Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
PlateformeModifier une application par ID
Met à jour les paramètres d’un client. Pour en savoir plus, consultez Applications dans Auth0 et authentification unique.
Remarques :
- Les attributs
client_secretetsigning_keyne peuvent être mis à jour qu’avec le scopeupdate:client_keys. - Les propriétés
client_authentication_methodsettoken_endpoint_auth_methods’excluent mutuellement. Utilisezclient_authentication_methodspour configurer le client avec la méthode d’authentification Private Key JWT. Sinon, utiliseztoken_endpoint_auth_methodpour configurer le client avec un Secret client (basic ou post) ou sans méthode d’authentification (none). - Lorsque vous utilisez
client_authentication_methodspour configurer le client avec la méthode d’authentification Private Key JWT, précisez uniquement les ID d’informations d’identification générés lors de la création des informations d’identification sur le client. - Pour configurer
client_authentication_methods, le scopeupdate:client_credentialsest requis. - Pour configurer
client_authentication_methods, la propriétéjwt_configuration.algdoit être définie sur RS256. - Pour remplacer par
falsela propriétéis_first_partyd’un client, les propriétésorganization_usageetorganization_require_behaviorne doivent pas être définies.
Autorisations
Bearer authentication header of the form Bearer <token>, where <token> is your auth token.
Paramètres de chemin
ID du client à mettre à jour.
Corps
Modules complémentaires activés pour ce client et leurs configurations associées.
ID des applications autorisées à effectuer des requêtes de délégation. Par défaut, toutes vos applications seront autorisées. Ce champ vous permet de spécifier des applications précises.
1URL valides vers lesquelles rediriger après la déconnexion d’Auth0
Ensemble d’URL représentant les origines valides pour CORS
Le type d’application que représente ce client
native, spa, regular_web, non_interactive, resource_server, express_configuration, rms, box, cloudbees, concur, dropbox, mscrm, echosign, egnyte, newrelic, office365, salesforce, sentry, sharepoint, slack, springcm, zendesk, zoom, sso_integration, oag Tableau des canaux de notification pour communiquer avec l’utilisateur lorsque son approbation est requise. Les valeurs valides sont guardian-push, email.
1guardian-push, email Ensemble d’URL valides pour les rappels depuis Auth0 lors de l’authentification des utilisateurs
Liste des audiences pour le protocole SAML
1Définit les méthodes d’authentification du client.
Métadonnées associées à l’application, sous la forme d’un objet contenant des valeurs de type chaîne de caractères (max. 255 caractères). Maximum de 10 propriétés de métadonnées autorisées. Les noms de champ (max. 255 caractères) sont alphanumériques et peuvent inclure uniquement les caractères spéciaux suivants : :,-+=_*?"/()<>@ [Tab] [espace]
Le secret utilisé pour signer les jetons de l’application
1Définit le niveau de conformité de cette application, ce qui peut en restreindre les capacités.
none, fapi1_adv_pkj_par, fapi1_adv_mtls_par, fapi2_sp_pkj_mtls, fapi2_sp_mtls_mtls, null true si cette application peut être utilisée pour effectuer des requêtes d’authentification inter-origine, false sinon, si l’authentification inter-origine est désactivée
URL de l’emplacement sur votre site où s’effectue la vérification inter-origine pour le flux d’authentification inter-origine lorsque vous effectuez l’authentification sur votre propre domaine plutôt que sur la page de connexion hébergée par Auth0.
Le contenu (HTML, CSS, JS) de la page de connexion personnalisée
true si la page de connexion personnalisée doit être utilisée, false sinon.
Définit l’ID d’Organisation par défaut et les flux.
Description libre de l’objectif de l’application. (Longueur maximale : 140 caractères)
140La clé de chiffrement de l’application
Configuration propre à l’application pour la fonctionnalité Configuration Express OIN.
Configurer les paramètres de connexion FedCM pour New Universal Login
Modèle de formulaire pour le protocole WS-Federation
Ensemble de types d’octroi que l’application est autorisée à utiliser. Peut inclure authorization_code, implicit, refresh_token, client_credentials, password, http://auth0.com/oauth/grant-type/password-realm, http://auth0.com/oauth/grant-type/mfa-oob, http://auth0.com/oauth/grant-type/mfa-otp, http://auth0.com/oauth/grant-type/mfa-recovery-code, urn:openid:params:grant-type:ciba, urn:ietf:params:oauth:grant-type:device_code et urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token.
1URI d’initialisation de la connexion, doit utiliser HTTPS
Indique s’il s’agit ou non d’une application propriétaire
Si la valeur est true, l’IP indiquée dans l’en-tête auth0-forwarded-for est considérée comme étant l’IP de l’utilisateur final pour la protection contre les attaques par force brute sur le point de terminaison de jeton.
