Il est th\u00e9oriquement possible depuis une instance d’une entit\u00e9 d\u00e9verrouill\u00e9e sur un serveur, local, de demander \u00e0 ouvrir une nouvelle instance sur un autre serveur, distant. Cette authentification peut simplement \u00eatre faite en rejouant le mot de passe de l’entit\u00e9 du serveur local. Il faut que le serveur distant connaisse l’entit\u00e9 et dispose de l’objet de la cl\u00e9 priv\u00e9e accessible avec le mot de passe. La nouvelle instance serait alors ouverte dans un nouvel onglet du navigateur.<\/p>\n
Cela implique la transmission du mot de passe. Il faut imp\u00e9rativement passer par une connexion chiffr\u00e9e (TLS) avec authentification (certificat) du serveur distant afin de prot\u00e9ger le transit du mot de passe.<\/p>\n
Cela implique aussi que le serveur distant va conna\u00eetre le mot de passe de l’entit\u00e9, au moins le temps de la session. Il faut donc avoir autant confiance dans le serveur distant qu’en le serveur local.<\/p>\n
Il est cependant possible aussi de transmettre le mot de passe d’une sous-entit\u00e9 vers le serveur distant. Ainsi on peut penser centraliser sur un serveur\/p\u00e9riph\u00e9rique local une entit\u00e9 ma\u00eetresse et ses sous-entit\u00e9, et utiliser certaines sous-entit\u00e9s exclusivement sur des serveurs distants, y compris des serveurs de faible confiance.<\/p>\n
Cela veut dire que l’on doit pouvoir associer une localisation avec une entit\u00e9.<\/p>\n
En fait, cela est tr\u00e8s simple \u00e0 r\u00e9aliser. Il suffit de g\u00e9n\u00e9rer un lien HTTP vers le serveur distant avec en argument l’application, l’entit\u00e9 et le mot de passe… le tout dans un nouvel onglet.<\/p>\n
Et en ajoutant dans le lien HTTP un mode et une vue il est m\u00eame possible de cha\u00eener l’authentification vers un troisi\u00e8me serveur. On a dans ce cas un niveau de relai d’authentification et un peu de dissimulation.<\/p>\n
Ceci n’est pas impl\u00e9ment\u00e9. Suite au prochain \u00e9pisode…<\/p>\n","protected":false},"excerpt":{"rendered":"
Il est th\u00e9oriquement possible depuis une instance d’une entit\u00e9 d\u00e9verrouill\u00e9e sur un serveur, local, de demander \u00e0 ouvrir une nouvelle instance sur un autre serveur, distant. Cette authentification peut simplement \u00eatre faite en rejouant le mot de passe de l’entit\u00e9 du serveur local. Il faut que le serveur distant connaisse l’entit\u00e9 et dispose de l’objet … Continuer la lecture de Relais d’authentification<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[59,72,79,81,93,101,105,24,27],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/3133"}],"collection":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3133"}],"version-history":[{"count":1,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/3133\/revisions"}],"predecessor-version":[{"id":3134,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/3133\/revisions\/3134"}],"wp:attachment":[{"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}