Consentement d’organisation sur la plateforme d’identité Mozaïk
Le consentement d’un administrateur d’applications est requis pour accorder les autorisations d’une application. Ce rôle doit être attribué par l’administrateur de l’organisation
dans l’environnement Mozaïk-Portail.
Demander les autorisations à un administrateur d’applications
Lorsque vous êtes prêt à demander les autorisations à l’administrateur, vous pouvez rediriger l’utilisateur vers le point de terminaison de consentement d’organisation de la plateforme d’identités Mozaïk.
Les sauts de ligne sont pour la lisibilité seulement.
GET /tenantconsent?
client_id=4de54d7b-cc83-4ad1-ac97-3a0c94288a10
&redirect_uri=https%3A%2F%2Flocalhost%2Fapp%2Fpermissions
&scope=openid%20identity.read
&state=12345
HTTP/1.1
Host: mozaikacces.ca
| Paramètre | Condition | Description |
|---|---|---|
client_id |
Obligatoire | L’identifiant client attribué à votre application par l’environnement Espace API. |
redirect_uri |
Obligatoire | L’URI de redirection où vous souhaitez que la réponse soit envoyée pour être gérée par votre application. Il doit correspondre exactement à l’un des URI de redirection que vous avez inscrits dans l’environnement Espace API. |
scope |
Obligatoire | L’ensemble des autorisations demandées par l’application séparées par des espaces. Cela peut inclure les portées OpenID Connect (openid, profile, email). Les noms des portées sont sensibles à la casse. La valeur doit correspondre à des portées que vous avez inscrites dans l’environnement Espace API. |
state |
Recommandé | Une valeur incluse dans la requête, qui sera également renvoyée dans la réponse. Il peut s’agir d’une valeur de votre choix. Une valeur unique générée de manière aléatoire est généralement utilisée pour empêcher les falsifications de requête intersite. La valeur d’état est également utilisée pour coder les informations sur l’état de l’utilisateur dans l’application avant la requête d’authentification, comme la page ou l’écran sur lequel ou laquelle il était positionné. |
À ce stade, la plateforme d’identité Mozaïk nécessite qu’un administrateur se connecte pour terminer la demande. L’administrateur est invité à approuver toutes les autorisations que vous avez demandées dans le paramètre scope.
Réponse réussie
Si l’administrateur approuve les autorisations pour votre application, la réponse réussie ressemble à ce qui suit :
Les sauts de ligne sont pour la lisibilité seulement.
HTTP/1.1 302 Found
Location: https://localhost/app/permissions?
tenant_id=39b97f84-f2e0-4b27-882a-7bc951c1dea8
&state=12345
&scope=openid%20identity.read
| Paramètre | Description |
|---|---|
tenant_id |
L’identifiant de l’organisation ayant accordé à votre application les autorisations demandées. |
scope |
L’ensemble des autorisations accordées à votre application séparées par des espaces. |
state |
L’application doit vérifier que les valeurs d’état de la requête et de la réponse sont identiques. Inclus si state inclut dans la requête initiale. |
Vous pouvez utiliser la réponse pour conserver et suivre l’adhésion à votre application.
Réponse d’erreur
Si l’administrateur refuse les autorisations pour votre application, la réponse d’erreur ressemble à ce qui suit :
Les sauts de ligne sont pour la lisibilité seulement.
HTTP/1.1 302 Found
Location: https://localhost/app/permissions?
error=consent_required
&error_description=The%20resource%20owner%20or%20authorization%20server%20denied%20the%20request
&tenant=39b97f84-f2e0-4b27-882a-7bc951c1dea
&state=12345
| Paramètre | Description |
|---|---|
error |
Un code d’erreur que vous pouvez utiliser pour classer les types d’erreurs se produisant et intervenir face aux erreurs. |
error_description |
Un message d’erreur spécifique qui peut vous aider à identifier la cause principale d’une erreur d’authentification. |
tenant_id |
L’identifiant de l’organisation ayant refusé à votre application les autorisations demandées. |
state |
La valeur incluse dans la requête initiale de demande d’autorisations. L’application doit vérifier que les valeurs d’état de la demande et de la réponse sont identiques. |
scope |
L’ensemble des autorisations refusées à votre application. |