Scrydon comme fournisseur d'identité
Utilisez Scrydon comme fournisseur d'identité OAuth 2.1 / OIDC pour vos propres applications — connectez les utilisateurs avec leur compte Scrydon et appelez les API Scrydon en leur nom.
Scrydon est un fournisseur d'identité OAuth 2.1 / OpenID Connect complet. Toute application que vous créez — outils internes, SaaS destiné aux clients, copilotes IA, applications mobiles — peut utiliser Scrydon pour connecter les utilisateurs et obtenir des jetons d'accès scopés pour les API Scrydon (chat, workflows, stockage, connaissances).
Le fournisseur d'identité est accessible via l'onglet Identité de Paramètres → Plateforme → Identité. Cette page affiche les URL de points de terminaison exactes pour votre tenant.
Copiez toujours les URL des points de terminaison depuis l'onglet Identité dans l'interface. Le nom d'hôte est spécifique au tenant — chaque déploiement déclare sa propre URL d'auth publique (PUBLIC_AUTH_URL), et l'interface affiche exactement cette valeur. Taper les noms d'hôtes manuellement (auth.<tenant>.scrydon.com, api-platform.<tenant>...) peut souvent pointer vers le mauvais hôte et retourner une erreur 404.
Points de terminaison
Scrydon implémente la surface standard OIDC / OAuth 2.1. Tous les points de terminaison se trouvent sous /api/auth/ sur l'hôte d'auth.
| Objectif | Chemin |
|---|---|
| Découverte OIDC | /api/auth/.well-known/openid-configuration |
| JWKS (clés de signature publiques) | /api/auth/.well-known/jwks |
| Autorisation | /api/auth/oauth2/authorize |
| Échange de jeton | /api/auth/oauth2/token |
| Userinfo | /api/auth/oauth2/userinfo |
| Introspection de jeton (RFC 7662) | /api/auth/oauth2/introspect |
| Révocation de jeton (RFC 7009) | /api/auth/oauth2/revoke |
| Enregistrement dynamique de client (RFC 7591) | /api/auth/oauth2/register |
La plupart des bibliothèques de partie utilisatrice (RP) n'ont besoin que de l'URL de découverte — elles récupèrent tout le reste depuis le document de découverte.
Flux pris en charge
Scrydon prend en charge l'ensemble des fonctionnalités OAuth 2.1 / OIDC requises pour les applications d'entreprise :
- Authorization Code + PKCE — recommandé pour toutes les applications interactives (web, SPA, mobile, CLI).
- Client Credentials — pour l'automatisation backend à backend en l'absence d'utilisateur.
- Jetons de rafraîchissement — accès hors ligne longue durée, rotation imposée.
- ID tokens — JWT signés portant l'identité de l'utilisateur ; décodez avec le JWKS.
- Revendications personnalisées — Scrydon injecte le contexte tenant / espace de travail / environnement dans les ID tokens pour les applications que vous enregistrez.
Enregistrer un client OAuth (Mini App)
Toute application souhaitant utiliser Scrydon comme fournisseur d'identité a besoin d'un ID client. Vous en créez un depuis l'interface — Scrydon les appelle des Mini Apps :
Ouvrir Applications enregistrées
Accédez à Paramètres → Organisation → Applications enregistrées et cliquez sur Enregistrer une Mini App.
Remplir le formulaire
- Nom de l'application — tout libellé lisible par l'homme.
- Espace de travail — l'espace de travail Scrydon dans lequel votre application opère. Chaque environnement de cet espace de travail obtient son propre ID client afin que vous puissiez émettre des informations d'identification distinctes pour le développement / la préproduction / la production.
- URI de redirection — l'URL à laquelle votre application reçoit le code d'autorisation. Par défaut
http://localhost:3000/callbackpour le développement local. - Scopes autorisés — choisissez ce que votre application est autorisée à demander. Valeurs valides :
chat,workflows,storage,knowledge. Vous pouvez toujours demanderopenid,profile,emailen plus.
Copier les IDs client
Après l'enregistrement, vous verrez un ID client par environnement. Stockez-les comme toute autre information d'identification client OAuth. Le plugin émet des IDs par environnement afin qu'une fuite en préproduction ne puisse pas être rejouée contre la production.
Scrydon utilise PKCE pour tous les clients publics — vous n'avez pas besoin (et ne recevrez pas) de secret client pour les SPA, applications mobiles ou CLI. Les applications backend pouvant conserver un secret peuvent utiliser le flux d'informations d'identification client ; contactez le support pour l'activer sur votre tenant.
Où aller ensuite
Tester votre configuration avec oidcdebugger.com
Test de vérification en cinq minutes qui parcourt un échange de code d'autorisation + PKCE de bout en bout sans écrire une seule ligne de code.
Démo phare — connexion + appel de l'API Chat
Construisez une petite application React qui connecte les utilisateurs avec Scrydon et appelle un déploiement de chat en utilisant le jeton d'accès résultant.