Feature #9546
ferméAjouter la gestion d'un nouveau domaine Silverpeas : Domaine SCIM
100%
Description
Il est possible que des entités gèrent leur environnement de travail au sein de services entièrement gérés dans un cloud (Microsoft Azure par exemple).
Aucun de ces services, dans le cloud, ne propose le protocole LDAP pour la communication de ses comptes utilisateurs & ses groupes.
Ils proposent chacun des services spécifiques (Microsoft Graph pour Azure par exemple).
Par ailleurs, un des intérêts appréciés dans ce type de contexte de travail est le SSO qui repose généralement sur le protocole OAuth 2.0.
Afin de s'intégrer dans cet écosystème sans avoir besoin d'implémenter pour chacun des clouds un système de transfert des comptes utilisateurs spécifique, Silverpeas va s'appuyer sur l'API SCIM 2.0 qui semble être retenue par des acteurs importants :- https://docs.microsoft.com/fr-fr/azure/active-directory/active-directory-scim-provisioning
- https://gsuiteupdates.googleblog.com/2016/07/automatically-provision-users-with-scim.html
- etc.
SCIM 2.0 est un regroupement de trois spécifications, RFC7642, RFC7643 et RFC7644, qui standardisent un moyen unique et ouvert d’échanger des informations d’identité d’utilisateurs et de groupes dans des contextes cloud et services décentralisés.
Chacune a été validée et publiée sous IETF (Internet Engineering Task Force) en septembre 2015.
- serveur SCIM : le serveur SCIM est un ensemble de services WEB proposés par une application pour ajouter, modifier ou supprimer des utilisateurs dans son contexte de persistance de comptes utilisateurs & groupes. Il permet aussi d’effectuer des recherches selon des critères plus ou moins détaillés. Le serveur SCIM est essentiellement sollicité par un client SCIM
- client SCIM : un client SCIM est un outil capable d’effectuer des requêtes HTTP auprès d’un serveur SCIM. Par exemple, Azure implémente un client SCIM pour permettre de transmettre les identités de ses utilisateurs et groupes vers une autre plate-forme qui implémente un serveur SCIM
La gestion d'un domaine SCIM 2.0 doit être ajoutée dans Silverpeas. Cela revient ici à implémenter un serveur SCIM (et pas de client SCIM). Les responsabilités par rapport à un domaine LDAP sont inversées dans le sens où c'est le cloud qui communiquera à Silverpeas les éléments sur les comptes utilisateurs, quand cela lui semblera nécessaire. Ce n'est donc plus Silverpeas qui tentera de synchroniser à intervalle régulier les nouveaux éléments.
Dans un premier temps, seuls les utilisateurs peuvent être poussés par un client SCIM 2.0 sur Silverpeas et les données complémentaires des utilisateurs ne sont pas prises en charge.