Qu’est-ce qu’OAuth ?
Découvrez ce qu'est OAuth et comment il est utilisé pour autoriser l'accès entre applications et services sans compromettre les informations sensibles.
OAuth expliqué
OAuth est une norme technologique qui vous permet d'autoriser une application ou un service à se connecter à un autre sans divulguer d'informations privées, telles que des mots de passe. Si vous avez déjà reçu un message tel que « Connectez-vous avec Facebook ? » ou "Autoriser cette application à accéder à votre compte ?" vous avez vu OAuth en action.
OAuth signifie Open Authorization—pas d’authentification, comme il’est parfois supposé l’être. L'authentification est un processus qui vérifie votre identité. OAuth implique votre identité, mais son objectif est de vous accorder l'autorisation de vous connecter de manière transparente avec différentes applications et services sans vous obliger à créer un nouveau compte. OAuth offre cette simplicité d'expérience en vous donnant la possibilité d'autoriser deux applications à partager certaines de vos données sans révéler vos informations d'identification. Il établit un équilibre entre commodité et sécurité.
OAuth est conçu pour fonctionner avec le protocole de transfert hypertexte (HTTP). Il utilise des jetons d'accès pour prouver votre identité et lui permettre d'interagir avec un autre service en votre nom. Dans le cas où ce deuxième service subit une violation de données, vos informations d'identification sur le premier service resteront en sécurité. OAuth est un protocole standard ouvert largement adopté et la plupart des développeurs de sites Web et d’applications l’utilisent.
Il est important de noter qu’OAuth n’accorde pas à une application ou à un service tiers un accès illimité à vos données. Une partie du protocole précise à quelles données le tiers est autorisé à accéder et ce qu'il peut faire avec ces données. L'établissement de telles limites, et la protection des identités en général, sont particulièrement essentiels dans les scénarios commerciaux où de nombreuses personnes ont accès à une multitude d'informations sensibles et exclusives.
Comment OAuth fonctionne-t-il ?
Les jetons d'accès sont ce qui rend l'utilisation d'OAuth sécurisée. Un jeton d'accès est un élément de données qui contient des informations sur l'utilisateur et la ressource à laquelle le jeton est destiné. Un jeton comprendra également des règles spécifiques pour le partage de données.
Par exemple, vous souhaiterez peut-être partager des photos de votre profil de réseau social avec une application de retouche photo, mais vous souhaitez uniquement qu'elle ait accès à certaines de vos photos. Il n’est pas non plus nécessaire d’accéder à vos messages directs ou à votre liste d’amis. Le token autorise uniquement l'accès aux données que vous approuvez. Il peut également y avoir des règles régissant le moment où l'application peut utiliser ce jeton (que ce soit pour un usage unique ou pour des utilisations récurrentes) et une date d'expiration.
Le processus OAuth est principalement une interaction de machine à machine avec seulement quelques points de contact pour l'utilisateur. Dans certains scénarios, vous n’aurez peut-être pas besoin de donner votre approbation car elle est gérée silencieusement en arrière-plan par le logiciel. Deux exemples OAuth de ceci seraient dans un scénario de travail d'entreprise, où une plate-forme d'identité gère les connexions entre les ressources pour réduire les frictions informatiques pour un grand nombre d'utilisateurs, ou dans les interactions entre certains appareils intelligents.
Exemples de technologie OAuth
Comme de nombreuses technologies qui simplifient quelque chose de fastidieux—dans ce cas, la création manuelle de comptes dans plusieurs applications—OAuth a été presque universellement adoptée par les créateurs d’applications. Il propose une grande variété de cas d’utilisation pour les particuliers et les entreprises.
