Red Hat Summit11.3. Authentification de tierce partie via RH-SSO
Pour utiliser les services à distance différents fournis par Red Hat JBoss Suite BPM ou par Intelligent Process Server, votre client doit être authentifié sur le serveur de RH-SSO, et avoir un jeton valide pour exécuter les requêtes. Pour utiliser les services à distance, l’utilisateur authentifié doit avoir les rôles suivants :
rest-all: pour utiliser les services à distance de Business CentralNote
Le rôle rest-all doit contenir l'utilisateur dans la propriétéorg.kie.server.controller.user.kie-server: pour utiliser les services à distance Intelligent Process Server
Utiliser la console d'administration RH-SSO pour créer ces rôles et les assigner aux utilisateurs qui vont consommer les services distants.
Pour réussir une authentification de client de tierce partie via RH-SSO, vous pourrez choisir l'une des options suivantes :
- Authentification de base (si le client de l'application le supporte)
- Authentification basée jetons
11.3.1. Authentification de base
Copier lienLien copié sur presse-papiers!
Si vous avez activé l'authentification de base dans la configuration de l'adaptateur du client RH-SSO pour Business Central et Intelligent Process Server à la fois, vous pourrez éviter les appels de demandes/réactualisation de jetons et appeler les services comme expliqué dans l'exemple ci-dessous.
- Pour les points de terminaison distants basés web :
curl http://admin:password@localhost:8080/business-central/rest/repositories
curl http://admin:password@localhost:8080/business-central/rest/repositoriesCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Pour Intelligent Process Server :
curl http://admin:password@localhost:8080/kie-server/services/rest/server/
curl http://admin:password@localhost:8080/kie-server/services/rest/server/Copy to Clipboard Copied! Toggle word wrap Toggle overflow
11.3.2. Authentification basée jetons
Copier lienLien copié sur presse-papiers!
Si vous souhaitez opter pour une option plus sécurisée de l’authentification, vous pouvez consommer les services à distance de Central Business et Intelligent Process Server en utilisant un jeton obtenu par un nouveau client RH-SSO.
Procédure 11.8. Obtenir et utiliser un jeton pour autoriser les appels distants
- Cliquer sur l'onglet Client dans le menu principal d'administration de console, et cliquer sur pour créer un nouveau client.La page Ajouter Client s'ouvrira.
- Dans la page Ajouter Client, fournir les informations requises pour créer un nouveau client pour votre domaine. Exemple :
- ID Client : kie-remote
- Protocole Client : openid-connect
- Type d'accès : public
- URI de redirection valides: http://localhost/
- Cliquez pour enregistrer vos modifications.
- Obtenir un jeton à partir de Configurations de domaine.
- Dans la console admin RH-SSO, cliquer sur l'onglet Configurations de domaine.
- Cliquer sur l'onglet Jetons.
- Changer la valeur de Durée de vie des jetons d'accès à
15minutes.Cela vous donne suffisamment de temps pour obtenir un jeton et invoquer le service avant qu'il n'expire. - Cliquez pour enregistrer vos modifications.
- Une fois qu'un client public est créé pour vos clients distants, vous pourrez obtenir le jeton en faisant une requête HTTP au point de terminaison de jeton du serveur RH-SSO, en utilisant :
RESULT=`curl --data "grant_type=password&client_id=kie-remote&username=admin&password=password" http://localhost:8180/auth/realms/demo/protocol/openid-connect/token`
RESULT=`curl --data "grant_type=password&client_id=kie-remote&username=admin&password=password" http://localhost:8180/auth/realms/demo/protocol/openid-connect/token`Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Pour apercevoir le jeton obtenu du serveur RH-SSO, utiliser la commande suivante :
TOKEN=`echo $RESULT | sed 's/.*access_token":"//g' | sed 's/".*//g'`
TOKEN=`echo $RESULT | sed 's/.*access_token":"//g' | sed 's/".*//g'`Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Vous pouvez maintenant utiliser ce jeton pour autoriser les appels distants. Par exemple, si vous souhaitez vérifier les référentiels internes BPM Suite, utiliser le jeton comme expliqué ci-dessous :
curl -H "Authorization: bearer $TOKEN" http://localhost:8080/business-central/rest/repositories
curl -H "Authorization: bearer $TOKEN" http://localhost:8080/business-central/rest/repositories
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}