Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
PlateformeCréer des clients
Créez un nouveau client (application ou intégration SSO). Pour en savoir plus, consultez Create Applications API Endpoints for Single Sign-On.
Remarques :
- Nous vous recommandons de ne pas spécifier le paramètre
client_secretafin de permettre la génération d’un secret sécurisé. - Les propriétés
client_authentication_methodsettoken_endpoint_auth_methods’excluent mutuellement. Utilisezclient_authentication_methodspour configurer le client avec la méthode d’authentification Private Key JWT. Sinon, utiliseztoken_endpoint_auth_methodpour configurer le client avec un secret client (basic ou post) ou sans méthode d’authentification (none). - Lorsque vous utilisez
client_authentication_methodspour configurer le client avec la méthode d’authentification Private Key JWT, indiquez des informations d’identification entièrement définies. Ces informations d’identification seront automatiquement activées pour l’authentification Private Key JWT sur le client. - Pour configurer
client_authentication_methods, le scopecreate:client_credentialsest requis. - Pour configurer
client_authentication_methods, la propriétéjwt_configuration.algdoit être définie sur RS256.
Les intégrations SSO créées via ce point de terminaison accepteront les demandes de connexion et partageront les informations du profil utilisateur.
Autorisations
Bearer authentication header of the form Bearer <token>, where <token> is your auth token.
Corps
Nom de cette application (longueur minimale : 1 caractère, n’autorise pas < ni >).
^[^<>]+$Modules complémentaires activés pour ce client et leurs configurations associées.
Liste des applications autorisées et des ID d’API autorisés à effectuer des requêtes de délégation. Une valeur vide signifie que toutes vos applications sont autorisées.
1Liste d’URL séparées par des virgules vers lesquelles la redirection est autorisée après la déconnexion d’Auth0. Les caractères génériques sont autorisés pour les sous-domaines.
Liste d’URL séparées par des virgules autorisées à envoyer des requêtes JavaScript à l’API Auth0 (généralement utilisée avec CORS). Par défaut, toutes vos URL de rappel seront autorisées. Ce champ vous permet d’ajouter d’autres origines au besoin. Vous pouvez aussi utiliser des caractères génériques au niveau du sous-domaine (par exemple, https://*.contoso.com). Les chaînes de requête et les informations de hash ne sont pas prises en compte lors de la validation de ces URL.
Le type d’application que représente ce client
native, spa, regular_web, non_interactive, resource_server, express_configuration, rms, box, cloudbees, concur, dropbox, mscrm, echosign, egnyte, newrelic, office365, salesforce, sentry, sharepoint, slack, springcm, zendesk, zoom, sso_integration, oag Tableau des canaux de notification pour communiquer avec l’utilisateur lorsque son approbation est requise. Les valeurs valides sont guardian-push, email.
1guardian-push, email Liste d’URL séparées par des virgules et sur liste blanche qu’Auth0 peut utiliser comme URL de rappel vers l’application après l’authentification.
Liste des audiences/realms pour le protocole SAML. Utilisée par l’addon wsfed.
1Définit les méthodes d’authentification de l’application.
Métadonnées associées à l’application, sous la forme d’un objet contenant des valeurs de type chaîne de caractères (max. 255 caractères). Maximum de 10 propriétés de métadonnées autorisées. Les noms de champ (max. 255 caractères) sont alphanumériques et peuvent inclure uniquement les caractères spéciaux suivants : :,-+=_*?"/()<>@ [Tab] [espace]
Définit le niveau de conformité de cette application, ce qui peut en restreindre les capacités.
none, fapi1_adv_pkj_par, fapi1_adv_mtls_par, fapi2_sp_pkj_mtls, fapi2_sp_mtls_mtls, null Indique si cette application peut être utilisée pour effectuer des requêtes d’authentification inter-origine (true) ou si elle n’est pas autorisée à effectuer de telles requêtes (false).
