Services et applications
Hiboo supporte les protocoles OIDC et SAML2 pour gérer l'authentification aux services.
Créer un service
La création de service est accessible en cliquant sur le bouton Créer un
service
depuis la rubrique Services
du menu latéral.
Sélectionner une application
Hiboo support nativement certaines applications, pour lesquelles l'implémentation du protocole est préconfigurée et les instructions de configuration à appliquer côté client sont fournies.
Les applications suivantes sont nativement supportées :
- GitLab via
OIDC
- Grafana via
OIDC
- Mastodon via
SAML2
- Synapse via
SAML2
- WriteFreely via
OIDC
- PeerTube via
OIDC
- Flarum via
SAML2
- Nextcloud via
OIDC
etSAML2
- Seafile via
OIDC
Les applications génériques laissent le soin à l'admin de définir les paramètres du protocole et la configuration à appliquer côté client.
- OIDC génériques via
OIDC
- SAML2 générique via
SAML2
Configurer une application
Après avoir sélectionné une application, un formulaire permet de configurer le service.
Pour les applications supportées nativement, les champs sont normalement suffisamment explicites pour être remplis sans avoir besoin de connaissances particulières sur le fonctionnement des protocoles. Pour les applications génériques en revanche, il est préférable de se référer à la documentation du client et du protocole utilisé.
Une fois le formulaire validé, la page de détails du service s'affiche avec les informations nécessaires à la configuration du client.
Politique de profils
Comme Hiboo donne la possibilité aux comptes d'être
propriétaires de plusieurs profils sur une même application, la Politique de
profils
permet d'appliquer des conditions à la création des profils pour une
application, en limitant le nombre de profils et/ou en ajoutant une
modération :
La création de profil est impossible
La création de profil est réservée aux gestionnaires
Les profils créés doivent être validés
Aucune validation n'est requise
Les profils additionnels doivent être validés
Mode mono-profil
Le mode « mono-profil » permet de forcer l'utilisation du nom d'utilisateurice pour le nom de profil, et de limiter le nombre de profils à un seul.
Claims OIDC
Dans une logique « zero trust »,
le champ Configurations spéciales de claims activées
dans l'application OIDC
générique
permet de contrôler les informations échangées entre Hiboo et le
client. Cela permet notamment de masquer au client la véritable adresse
email associée au compte détenant le profil. Aucune ou plusieurs
options peuvent être sélectionnées ici :
Masquer l'uuid du profil
permet de ne pas retourner d'identifiant unique du profil et de retourner le nom d'utilisateurice du profil Ă la place du champsub
et rien pour le champuser_id
. Se référer à la spécification OIDC pour plus de détails. Cela permet d'avoir le nom d'utilisateurice affiché côté client plutôt que l'uuid du profil. Il s'agit du comportement par défaut.Retourner le véritable email de l'utilisateur·ice
permet de retourner l'email enregistré par l'utilisateurice dansContact
, s'il existe.Retourner tous les claims peu importe les attributs demandés
Pour les applications nativement supportées utilisant OIDC, les paramètres sont prédéfinis en fonction des besoins spécifiques du logiciel client et pour minimiser les données transmises :
- GitLab :
Masquer l'uuid du profil
- Grafana : comportement par défaut
- WriteFreely :
Retourner tous les claims peu importe les attributs demandés
- PeerTube : comportement par défaut
- Nextcloud :
Masquer l'uuid du profil
- Seafile : comportement par défaut
Configurer un client
Les informations requises Ă la configuration d'un client sont accessibles en
cliquant sur le nom du service depuis la rubrique Services
du menu latéral.
Pour les applications supportées nativement, les paramètres du protocole à utiliser sont affichés ainsi que les instructions pour appliquer la configuration côté client.
Pour les applications génériques, seuls les paramètres du protocole à utiliser sont affichés. Il est recommandé de se référer à la documentation du client et du protocole utilisé.
Pour les applications basées sur SAML2, la possibilité de masquer (par défaut) ou non l'email de l'utilisateurice est uniquement configurable côté client (cf. Email masqué).
Mettre Ă jour un service
Le formulaire d'édition d'un service est accessible en cliquant sur Éditer
depuis la rubrique Services
du menu latéral.
Une fois les informations mises Ă jour, valider le formulaire pour mettre Ă jour le service.
Changer d'application
Il est possible pour un service existant de changer l'application utilisée. Cela permet notamment de changer le moyen d'authentification à un service sans perdre la base d'utilisateurices déjà enregistrée pour ce service.
Le changement de l'application pour un service est accessible en cliquant sur le
bouton Changer l'application
depuis la page de détail du service, elle-même
accessible en cliquant sur le nom du service depuis la rubrique Services
du
menu latéral.
Le processus de changement d'application est similaire à la création d'un service.
Email masqué
Par défaut, Hiboo masque aux clients les vraies adresses email renseignées par les utilisateurices dans leur paramétrage des moyens de contact. Cette fonctionnalité permet d'améliorer la protection de la vie privée des utilisateurices.
L'adresse par défaut est construite avec une partie locale aléatoire qui
correspond Ă identifiant unique du profil, et d'une partie domaine qui
correspond au domaine mail dédié à cette fonction.
Par exemple : a7fdec1a-a24b-4bfe-9f39-09f8d1be45e7@users.domain.tld
.
Pour que les emails envoyés par les applications soient envoyés aux bonnes adresses, cela nécessite d'avoir un serveur mail capable de faire correspondre l'adresse email masquée à l'adresse email réelle.
Hiboo possède une API authentifiées (avec un token)
permettant Ă un serveur mail d'automatiser cette correspondance (alias) sans
avoir Ă enregistrer localement les adresses mail. l'API accessible Ă l'adresse
https://hiboo.domail.tld/api/profile/<profile_uuid>?token={token}
retourne
ainsi le véritable email de l'utilisateurice à qui envoyer l'email.