Objet contenant les paramètres liés à la création des JWT
L’URL du logo de l’application (taille recommandée : 150x150)
Configuration liée aux applications mobiles natives
Configuration liée à My Organization Configuration pour l’application.
Le nom de l’application. Doit contenir au moins un caractère. Les caractères « < » et « > » ne sont pas autorisés.
^[^<>]+$Configurer les paramètres de connexion sociale native
Configuration de la déconnexion OIDC par canal arrière (obsolète, remplacée par oidc_logout)
Indique si cette application respecte strictement les spécifications OIDC
Configuration de la déconnexion OIDC par canal arrière
Définit les méthodes disponibles pour la découverte de l’organisation pendant le pre_login_prompt. Les utilisateurs peuvent découvrir leur organisation au moyen de email, de organization_name ou des deux.
1Méthode de découverte des organisations pendant pre_login_prompt. email permet aux utilisateurs de trouver leur organisation en entrant leur adresse de courriel et en faisant correspondre le domaine, tandis que organization_name oblige les utilisateurs à entrer directement le nom de l’organisation. Ces méthodes peuvent être combinées.
email, organization_name Définit comment procéder pendant une transaction d’authentification lorsque client.organization_usage: 'require'. Les valeurs possibles sont no_prompt (par défaut), pre_login_prompt ou post_login_prompt. post_login_prompt exige oidc_conformant: true.
no_prompt, pre_login_prompt, post_login_prompt, null Définit comment procéder pendant une transaction d’authentification en ce qui concerne une organisation. Les valeurs possibles sont deny (par défaut), allow ou require.
deny, allow, require, null Spécifie la durée de validité, en secondes, d’un URI de requête d’autorisation poussée
10 <= x <= 600Contrôle si Auth0 redirige les utilisateurs vers l’URL de rappel de l’application en cas d’erreurs d’authentification ou dans les flux de vérification du courriel. open_redirect_protection affiche plutôt une page d’erreur que d’effectuer une redirection et masque le domaine de rappel dans les modèles de courriel. allow_always active le comportement de redirection standard. La valeur par défaut est open_redirect_protection pour les applications tierces. S’applique uniquement lorsque is_first_party est false et que third_party_security_mode est strict. Pour en savoir plus, consultez Protection contre les redirections.
allow_always, open_redirect_protection Configuration des jetons d’actualisation
Rend obligatoire l’utilisation de la preuve de possession pour cette application
Rend obligatoire l’utilisation des requêtes d’autorisation poussées pour cette application
Configuration du SSO natif vers le Web
Paramètres des requêtes d’autorisation sécurisées par JWT (JAR).
Détermine si une invite de confirmation s’affiche pendant les flux de connexion lorsque l’URI de redirection utilise des URI de rappel non vérifiables (par exemple, un schéma d’URI personnalisé comme myapp:// ou localhost).
Si cette valeur est définie sur true, aucune invite de confirmation ne s’affiche. Nous recommandons de la définir sur false pour mieux vous protéger contre les applications malveillantes.
Consultez https://auth0.com/docs/secure/security-guidance/measures-against-app-impersonation pour en savoir plus.
true pour utiliser Auth0 au lieu de l’IdP afin d’effectuer l’authentification unique, false sinon (par défaut : false)
true pour désactiver l’authentification unique, false sinon (par défaut : false)
Mode de sécurité pour les applications tierces. strict applique des contrôles de sécurité renforcés : alignement sur OAuth 2.1, autorisation explicite des API et ensemble sélectionné de fonctionnalités prises en charge. permissive préserve le comportement existant et n’est disponible que pour les locataires ayant déjà utilisé des applications tierces. Cette valeur est définie à la création et ne peut pas être modifiée.
strict, permissive Définit la méthode d’authentification demandée pour le point de terminaison de jeton. Les valeurs possibles sont none (application publique sans secret client), client_secret_post (l’application utilise des paramètres HTTP POST) ou client_secret_basic (l’application utilise HTTP Basic).
none, client_secret_post, client_secret_basic, null Configuration de l’échange de jetons.
Ensemble d’URL représentant les origines Web valides à utiliser avec le mode de réponse web_message
Réponse
Client mis à jour avec succès.
Modules complémentaires activés pour ce client et leurs configurations associées.
Liste des applications et des id d’API autorisés à effectuer des requêtes de delegation. Une valeur vide signifie que toutes vos applications sont autorisées.