URL de l’emplacement sur votre site où s’effectue la vérification inter-origine pour le flux d’authentification inter-origine lorsque vous effectuez l’authentification sur votre propre domaine plutôt que sur la page de connexion hébergée par Auth0.
Le contenu (HTML, CSS, JS) de la page de connexion personnalisée.
1true si la page de connexion personnalisée doit être utilisée, false sinon. La valeur par défaut est true
Le contenu (HTML, CSS, JS) de la page de connexion personnalisée. (Utilisé pour les aperçus)
1Définit l’ID d’Organisation par défaut et les flux.
Description libre de cette application (longueur maximale : 140 caractères).
140Chiffrement utilisé pour les réponses WsFed avec cette application.
Configuration propre à l’application pour la fonctionnalité Configuration Express OIN.
Configurer les paramètres de connexion FedCM pour New Universal Login
Modèle de formulaire HTML à utiliser pour WS-Federation.
1Liste des types d’octroi pris en charge pour cette application. Peut inclure authorization_code, implicit, refresh_token, client_credentials, password, http://auth0.com/oauth/grant-type/password-realm, http://auth0.com/oauth/grant-type/mfa-oob, http://auth0.com/oauth/grant-type/mfa-otp, http://auth0.com/oauth/grant-type/mfa-recovery-code, urn:openid:params:grant-type:ciba, urn:ietf:params:oauth:grant-type:device_code et urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token.
1URI d’initialisation de connexion, doit utiliser HTTPS
Indique si cette application est une application de première partie ou non
Si la valeur est true, considère que l’adresse IP indiquée dans l’en-tête auth0-forwarded-for est l’adresse IP de l’utilisateur final aux fins de la protection contre les attaques par force brute sur le point de terminaison de jeton.
Configuration liée aux JWT pour l’application.
URL du logo à afficher pour cette application. La taille recommandée est de 150 x 150 pixels.
Configuration supplémentaire pour les applications mobiles natives.
Configuration liée à My Organization Configuration pour l’application.
Configurer les paramètres de connexion sociale native
Configuration de la déconnexion OIDC par canal arrière (obsolète, remplacée par oidc_logout)
Indique si cette application est conforme aux spécifications OIDC strictes (true) ou si elle utilise des fonctionnalités anciennes (false).
Configuration de la déconnexion OIDC par canal arrière
Définit les méthodes offertes pour la découverte de l’organisation pendant pre_login_prompt. Les utilisateurs peuvent découvrir leur organisation au moyen de email, organization_name ou des deux.
1Méthode de découverte des organisations pendant pre_login_prompt. email permet aux utilisateurs de trouver leur organisation en entrant leur adresse de courriel et en faisant correspondre le domaine, tandis que organization_name oblige les utilisateurs à entrer directement le nom de l’organisation. Ces méthodes peuvent être combinées.
email, organization_name Définit comment procéder pendant une transaction d’authentification lorsque client.organization_usage: 'require'. Les valeurs possibles sont no_prompt (par défaut), pre_login_prompt ou post_login_prompt. post_login_prompt exige oidc_conformant: true.
no_prompt, pre_login_prompt, post_login_prompt Définit comment procéder pendant une transaction d’authentification en ce qui concerne une organisation. Les valeurs possibles sont deny (par défaut), allow ou require.
deny, allow, require Spécifie combien de temps, en secondes, une URI de requête d’autorisation poussée demeure valide
10 <= x <= 600Contrôle si Auth0 redirige les utilisateurs vers l’URL de rappel de l’application en cas d’erreurs d’authentification ou dans les flux de vérification du courriel. open_redirect_protection affiche plutôt une page d’erreur que d’effectuer une redirection et masque le domaine de rappel dans les modèles de courriel. allow_always active le comportement de redirection standard. La valeur par défaut est open_redirect_protection pour les applications tierces. S’applique uniquement lorsque is_first_party est false et que third_party_security_mode est strict. Pour en savoir plus, consultez Protection contre les redirections.
allow_always, open_redirect_protection Configuration des jetons d’actualisation
Rend obligatoire l’utilisation de la preuve de possession pour cette application
Rend obligatoire l’utilisation des requêtes d’autorisation poussées pour cette application
L’identifiant du serveur de ressources auquel cette application est liée.