Pour donner un exemple OAuth, supposons que vous utilisez Microsoft Teams comme outil de collaboration et que vous souhaitez accéder à plus d'informations sur les personnes avec lesquelles vous travaillez, tant à l'intérieur qu'à l'extérieur de votre organisation. Vous décidez d’activer l’intégration LinkedIn afin de pouvoir en savoir plus sur les personnes lorsque vous interagissez avec elles, sans quitter Teams. Microsoft et LinkedIn utiliseraient alors OAuth pour autoriser la liaison de vos comptes avec votre identité Microsoft.
Un autre scénario utilisant OAuth serait si vous téléchargiez une application de budgétisation pour vous aider à suivre vos dépenses avec des alertes et des aides visuelles, comme des graphiques. Pour faire son travail, l’application aurait besoin d’accéder à certaines de vos données bancaires. Vous pouvez lancer une requête pour lier votre compte bancaire à l'application, autorisant uniquement l'accès au solde et aux transactions de votre compte. L'application et votre banque utiliseraient OAuth pour effectuer cet échange d'informations en votre nom sans révéler vos informations de connexion bancaire à l'application.
Un autre exemple OAuth serait si vous étiez un développeur utilisant GitHub et que vous appreniez qu'il existe une application tierce disponible qui peut s'intégrer à votre compte pour effectuer des révisions de code automatisées. Vous accédez au Place de marché Microsoft Azure GitHub et téléchargez l’application. Il vous demande ensuite d’autoriser une connexion avec l’application à l’aide de votre identité—GitHub, processus qui serait géré à l’aide d’OAuth. L'application de révision pourrait alors accéder à votre code sans que vous ayez à vous connecter aux deux services à chaque fois.
Quelle est la différence entre OAuth 1.0 et OAuth 2.0 ?
La version originale d'OAuth 1.0 a été développée uniquement pour les sites Web. Il n’est pas largement utilisé aujourd’hui car OAuth 2.0 est conçu à la fois pour les applications et les sites Web, et il est plus rapide et plus facile à mettre en œuvre. OAuth 1.0 n'est pas évolutif comme OAuth 2.0 et ne propose que trois flux d'autorisation possibles, contre six avec OAuth 2.0.
Si vous envisagez d’utiliser OAuth, il est préférable d’utiliser la version 2.0 dès le départ. Malheureusement, OAuth 1.0 ne peut pas être mis à niveau vers OAuth 2.0. OAuth 2.0 était censé être une refonte radicale d'OAuth 1.0 et plusieurs grandes entreprises technologiques ont fait part de leurs commentaires sur sa conception. Un site Web peut prendre en charge à la fois OAuth 1.0 et OAuth 2.0, mais les créateurs avaient prévu que la version 2.0 remplacerait complètement la version 1.0.
OAuth contre OIDC
OAuth et Open ID Connect (OIDC) sont des protocoles étroitement liés. Ils sont similaires dans le sens où ils jouent tous deux un rôle en donnant à une application l’accès aux ressources d’une autre application au nom d’un utilisateur. La différence est que si OAuth est utilisé pour l’autorisation d’accéder aux ressources, OIDC est utilisé pour authentifier l’identité d’une personne. Les deux ont un rôle à jouer en permettant à deux applications indépendantes de partager des informations sans compromettre les données des utilisateurs.
Les fournisseurs d'identité utilisent généralement OAuth 2.0 et OIDC ensemble. OIDC a été développé spécifiquement pour améliorer les capacités d'OAuth 2.0 en y ajoutant une couche d'identité. Parce qu'il est construit sur OAuth 2.0, OIDC n'est pas rétrocompatible avec OAuth 1.0.
Premiers pas avec OAuth
L'utilisation d'OAuth 2.0 avec vos sites Web et applications peut améliorer considérablement l'expérience de vos utilisateurs ou employés en simplifiant le processus d'authentification de l'identité. Pour commencer, investissez dans une solution de fournisseur d'identité, telle que Microsoft Entra, qui protège les utilisateurs et les données grâce à une sécurité intégrée.