Liste d’URL séparées par des virgules vers lesquelles il est possible de rediriger après la déconnexion d’Auth0. Les caractères génériques sont autorisés pour les sous-domaines.
Liste d’URL séparées par des virgules autorisées à envoyer des requêtes JavaScript à l’API Auth0 (généralement utilisée avec CORS). Par défaut, toutes vos URL de rappel seront autorisées. Ce champ vous permet d’indiquer d’autres origines au besoin. Vous pouvez aussi utiliser des caractères génériques au niveau du sous-domaine (p. ex., https://*.contoso.com). Les chaînes de requête et les informations de hash ne sont pas prises en compte lors de la validation de ces URL.
Le type d’application que représente ce client
native, spa, regular_web, non_interactive, resource_server, express_configuration, rms, box, cloudbees, concur, dropbox, mscrm, echosign, egnyte, newrelic, office365, salesforce, sentry, sharepoint, slack, springcm, zendesk, zoom, sso_integration, oag Tableau des canaux de notification pour communiquer avec l’utilisateur lorsque son approbation est requise. Les valeurs valides sont guardian-push, email.
1guardian-push, email Liste d’URL séparées par des virgules et sur liste blanche qu’Auth0 peut utiliser comme URL de rappel vers l’application après l’authentification.
Liste des audiences/realms pour le protocole SAML. Utilisée par l’addon wsfed.
Définit les méthodes d’authentification du client.
ID de cette application.
Métadonnées associées à l’application, sous la forme d’un objet contenant des valeurs de type chaîne de caractères (max. 255 caractères). Maximum de 10 propriétés de métadonnées autorisées. Les noms de champ (max. 255 caractères) sont alphanumériques et peuvent inclure uniquement les caractères spéciaux suivants : :,-+=_*?"/()<>@ [Tab] [espace]
Secret client (que vous ne devez pas rendre public).
Définit le niveau de conformité de cette application, ce qui peut en restreindre les capacités.
none, fapi1_adv_pkj_par, fapi1_adv_mtls_par, fapi2_sp_pkj_mtls, fapi2_sp_mtls_mtls, null Indique si cette application peut être utilisée pour effectuer des requêtes d’authentification inter-origine (true) ou si elle n’est pas autorisée à effectuer ce type de requêtes (false).
URL de l’emplacement de votre site où s’effectue la vérification inter-origine pour le flux d’authentification inter-origine lorsque l’authentification est effectuée sur votre propre domaine plutôt que sur la page de connexion hébergée par Auth0.
Contenu (HTML, CSS, JS) de la page de connexion personnalisée.
Indique si une page de connexion personnalisée doit être utilisée (true) ou si la page de connexion par défaut fournie doit l’être (false).
Contenu (HTML, CSS, JS) de la page de connexion personnalisée. (Utilisé dans les aperçus)
Définit l’ID d’Organisation par défaut et les flux.
Description libre de cette application (longueur maximale : 140 caractères).
Chiffrement utilisé pour les réponses WsFed avec cette application.
Configuration propre à l’application pour la fonctionnalité Configuration Express OIN.
Un autre identifiant d’application à utiliser pendant les flux d’autorisation. Prend uniquement en charge les identifiants d’application basés sur CIMD.
Indique qui a créé l’application avec métadonnées externes. La valeur admin indique que l’application a été enregistrée au moyen de la Management API. La valeur client indique que l’application a été enregistrée dynamiquement. Ce champ n’est présent que lorsque external_metadata_type est défini.
admin, client Indique le type de métadonnées externes utilisé pour enregistrer l’application. Ce champ est omis pour les applications ordinaires. La valeur cimd identifie les applications enregistrées au moyen d’un document de métadonnées d’ID client. La valeur dcr identifie les applications enregistrées au moyen de l’Enregistrement dynamique des applications.
cimd, dcr Modèle de formulaire HTML à utiliser pour WS-Federation.
Indique s’il s’agit de votre application globale « All Applications », qui représente les anciens paramètres du locataire (true), ou d’une application standard (false).
Liste des types d’octroi pris en charge pour cette application. Peut inclure authorization_code, implicit, refresh_token, client_credentials, password, http://auth0.com/oauth/grant-type/password-realm, http://auth0.com/oauth/grant-type/mfa-oob, http://auth0.com/oauth/grant-type/mfa-otp, http://auth0.com/oauth/grant-type/mfa-recovery-code, urn:openid:params:grant-type:ciba, urn:ietf:params:oauth:grant-type:device_code et urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token.
URI d’initialisation de connexion; doit utiliser HTTPS
Indique si cette application est une application de première partie (true) ou non (false).