1 - 600Configuration du SSO natif vers le Web
Paramètres des requêtes d’autorisation sécurisées par JWT (JAR).
Détermine si une demande de confirmation s’affiche pendant les flux de connexion lorsque l’URI de redirection utilise des URI de callback non vérifiables (par exemple, un schéma d’URI personnalisé comme myapp:// ou localhost).
Si la valeur est true, aucune demande de confirmation ne s’affichera. Nous recommandons de définir cette valeur à false pour une meilleure protection contre les applications malveillantes.
Consultez https://auth0.com/docs/secure/security-guidance/measures-against-app-impersonation pour plus d’informations.
S’applique uniquement aux applications SSO et détermine si Auth0 gère l’authentification unique (true) ou si le fournisseur d’identité s’en charge (false).
true pour désactiver l’authentification unique, false sinon (par défaut : false)
Mode de sécurité pour les applications tierces. strict applique des contrôles de sécurité renforcés : alignement sur OAuth 2.1, autorisation explicite des API et ensemble sélectionné de fonctionnalités prises en charge. permissive préserve le comportement existant et n’est disponible que pour les locataires ayant déjà utilisé des applications tierces. Cette valeur est définie à la création et ne peut pas être modifiée.
strict, permissive Définit la méthode d’authentification demandée pour le point de terminaison de jeton. Les valeurs possibles sont none (application publique sans secret client), client_secret_post (l’application utilise des paramètres HTTP POST) ou client_secret_basic (l’application utilise HTTP Basic).
none, client_secret_post, client_secret_basic Configuration de l’échange de jetons.
Liste d’origines autorisées, séparées par des virgules, à utiliser avec l’authentification inter-origine, le flux d’appareil et le mode de réponse web message.
Réponse
Client créé avec succès.
Modules complémentaires activés pour ce client et leurs configurations associées.
Liste des clients autorisés et des ID d’API autorisés à effectuer des requêtes de délégation. Si vide, tous vos clients sont autorisés.
Liste d’URL séparées par des virgules vers lesquelles la redirection est autorisée après la déconnexion d’Auth0. Les caractères génériques sont autorisés pour les sous-domaines.
Liste d’URL séparées par des virgules autorisées à effectuer des requêtes de JavaScript vers l’API Auth0 (généralement utilisée avec CORS). Par défaut, toutes vos URL de callback seront autorisées. Ce champ vous permet de saisir d’autres origines au besoin. Vous pouvez aussi utiliser des caractères génériques au niveau du sous-domaine (p. ex., https://*.contoso.com). Les chaînes de requête et les informations de hash ne sont pas prises en compte lors de la validation de ces URL.
Le type d’application que représente ce client
native, spa, regular_web, non_interactive, resource_server, express_configuration, rms, box, cloudbees, concur, dropbox, mscrm, echosign, egnyte, newrelic, office365, salesforce, sentry, sharepoint, slack, springcm, zendesk, zoom, sso_integration, oag Tableau des canaux de notification pour communiquer avec l’utilisateur lorsque son approbation est requise. Les valeurs valides sont guardian-push, email.
1guardian-push, email Liste d’URL sur liste blanche, séparées par des virgules, qu’Auth0 peut utiliser comme URL de callback vers l’application après l’authentification.
Liste des audiences/realms pour le protocole SAML. Utilisée par l’addon wsfed.
Définit les méthodes d’authentification du client.
ID de cette application.
