Passer au contenu principal
Version : 1.0 (actuelle)

Accès anticipé limité

L’API My Account est offerte en accès anticipé limité. Pour demander l’accès, communiquez avec votre gestionnaire de compte Auth0. Pour en savoir plus sur le cycle de mise en production des produits d’Auth0, consultez les étapes de mise en production des produits.
L’API My Account d’Auth0 fournit un ensemble dédié de points de terminaison permettant aux utilisateurs de gérer les renseignements de leur propre compte. Les clients peuvent utiliser ces API pour créer des expériences libre-service dans leurs applications ou ajouter progressivement des renseignements à un compte utilisateur. L’API My Account fonctionne dans le contexte de l’utilisateur actuellement connecté et peut être utilisée directement dans les applications destinées aux utilisateurs.

Utilisation du domaine Auth0 par rapport au domaine personnalisé

L’API My Account prend en charge l’utilisation de votre Domaine Auth0 canonique ou de votre domaine personnalisé, mais vous devez utiliser le même domaine tout au long du processus, y compris pour :
  • Obtenir un jeton d’accès
  • Définir la valeur du paramètre audience
  • Appeler le point de terminaison de l’API My Account
Pour en savoir plus, consultez Domaines personnalisés.

Activer l’API My Account

Vous pouvez activer l’API My Account pour votre locataire dans l’Auth0 Dashboard :
  1. Accédez à Authentication > APIs.
  2. Repérez la bannière de l’API My Account.
  3. Sélectionnez Activate.
Par défaut, l’API My Account est créée avec les stratégies d’accès à l’API d’application suivantes : require_client_grant pour les flux utilisateur deny_all pour les flux d’application (machine-to-machine) Pour qu’une application puisse accéder à l’API My Account au nom de l’utilisateur, vous devez créer explicitement une autorisation d’application pour cette application, ce qui vous permet de définir les scopes maximums qu’elle peut demander. Vous pouvez aussi modifier la stratégie des flux d’accès utilisateur à allow_all, ce qui permet à n’importe quelle application de votre locataire de demander n’importe quel scope de l’API My Account. Comme l’API My Account expose des renseignements et des opérations sensibles, Auth0 ne recommande pas d’utiliser allow_all pour les flux d’accès utilisateur. Vous devriez appliquer le principe du moindre privilège avec l’API My Account afin de vous assurer que les applications n’obtiennent que l’accès dont elles ont réellement besoin, ce qui réduit les risques de sécurité potentiels. Les autorisations finales accordées à l’application seront déterminées par l’intersection des scopes autorisés par la stratégie d’accès à l’API d’application, des autorisations de Contrôle d’accès basé sur les rôles (RBAC) attribuées à l’utilisateur final et du consentement donné par l’utilisateur, s’il y a lieu.

Flux pris en charge

Vous ne pouvez pas mettre à jour la stratégie d’accès à l’API d’application pour l’accès client à l’API My Account, ce qui signifie que vous ne pouvez pas accéder à l’API My Account à l’aide du flux d’identification du client.
Pour en savoir plus sur la gestion des stratégies d’accès à l’API d’application et des autorisations d’application qui y sont associées, consultez Accès des applications aux API : autorisations d’application.

Obtenir un jeton d’accès

Vous pouvez obtenir un jeton d’accès pour l’API My Account de la même manière que pour l’une de vos propres API.

Opérations sensibles

Si vous prévoyez autoriser l’API My Account à effectuer des opérations sensibles (comme l’inscription d’une méthode d’authentification), nous vous recommandons fortement d’utiliser l’authentification renforcée pour appliquer des politiques de sécurité supplémentaires au moyen de l’authentification multifacteur (MFA).
Si vous utilisez Universal Login, consultez les articles suivants : Si vous utilisez la connexion intégrée, consultez les articles suivants :

Exemples

Universal Login avec le flux de code d’autorisation

Étape 1 : Demandez un code d’autorisation 
curl --request GET \
  --url 'https://{yourDomain}/authorize?response_type=code&client_id={yourClientId}&redirect_uri=%7ByourRedirectUri%7D&scope=create%3Ame%3Aauthentication_methods&offline_access=&audience=https%3A%2F%2F{yourDomain}%2Fme%2F'
Étape 2 : Échangez le code contre un jeton d’accès 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/json' \
  --data '{"grant_type": "authorization_code","client_id": "{yourClientId}","client_secret": "{yourClientId}","code": "{yourAuthorizationCode}","redirect_uri": "{yourRedirectUri}","audience": "{yourAudience}","scope": "create:me:authentication_methods","offline_access": ""}'

Connexion intégrée avec des clés d’accès natives

Étape 1 : Request Login Challenge 
curl --request POST \
  --url 'https://{yourDomain}/passkey/challenge' \
  --header 'content-type: application/json' \
  --data '{"client_id": "{yourDomain}"}'
Étape 2 : Authentifier un utilisateur existant 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/json' \
  --data '{  "grant_type": "urn:okta:params:oauth:grant-type:webauthn",  "client_id": "{yourClientId}",  "scope": "create:me:authentication_methods offline_access",  "audience": "https://{yourDomain}/me/"  "auth_session": "{sessionIdFromTheFirstRequest}",  "authn_response": "{authenticatorResponse}"}'

Limites de débit

Pendant l’Accès anticipé, l’API My Account est limitée à 25 requêtes par seconde par locataire.

Authentification

Les jetons Bearer et DPoP sont pris en charge, selon la configuration de l’API
Type de schéma de sécurité :http
Schéma d’autorisation HTTP :bearer