Microsoft Entra ID (anciennement Azure Active Directory) prend en charge tous les flux OAuth 2.0. Les développeurs d'applications peuvent utiliser ID comme fournisseur d'authentification basé sur des normes pour les aider à intégrer des fonctionnalités d'identité modernes à l'échelle de l'entreprise dans les applications. Les administrateurs informatiques peuvent l’utiliser pour contrôler l’accès.
En savoir plus sur la sécurité Microsoft
-
Explorez Microsoft Entra
Protégez les identités et sécurisez les accès dans les cloud grâce à une famille globale de solutions.
-
Microsoft Entra ID (anciennement Azure Active Directory)
Protégez l’accès aux ressources et aux données grâce à une authentification forte et un accès adaptatif basé sur les risques.
-
Renforcez la confiance dans vos applications
Mettez en œuvre le SSO pour que les employés puissent accéder à toutes les ressources dont ils ont besoin avec un seul identifiant.
-
Rationalisez les expériences de connexion
Mettez en œuvre le SSO pour que les employés puissent accéder à toutes les ressources dont ils ont besoin avec un seul identifiant.
-
Se protéger contre les attaques
Utilisez l’authentification multifacteur pour améliorer la protection des ressources de votre organisation.
-
Utilisez OAuth pour simplifier l'accès aux données de messagerie
Découvrez comment authentifier les connexions aux applications à l'aide de protocoles hérités.
Forum aux questions
-
OAuth signifie Open Authorization et est une norme technologique qui vous permet d'autoriser une application ou un service à se connecter à un autre sans divulguer d'informations privées, telles que des mots de passe. OAuth fonctionne en échangeant des éléments de données de jetons—d’accès qui contiennent des informations sur l’utilisateur et la ressource pour laquelle le jeton est destiné.
-
OAuth fonctionne en échangeant des éléments de données de jetons—d’accès qui contiennent des informations sur l’utilisateur et la ressource pour laquelle le jeton est destiné. Une application ou un site Web échange des informations cryptées avec un autre sur un utilisateur et inclut des règles spécifiques pour le partage de données. Il peut également y avoir des règles régissant le moment où l'application peut utiliser ce jeton et une date d'expiration. Le processus OAuth est principalement une interaction de machine à machine avec seulement quelques points de contact pour l'utilisateur, le cas échéant
-
De nombreuses entreprises utilisent OAuth pour simplifier l’accès aux applications et sites Web tiers sans divulguer les mots de passe ou les données sensibles de leurs utilisateurs. Google, Amazon, Microsoft, Facebook et Twitter l'utilisent tous pour partager des informations sur leurs comptes à des fins diverses, notamment pour simplifier les achats. La plateforme d'identité Microsoft utilise OAuth pour autoriser les autorisations pour les comptes professionnels et scolaires, les comptes personnels, les comptes sociaux et les comptes de jeux.
-
OAuth et Open ID Connect (OIDC) sont des protocoles étroitement liés. Ils sont similaires dans le sens où ils jouent tous deux un rôle en donnant à une application l’accès aux ressources d’une autre application au nom d’un utilisateur. La différence, cependant, est que OAuth est utilisé pour l’autorisation d’accéder aux ressources tandis qu’OIDC est utilisé pour authentifier l’identité d’une personne. Les deux jouent un rôle en permettant à deux applications indépendantes de partager des informations sans compromettre les données des utilisateurs.
-
Il existe de nombreuses différences entre OAuth 1.0 et OAuth 2.0, car OAuth 2.0 a été conçu pour être une refonte radicale d'OAuth 1.0, le rendant presque obsolète. OAuth 1.0 a été développé uniquement pour les sites Web, tandis qu'OAuth 2.0 est conçu à la fois pour les applications et les sites Web. OAuth 2.0 est plus rapide et plus facile à mettre en œuvre, peut évoluer et propose six flux d'autorisation possibles par rapport aux trois dont dispose OAuth 1.0.
Suivez Microsoft 365