OpenID Connect (OIDC)
Avant de commencer
OpenID Connect (OIDC) est un standard d'authentification utilisant le protocole OAuth 2.0.
Vous pouvez activer OIDC sur les solutions de Dydu pour protéger l'accès à :
votre Bot Management System (BMS). Seuls les utilisateurs autorisés de votre organisation peuvent avoir accès au BMS. Pour activer OIDC sur votre BMS, contactez votre Customer Success Manager chez Dydu.
votre chatbox intégrée dans un site web. En configurant OIDC sur votre chatbox, vous sécurisez la confidentialité de votre base de connaissances puisque seuls les utilisateurs authentifiés peuvent interagir avec la chatbox.
Exception: chatbotx disponibles sur d'autres canaux
Pour le moment, nous ne supportons pas OIDC sur des canaux externes (ex: Teams, Meta). Cela signifie que, par exemple, si vous avez des bots Dydu à la fois pour votre site web et Microsoft Teams, l'utilisation d'OIDC sur la chatbox web n'aura pas d'impact sur le bot Teams. Il continuera à répondre aux utilisateurs non authentifiés.
Avant de configurer OIDC sur vos solutions Dydu, assurez-vous que vous avez déjà une configuration OIDC créée via l'outil d'administration de votre fournisseur d'identité.
Configurez OIDC sur votre chatbox web
Résumé
Il y a 2 étapes (obligatoires) à suivre :
Protégez l'API Dydu utilisée par la chatbox
Sécurisez l'affichage de la chatbox sur votre site web
La deuxième étape doit être effectuée par votre chef de projet ou Customer Success Manager chez Dydu.
Etape 1. Protégez l'API Dydu utilisée par la chatbox
Cette étape consiste à sécuriser l'API Dydu qui permet à la chatbox d'interroger la base de connaissances de votre BMS.
Dans votre BMS, allez à Préférences > Bot > Général > Connexions et cochez la case "Activer OIDC".
L'option alternative "Activer SAML" vous permet d'utiliser le standard SAML pour protéger votre chatbox. OIDC et SAML ne peuvent pas être actifs en même temps sur une chatbox.
Vous verrez 5 champs vides dont 4 doivent être renseignés :
Concernant les 3 champs suivants :
JWKS URI
Userinfo endpoint URI
Issuer
Ce sont des données que vous pouvez récupérer directement de votre document OpenID Provider Configuration Information (OpenID Provider Configuration Information document)
Il s'agit d'un fichier json spécifique à votre configuration OIDC créée dans l'outil d'administration de votre Fournisseurs d'OIDC (Google, Azure AD, IBMid, Keycloak, etc.). Le document est accessible publiquement à travers le chemin finissant avec /.well-known/openid-configuration
.
Par exemple :
Pour Azure AD (Microsoft), le chemin d'accès peut être : https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
Pour Google, il peut ressembler à : https://accounts.google.com/.well-known/openid-configuration
Vous pouvez trouver ce document dans l'interface d'administration de votre fournisseur OIDC.
Par exemple, sur Azure AD, ce document est accessible via Azure Active Directory > Inscriptions d'applications > votre application > Point de terminaison (Endpoint) > Document de métadonnées OpenID Connect.
Si vous ne connaissez pas le chemin d'accès complet de ce document, contactez la personne en charge du fournisseur d'identité de votre organisation.
Quant aux deux derniers champs :
Client secret (utilisé moins fréquemment)
Audience
Les informations sont dans votre application OIDC via l'outil d'administration de votre fournisseur d'identité.
Vous n'avez pas besoin de renseigner en même temps les deux champs Client secret et URL JWKS. Seul un champ est requis. Nous vous recommandons d'utiliser "JWKS URI" qui possède plus de certificats pour vérifier et valider le jeton envoyé à l'API de Dydu.
Le champ Audience correspond généralement à Client Id. Voici un exemple sur Keycloak :
Une fois que vous aurez rempli ces 4 champs, cliquez sur Mettre à jour pour enregistrer vos modifications. Désormais, l'API Dydu est protégée par OIDC !
Note - si votre fournisseur d'OIDC est Azure AD :
Dydu n'est pas compatible avec les options Implicit grant and hybrid flowss disponibles sous l'onglet Authentification de votre application Azure.
Veuillez ne pas les activer.
Etape 2. Sécurisez l'affichage de la chatbox sur votre site web
Cette étape, quant à elle, permet de protéger l’affichage de la chatbox sur votre site internet. Les utilisateurs non authentifiés ne la verront pas.
Cette étape doit être réalisée par votre CP / CSM qui vous demandera les informations nécessaires pour réaliser cette configuration.
Etape 3. Il est temps de tester !
Pour voir si OIDC est effectif sur votre chatbox, créez une page de test via Channels > Dydubox en publiant votre configuration Dydubox.
Une fois cette page ouverte, vous serez redirigé vers la page d'authentification de votre fournisseur OIDC.
Seulement en vous authentifiant vous verrez la chatbox et pourrez échanger avec elle.
Rappel 1
Assurez-vous que vous avez ajouté les URIs de votre/vos chatbox web en tant que URIs de redirection dans votre application OIDC afin que les utilisateurs puissent être redirigés vers la page de chatbox après avoir été authentifiés.
Rappel 2
Lorsque OIDC est activé, l'aperçu de la page Channels > Dydubox ne répondra qu'avec des phrases d'interaction sociale.
Si vous voulez tester la chatbox avec toute votre base de connaissances, utilisez la page de test mentionnée ci-dessus.
Dernière mise à jour