Si la valeur est true, l’adresse IP indiquée dans l’en-tête auth0-forwarded-for est considérée comme étant celle de l’utilisateur final pour la protection contre les attaques par force brute au point de terminaison de jeton.
URL de l’ensemble de clés JSON Web (JWKS) contenant les clés publiques utilisées pour l’authentification private_key_jwt. Présente uniquement pour les clients CIMD utilisant l’authentification private_key_jwt.
Configuration liée aux JWT pour l’application.
URL du logo à afficher pour cette application. La taille recommandée est de 150 × 150 pixels.
Configuration supplémentaire pour les applications mobiles natives.
Configuration liée à My Organization Configuration pour l’application.
Nom de cette application (longueur minimale : 1 caractère; n’autorise pas < ni >).
Indique si cette application est conforme aux spécifications OIDC strictes (true) ou si elle utilise des fonctionnalités anciennes (false).
Configuration de la déconnexion OIDC par canal arrière
Définit les méthodes disponibles pour la découverte de l’organisation pendant le pre_login_prompt. Les utilisateurs peuvent découvrir leur organisation à l’aide de email, de organization_name ou des deux.
1Méthode de découverte des organisations pendant pre_login_prompt. email permet aux utilisateurs de trouver leur organisation en entrant leur adresse de courriel et en faisant correspondre le domaine, tandis que organization_name oblige les utilisateurs à entrer directement le nom de l’organisation. Ces méthodes peuvent être combinées.
email, organization_name Définit comment procéder pendant une transaction d’authentification lorsque client.organization_usage: 'require'. Les valeurs possibles sont no_prompt (par défaut), pre_login_prompt ou post_login_prompt. post_login_prompt exige oidc_conformant: true.
no_prompt, pre_login_prompt, post_login_prompt Définit comment procéder pendant une transaction d’authentification en ce qui concerne une organisation. Les valeurs possibles sont deny (par défaut), allow ou require.
deny, allow, require Indique pendant combien de temps, en secondes, une URI de requête d’autorisation poussée reste valide
10 <= x <= 600Contrôle si Auth0 redirige les utilisateurs vers l’URL de rappel de l’application en cas d’erreurs d’authentification ou dans les flux de vérification du courriel. open_redirect_protection affiche plutôt une page d’erreur que d’effectuer une redirection et masque le domaine de rappel dans les modèles de courriel. allow_always active le comportement de redirection standard. La valeur par défaut est open_redirect_protection pour les applications tierces. S’applique uniquement lorsque is_first_party est false et que third_party_security_mode est strict. Pour en savoir plus, consultez Protection contre les redirections.
allow_always, open_redirect_protection Configuration des jetons d’actualisation
Rend obligatoire l’utilisation de la preuve de possession pour cette application
Rend obligatoire l’utilisation des requêtes d’autorisation poussée pour cette application
L’identifiant du serveur de ressources auquel cette application est liée.
Configuration du SSO natif vers le Web
Paramètres des requêtes d’autorisation sécurisées par JWT (JAR).
Certificats de signature associés à cette application.
Contrôle si une invite de confirmation s’affiche pendant les flux de connexion lorsque l’URI de redirection utilise des URI de callback non vérifiables (par exemple, un schéma d’URI personnalisé comme myapp:// ou localhost).
Si la valeur est true, aucune invite de confirmation ne s’affichera. Nous recommandons de définir cette valeur à false pour mieux vous protéger contre les applications malveillantes.
Consultez https://auth0.com/docs/secure/security-guidance/measures-against-app-impersonation pour en savoir plus.
S’applique uniquement aux applications SSO et détermine si Auth0 prendra en charge l’authentification unique (true) ou si ce sera le fournisseur d’identité (false).
Indique si l’authentification unique est désactivée (true) ou activée (true). La valeur par défaut est true.
Nom du locataire auquel appartient cette application.
Mode de sécurité pour les applications tierces. strict applique des contrôles de sécurité renforcés : alignement sur OAuth 2.1, autorisation explicite des API et ensemble sélectionné de fonctionnalités prises en charge. permissive préserve le comportement existant et n’est disponible que pour les locataires ayant déjà utilisé des applications tierces. Cette valeur est définie à la création et ne peut pas être modifiée.
strict, permissive Définit la méthode d’authentification demandée pour le point de terminaison de jeton. Les valeurs possibles sont none (application publique sans secret client), client_secret_post (l’application utilise des paramètres HTTP POST) ou client_secret_basic (l’application utilise HTTP Basic).
none, client_secret_post, client_secret_basic Configuration de l’échange de jetons.
Liste d’origines autorisées, séparées par des virgules, à utiliser avec l’authentification inter-origine, le flux d’appareil et le mode de réponse web message.