une fois le formulaire validé, la page de détails du service s'affiche avec les informations nécessaires à la configuration du client.

Politique de profils

Comme Hiboo donne la possibilité aux comptes d'être propriétaires de plusieurs profils sur une même application, la Politique de profils permet d'appliquer des conditions à la création des profils pour une application, en limitant le nombre de profils et/ou en ajoutant une modération :

  • La crĂ©ation de profil est impossible
  • La crĂ©ation de profil est rĂ©servĂ©e aux gestionnaires
  • Les profils crĂ©Ă©s doivent ĂŞtre validĂ©s
  • Aucune validation n'est requise
  • Les profils additionnels doivent ĂŞtre validĂ©s
Mode mono-profil

Le mode « mono-profil » permet de forcer l'utilisation du nom d'utilisateurice pour le nom de profil, et de limiter le nombre de profils à un seul.

Claims OIDC

Dans une logique « zero trust », le champ Configurations spéciales de claims activées dans l'application OIDC générique permet de contrôler les informations échangées entre Hiboo et le client. Cela permet notamment de masquer au client la véritable adresse email associée au compte détenant le profil. Aucune ou plusieurs options peuvent être sélectionnées ici :

  • Masquer l'uuid du profil permet de ne pas retourner d'identifiant unique du profil et de retourner le nom d'utilisateurice du profil Ă  la place du champ sub et rien pour le champ user_id. Se rĂ©fĂ©rer Ă  la spĂ©cification OIDC pour plus de dĂ©tails. Cela permet d'avoir le nom d'utilisateurice affichĂ© cĂ´tĂ© client plutĂ´t que l'uuid du profil. Il s'agit du comportement par dĂ©faut.
  • Retourner le vĂ©ritable email de l'utilisateur·ice permet de retourner l'email enregistrĂ© par l'utilisateurice dans Contact, s'il existe.
  • Retourner tous les claims peu importe les attributs demandĂ©s

Pour les applications nativement supportées utilisant OIDC, les paramètres sont prédéfinis en fonction des besoins spécifiques du logiciel client et pour minimiser les données transmises :

  • GitLab : Masquer l'uuid du profil
  • Grafana : comportement par dĂ©faut
  • WriteFreely : Retourner tous les claims peu importe les attributs demandĂ©s
  • PeerTube : comportement par dĂ©faut
  • Nextcloud : Masquer l'uuid du profil
  • Seafile : comportement par dĂ©faut

Configurer un client

Les informations requises à la configuration d'un client sont accessibles en cliquant sur le nom du service depuis la rubrique Services du menu latéral.

Pour les applications supportées nativement, les paramètres du protocole à utiliser sont affichés ainsi que les instructions pour appliquer la configuration côté client.

Pour les applications génériques, seuls les paramètres du protocole à utiliser sont affichés. Il est recommandé de se référer à la documentation du client et du protocole utilisé.

Pour les applications basées sur SAML2, la possibilité de masquer (par défaut) ou non l'email de l'utilisateurice est uniquement configurable côté client (cf. Email masqué).

Mettre Ă  jour un service

Le formulaire d'édition d'un service est accessible en cliquant sur Éditer depuis la rubrique Services du menu latéral.

Une fois les informations mises Ă  jour, valider le formulaire pour mettre Ă  jour le service.

Changer d'application

Il est possible pour un service existant de changer l'application utilisée. Cela permet notamment de changer le moyen d'authentification à un service sans perdre la base d'utilisateurices déjà enregistrée pour ce service.

Le changement de l'application pour un service est accessible en cliquant sur le bouton Changer l'application depuis la page de détail du service, elle-même accessible en cliquant sur le nom du service depuis la rubrique Services du menu latéral.

Le processus de changement d'application est similaire à la création d'un service.

Email masqué

Par défaut, Hiboo masque aux clients les vraies adresses email renseignées par les utilisateurices dans leur paramétrage des moyens de contact. Cette fonctionnalité permet d'améliorer la protection de la vie privée des utilisateurices.

L'adresse par défaut est construite avec une partie locale aléatoire qui correspond à identifiant unique du profil, et d'une partie domaine qui correspond au domaine mail dédié à cette fonction. Par exemple : a7fdec1a-a24b-4bfe-9f39-09f8d1be45e7@users.domain.tld.

Pour que les emails envoyés par les applications soient envoyés aux bonnes adresses, cela nécessite d'avoir un serveur mail capable de faire correspondre l'adresse email masquée à l'adresse email réelle.

Hiboo possède une API authentifiées (avec un token) permettant à un serveur mail d'automatiser cette correspondance (alias) sans avoir à enregistrer localement les adresses mail. l'API accessible à l'adresse https://hiboo.domail.tld/api/profile/<profile_uuid>?token={token} retourne ainsi le véritable email de l'utilisateurice à qui envoyer l'email.