Dans un monde idéal, il existe une unique source d’authentification centrale pour gouverner l’ensemble des assets privés d’une entreprise. La réalité est souvent bien différente.
La Digital Factory Bpi France a notamment constaté avec Padok les problèmes suivants :
– les outils internes (kibana, sentry, metabase, …) qui ne supportent pas openid (en particulier dans leur version opensource)
– les applications métiers hors-production qui ne supportent pas openid
Résultat : les employés avaient des comptes dédiés sur chaque application et les applications en cours de développement n’étaient pas protégées par une authentification.
C’est pour cela qu’oauth2-proxy a vu le jour : un composant opensource qui permet de déléguer l’authentification pour une ou plusieurs applications de manière transparente. Les avantages sont :
– La sécurité : l’utilisateur utilise son identifiant unique, facilitant la gestion des droits et l’offboarding
– La simplicité : l’application tierce n’a pas besoin de stocker les informations d’identification de l’utilisateur.
– L’évolutivité : l’authentification OAuth2 peut être utilisée pour autoriser l’accès à plusieurs applications tierces, ce qui permet une évolutivité facile et une gestion centralisée des autorisations.
Dans cette présentation, nous vous raconterons comment nous avons mis en place oauth2-proxy à la Digital Factor de Bpi France : ses avantages et ses limites et les détails d’implémentation.