Aller au contenu

Ory

FonctionnalitéSupport
Gestion utilisateurs✅ Complète
Organisations✅ Ory Network uniquement (nécessite ORY_API_KEY)
Journaux d’audit❌ Non supporté
  1. Lancer Ory Kratos (auto-hébergé) ou créer un projet Ory Network

    Auto-hébergé : Téléchargez Ory Kratos depuis ory.sh/download et lancez-le avec votre schéma d’identité. L’API admin écoute sur le port 4434 par défaut.

    Terminal window
    # Exemple : lancer Kratos avec Docker
    docker run -d \
    -p 4434:4434 \
    oryd/kratos:latest serve --config /etc/config/kratos/kratos.yml

    Ory Network : Créez un projet sur console.ory.sh. L’URL de votre projet est https://<slug>.projects.oryapis.com.

  2. Créer une clé API (Ory Network uniquement)

    Dans la console Ory, allez dans Paramètres du projet → Clés API et créez un nouveau jeton d’accès personnel. Cela permet à AUMS de s’authentifier et déverrouille également la gestion des organisations.

  3. Configurer votre schéma d’identité

    AUMS attend que les identités stockent l’adresse e-mail dans traits.email et optionnellement le nom dans traits.name.first / traits.name.last. Utilisez le schéma intégré preset://email ou un schéma personnalisé suivant cette structure.

    {
    "$id": "https://schemas.ory.sh/presets/kratos/identity.email.schema.json",
    "type": "object",
    "properties": {
    "traits": {
    "type": "object",
    "properties": {
    "email": { "type": "string", "format": "email" },
    "name": {
    "type": "object",
    "properties": {
    "first": { "type": "string" },
    "last": { "type": "string" }
    }
    }
    },
    "required": ["email"]
    }
    }
    }
  4. Définir les variables d’environnement

    Kratos auto-hébergé :

    Terminal window
    PROVIDER=ory
    ORY_ADMIN_URL=http://localhost:4434

    Ory Network :

    Terminal window
    PROVIDER=ory
    ORY_ADMIN_URL=https://<votre-slug>.projects.oryapis.com
    ORY_API_KEY=ory_pat_XXXXXXXXXXXXXXXX

    Optionnel :

    Terminal window
    ORY_SCHEMA_ID=default # identifiant de schéma d'identité utilisé à la création (défaut : default)

Les organisations sont disponibles sur Ory Network uniquement (définissez ORY_API_KEY pour les activer). Ory Kratos auto-hébergé n’inclut pas l’API des organisations.

Lorsque ORY_API_KEY est défini, AUMS associe les organisations Ory Network aux organisations AUMS :

Opération AUMSAppel API Ory Network
Lister les orgsGET /admin/organizations
Créer une orgPOST /admin/organizations
Modifier une orgPUT /admin/organizations/{id}
Supprimer une orgDELETE /admin/organizations/{id}
  • État de l’identité — Bloquer un utilisateur définit l’état de l’identité Ory à inactive. Les identités inactives ne peuvent pas se connecter.
  • Vérification email — Gérée via le champ verifiable_addresses de l’identité. AUMS peut marquer les emails comme vérifiés ou non vérifiés à la création et à la mise à jour.
  • Nom d’affichage — Stocké dans traits.name.first et traits.name.last. Nécessite que votre schéma d’identité inclue l’objet name dans les traits.
  • Mot de passe — Les mots de passe sont définis via le champ credentials.password à la création ou la mise à jour. Laissez vide pour créer une identité sans mot de passe (OIDC/WebAuthn uniquement).
  • Identifiant de schéma — AUMS utilise ORY_SCHEMA_ID (défaut : default) lors de la création d’identités. Assurez-vous que cet identifiant de schéma existe dans votre configuration Ory.
  • Pagination — Les résultats de liste sont basés sur un curseur via le page_token d’Ory. Le nombre total reflète uniquement la taille de la page courante (Ory ne retourne pas un total global sur toutes les versions).

Pour protéger le tableau de bord AUMS avec le SSO Ory, créez un client OAuth2 dans Ory et configurez-le comme fournisseur OIDC :

Kratos auto-hébergé + Hydra :

Terminal window
AUTH_CLIENT_OPENID_CONFIGURATION_URL=https://votre-instance-hydra/.well-known/openid-configuration
AUTH_CLIENT_ID=your-oidc-client-id
AUTH_CLIENT_SECRET=your-oidc-client-secret

Ory Network :

Terminal window
AUTH_CLIENT_OPENID_CONFIGURATION_URL=https://<votre-slug>.projects.oryapis.com/.well-known/openid-configuration
AUTH_CLIENT_ID=your-oidc-client-id
AUTH_CLIENT_SECRET=your-oidc-client-secret

Ajoutez <BASE_URL>/api/auth/callback/oidc aux URIs de redirection autorisées de votre client OAuth2 Ory.