Métadonnées associées à l’application, sous la forme d’un objet contenant des valeurs de type chaîne de caractères (max. 255 caractères). Maximum de 10 propriétés de métadonnées autorisées. Les noms de champ (max. 255 caractères) sont alphanumériques et peuvent inclure uniquement les caractères spéciaux suivants : :,-+=_*?"/()<>@ [Tab] [espace]
Secret client (que vous ne devez pas rendre public).
Définit le niveau de conformité de cette application, ce qui peut en restreindre les capacités.
none, fapi1_adv_pkj_par, fapi1_adv_mtls_par, fapi2_sp_pkj_mtls, fapi2_sp_mtls_mtls, null Indique si cette application peut être utilisée pour effectuer des requêtes d’authentification inter-origine (true) ou si elle n’est pas autorisée à effectuer ce type de requêtes (false).
URL de l’emplacement sur votre site où s’effectue la vérification inter-origine pour le flux d’authentification inter-origine lorsque vous effectuez l’authentification sur votre propre domaine plutôt que sur la page de connexion hébergée par Auth0.
Le contenu (HTML, CSS, JS) de la page de connexion personnalisée.
Indique si une page de connexion personnalisée doit être utilisée (true) ou si la page de connexion par défaut fournie doit l’être (false).
Le contenu (HTML, CSS, JS) de la page de connexion personnalisée. (Utilisé dans les aperçus)
Définit l’ID d’Organisation par défaut et les flux.
Description en texte libre de cette application (longueur maximale : 140 caractères).
Chiffrement utilisé pour les réponses WsFed avec cette application.
Configuration propre à l’application pour la fonctionnalité Configuration Express OIN.
Un identifiant d’application secondaire à utiliser pendant les flux d’autorisation. Prend uniquement en charge les identifiants d’application basés sur CIMD.
Indique qui a créé l’application avec métadonnées externes. La valeur admin indique que l’application a été enregistrée au moyen de la Management API. La valeur client indique que l’application a été enregistrée dynamiquement. Ce champ n’est présent que lorsque external_metadata_type est défini.
admin, client Indique le type de métadonnées externes utilisé pour enregistrer l’application. Ce champ est omis pour les applications ordinaires. La valeur cimd identifie les applications enregistrées au moyen d’un document de métadonnées d’ID client. La valeur dcr identifie les applications enregistrées au moyen de l’Enregistrement dynamique des applications.
cimd, dcr Modèle de formulaire HTML à utiliser pour WS-Federation.
Indique s’il s’agit de votre application globale « All Applications » représentant les anciens paramètres du locataire (true) ou d’une application standard (false).
Liste des types d’octroi pris en charge pour cette application. Peut inclure authorization_code, implicit, refresh_token, client_credentials, password, http://auth0.com/oauth/grant-type/password-realm, http://auth0.com/oauth/grant-type/mfa-oob, http://auth0.com/oauth/grant-type/mfa-otp, http://auth0.com/oauth/grant-type/mfa-recovery-code, urn:openid:params:grant-type:ciba, urn:ietf:params:oauth:grant-type:device_code et urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token.
URI d’initialisation de connexion, doit utiliser HTTPS
Indique si cette application est une application de première partie (true) ou non (false).
Si true, considère que l’adresse IP spécifiée dans l’en-tête auth0-forwarded-for est l’adresse IP de l’utilisateur final aux fins de la protection contre les attaques par force brute sur le point de terminaison de jeton.
URL de l’ensemble de clés JSON Web (JWKS) contenant les clés publiques utilisées pour l’authentification private_key_jwt. Présente uniquement pour les clients CIMD utilisant l’authentification private_key_jwt.
Configuration liée aux JWT pour l’application.
URL du logo à afficher pour cette application. La taille recommandée est de 150 x 150 pixels.
Configuration supplémentaire pour les applications mobiles natives.
Configuration liée à My Organization Configuration pour l’application.
Nom de cette application (longueur minimale : 1 caractère, n’autorise pas < ni >).
Indique si cette application est conforme aux spécifications OIDC strictes (true) ou si elle utilise des fonctionnalités anciennes (false).
