Connexion OpenID

Utiliser mon Dolibarr
1

Bonjour,

Nous avons testé avec succès la connexion OpenID sur Easya cette semaine et après 6 mois d’attente, la fonction vient d’être intégrée sur Dolibarr dans la version develop (future v18).

Voici le PR de base : (Merci @jeritiana)

https://github.com/Dolibarr/dolibarr/pull/22741

En attendant, pour les impatients, la fonction est disponible via un module externe :

Bonne journée à tous

7 « J'aime »
2

J’ai réussi à faire la liaison Entra ID (anciennement Azure AD) de Microsoft avec Dolibarr.

Comme la config n’est pas simple, je la partage ici.

Je vais vite sur la partie générique qui est visible ici :Feature Request: OpenID Connect authentication · Issue #22740 · Dolibarr/dolibarr · GitHub

Modification du fichier conf.php

Sélection_017
Sélection_0171226×295 46.4 KB

3

Ensuite la partie spécifique à Entra ID et aux URL à configurer :

Pour cet exemple je vais prendre « user1 » qui est sur mon Entra ID

Sélection_020
Sélection_0202080×1374 265 KB

Attention il faut que le compte Dolibarr soit pré-existant, et que le nom d’affichage de Entra ID corresponde à l’utilisateur dans Dolibarr (puisque dans mon cas j’ai configuré MAIN_AUTHENTICATION_OIDC_LOGIN_CLAIM = name)

Sélection_021
Sélection_0212152×1999 304 KB

Sélection_022
Sélection_0222107×616 78.3 KB

4

Inscription d’une application : je créé une application dédiée à la gestion de la connexion.

« dolibarr demo » peut être ignorée, je l’ai créée pour la synchronisation Dolibarr <=> Microsoft des agendas et l’envoi de mails par Dolibarr via exchange.

Sélection_023
Sélection_0231629×1397 229 KB

Ici l’ID d’application est l’information importante, et sera à renseigner dans vos différentes URL dans les constantes Dolibarr.
Vous aurez aussi besoin d’aller regarder vos points de terminaison pour certaines URL à renseigner dans Dolibarr :

Sélection_032
Sélection_0324070×558 211 KB

Renseignez les URL de votre instance

Sélection_025
Sélection_0251810×2462 465 KB

Créez un secret. Notez le dans votre keepass ou de façon provisoire (pourra être oublié une fois rentré dans les constantes), il n’est affiché que lors de la création.

Sélection_028
Sélection_0281724×1527 241 KB

Donnez les droits API à l’application

Sélection_029
Sélection_0291886×1396 310 KB

Vous pouvez ajouter votre compte admin comme propriétaire de l’application

Sélection_030
Sélection_0301446×1288 145 KB

Et normalement on est OK coté Microsoft

Coté paramétrage Dolibarr, il faut renseigner les divers constantes / URL :

Sélection_031
Sélection_0311652×2206 381 KB

MAIN_AUTHENTICATION_OIDC_LOGIN_CLAIM : name

MAIN_AUTHENTICATION_OIDC_REDIRECT_URL : https://demo.progiseize.fr/?openid_mode=true

MAIN_AUTHENTICATION_OIDC_TOKEN_URL : https://login.microsoftonline.com/c9334a7e-05f8-4...../oauth2/v2.0/token

MAIN_AUTHENTICATION_OIDC_USERINFO_URL : https://graph.microsoft.com/oidc/userinfo

MAIN_AUTHENTICATION_OPENID_URL : https://login.microsoftonline.com/c9334a7e-05...../oauth2/v2.0/authorize?client_id=d70ae7......&scope=openid+email+profile+User.Read&response_type=code

MAIN_AUTHENTICATION_OIDC_CLIENT_ID : d70ae7f.....

MAIN_AUTHENTICATION_OIDC_CLIENT_SECRET : t5e8Q.....

A partir de là vos utilisateurs peuvent utiliser les identifiants Entra ID, avec le 2FA et les règles d’accès conditionnelles et tous les autres éléments de sécurité qui vont bien :

Sélection_033
Sélection_0331409×1048 60.4 KB

Sélection_034
Sélection_0341341×1412 79.6 KB

Sélection_035
Sélection_035897×847 56.4 KB

Sélection_036
Sélection_036986×869 69.6 KB

Et le tour est joué ! L’utilisateur est connecté à l’ERP en passant par Entra ID

Sélection_037
Sélection_0372483×355 62 KB

3 « J'aime »
5

Bonjour,

ce système a été, il me semble, intégré dans la V18…

Par contre, j’ai un petit souci car je ne sais quelle valeur mettre dans le fichier conf.php une fois tout configuré pour retrouver la possibilité de me connecter… et rien dans la doc… Authentication, SSO and SSL - Dolibarr ERP CRM Wiki

Par avance merci de votre aide.

6

@aspangaro-Easya saurais-tu si la connexion openid a été intégrée dans le core ?

De mon coté je suis reparti du module que tu mets en lien pour le guide sur le forum

7

Bonsoir,

Si tu suis le 1er message, on voit que le PR a été intégré dans la version 18.0.0 de Dolibarr donc tu peux y aller

Bonne soirée

8

Bonjour et désolé pour ma question « idiote »…

Doit-on ajouter les variables MAIN_AUTHENTICATION_OIDC_%%%% dans le divers ? ou doit-on utiliser les écrans de la gestion des jetons OAuth2 ?
image

Merci d’avance de votre aide…

9

Bonjour @AurelienBisotti , @aspangaro-Easya

J’aurai besoin d’un petit coup de main… comment puis-je diagnostiquer le « retour » de OpenID…

J’ai bien l’authentification qui semble OK… je passe bien via O365, mais lors du retour… je reste sur la page de login…

Merci d’avance pour votre aide :slight_smile:

10

Si tu restes bloqué à la page de login Dolibarr après t’êtres connecté depuis l’interface Microsoft, tu peux regarder l’URL qui t’es renvoyée par Microsoft.
Il y a une chaîne de caractères qui contient l’erreur.

11

Merci !

En suivant à la lettre le tuto ça fonctionne pour moi.

J’ai quand même une question pour @AurelienBisotti, y a-t-il un moyen de désactiver la connexion par login + mot de passe pour forcer l’utilisation de l’OpenID ?

12

Je m’auto répond, en modifiant le fichier conf.php en ne laissant que la valeur « Openid_connect » et donc supprimant « dolibarr », l’interface login + mot de passe s’affiche toujours mais ne semble plus opérationnelle.

13

Il faudrait que tu en fasses une issue sur github, pour que cela soit patché directement dans le core

1 « J'aime »