Configuration de la déconnexion OIDC par canal arrière
Définit les méthodes disponibles pour la découverte de l’organisation pendant pre_login_prompt. Les utilisateurs peuvent découvrir leur organisation à l’aide de email, organization_name ou des deux.
1Méthode de découverte des organisations pendant pre_login_prompt. email permet aux utilisateurs de trouver leur organisation en entrant leur adresse de courriel et en faisant correspondre le domaine, tandis que organization_name oblige les utilisateurs à entrer directement le nom de l’organisation. Ces méthodes peuvent être combinées.
email, organization_name Définit comment procéder pendant une transaction d’authentification lorsque client.organization_usage: 'require'. Les valeurs possibles sont no_prompt (par défaut), pre_login_prompt ou post_login_prompt. post_login_prompt exige oidc_conformant: true.
no_prompt, pre_login_prompt, post_login_prompt Définit comment procéder pendant une transaction d’authentification en ce qui concerne une organisation. Les valeurs possibles sont deny (par défaut), allow ou require.
deny, allow, require Spécifie pendant combien de temps, en secondes, une URI de requête d’autorisation poussée reste valide
10 <= x <= 600Contrôle si Auth0 redirige les utilisateurs vers l’URL de rappel de l’application en cas d’erreurs d’authentification ou dans les flux de vérification du courriel. open_redirect_protection affiche plutôt une page d’erreur que d’effectuer une redirection et masque le domaine de rappel dans les modèles de courriel. allow_always active le comportement de redirection standard. La valeur par défaut est open_redirect_protection pour les applications tierces. S’applique uniquement lorsque is_first_party est false et que third_party_security_mode est strict. Pour en savoir plus, consultez Protection contre les redirections.
allow_always, open_redirect_protection Configuration des jetons d’actualisation
Rend obligatoire l’utilisation de la preuve de possession pour cette application
Rend obligatoire l’utilisation des requêtes d’autorisation poussée pour cette application
L’identifiant du serveur de ressources auquel cette application est liée.
Configuration du SSO natif vers le Web
Paramètres des requêtes d’autorisation sécurisées par JWT (JAR).
Certificats de signature associés à cette application.
Détermine si une invite de confirmation est affichée pendant les flux de connexion lorsque l’URI de redirection utilise des URI de rappel non vérifiables (par exemple, un schéma d’URI personnalisé comme myapp:// ou localhost).
Si la valeur est true, aucune invite de confirmation ne sera affichée. Nous recommandons de définir cette valeur à false afin d’améliorer la protection contre les applications malveillantes.
Consultez https://auth0.com/docs/secure/security-guidance/measures-against-app-impersonation pour plus d’informations.
S’applique uniquement aux applications SSO et détermine si Auth0 gérera l’authentification unique (true) ou si ce sera le fournisseur d’identité qui s’en chargera (false).
Indique si l’authentification unique est désactivée (true) ou activée (true). La valeur par défaut est true.
Nom du locataire auquel cette application appartient.
Mode de sécurité pour les applications tierces. strict applique des contrôles de sécurité renforcés : alignement sur OAuth 2.1, autorisation explicite des API et ensemble sélectionné de fonctionnalités prises en charge. permissive préserve le comportement existant et n’est disponible que pour les locataires ayant déjà utilisé des applications tierces. Cette valeur est définie à la création et ne peut pas être modifiée.
strict, permissive Définit la méthode d’authentification demandée pour le point de terminaison de jeton. Les valeurs possibles sont none (application publique sans secret client), client_secret_post (l’application utilise des paramètres HTTP POST) ou client_secret_basic (l’application utilise HTTP Basic).
none, client_secret_post, client_secret_basic Configuration de l’échange de jetons.
Liste d’origines autorisées, séparées par des virgules, à utiliser avec l’authentification inter-origine, le flux d’appareil et le mode de réponse web message.