Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
PlateformeActiver l’API My Organization dans Auth0 Dashboard
- Accédez à Auth0 Dashboard > Applications > APIs.
- Repérez la bannière My Organization API.
- Sélectionnez Activer.
- L’API apparaît dans votre liste Applications > API sous le nom My Organization API.
Une fois l’API My Organization activée :
- L’API est désactivée par défaut pour toutes les applications clientes.
- Vous devez accorder l’accès aux applications et aux rôles à l’aide d’autorisations d’application ou de politiques RBAC.
- Vos clients d’affaires peuvent récupérer les détails d’une organisation ou configurer des fournisseurs d’identité (IdP) au nom de leurs propres organisations.
require_client_grant pour les flux utilisateur
deny-all pour les flux d’application (machine-to-machine)
Pour qu’une application puisse accéder à l’API My Organization au nom de l’utilisateur, vous devez créer explicitement une autorisation d’application pour cette application, ce qui vous permet de définir les scopes maximums que l’application peut demander. Vous pouvez aussi modifier la politique des flux d’accès utilisateur à allow_all, ce qui permet à toute application de votre locataire de demander n’importe quel scope de l’API My Organization.
Comme l’API My Organization expose des renseignements et des opérations sensibles, Auth0 ne recommande pas d’utiliser allow_all pour les flux d’accès utilisateur. Vous devriez appliquer le principe du moindre privilège avec l’API My Organization afin de vous assurer que les applications n’obtiennent que l’accès dont elles ont réellement besoin, ce qui réduit les risques potentiels pour la sécurité.
Les autorisations finales accordées à l’application seront déterminées par l’intersection des scopes permis par la politique d’accès à l’API pour l’application, des autorisations de Contrôle d’accès basé sur les rôles (RBAC) attribuées à l’utilisateur final et de tout consentement donné par l’utilisateur (le cas échéant).
Pour en savoir plus sur la gestion des politiques d’accès à l’API pour les applications et des autorisations d’application associées, consultez Accès des applications aux API : autorisations d’application.
Attributs de l’application cliente
my_organization_configuration) contenant les propriétés suivantes :
| Propriété | Description |
|---|---|
my_organization_configuration | Objet. L’application doit fournir cet objet avec la configuration que l’API My Organization doit utiliser. Si l’application ne définit pas cet objet, l’API My Organization renverra une erreur et rejettera la requête. |
my_organization_configuration.connection_profile_id | ID du profil de connexion. ID du profil de connexion utilisé avec l’application lors de l’utilisation de l’API My Organization. S’il n’est pas fourni, les fonctionnalités de l’API My Organization qui exigent la présence d’un profil de connexion ne fonctionneront pas. Cet ID doit faire référence à un profil de connexion valide dans le même locataire. |
my_organization_configuration.user_attribute_profile_id | ID du profil d’attribut utilisateur. ID du profil d’attribut utilisateur utilisé avec l’application lors de l’utilisation de l’API My Organization. S’il n’est pas fourni, les fonctionnalités de l’API My Organization qui exigent la présence d’un profil d’attribut utilisateur ne fonctionneront pas. Cet ID doit faire référence à un profil d’attribut utilisateur valide dans le même locataire. |
my_organization_configuration.allowed_strategies | Tableau de chaînes. Chaque chaîne est unique et correspond à une stratégie prise en charge. Les stratégies prises en charge — c’est-à-dire les valeurs de l’énumération — sont les suivantes : pingfederate, ad, adfs, waad, google-apps, okta, oidc et samlp. |
my_organization_configuration.connection_deletion_behavior | Énumération (allow, allow_if_empty). Décrit le comportement de l’API My Organization lorsqu’un utilisateur final tente de supprimer une connexion par l’entremise de l’API My Organization à partir de cette application. Les valeurs et la description de l’énumération sont les suivantes : 1. allow : si l’utilisateur dispose du scope approprié, il peut supprimer la connexion, ce qui entraîne la suppression de tous les utilisateurs provenant de cette connexion. 2.allow_if_empty : si l’utilisateur dispose du scope approprié, il peut supprimer la connexion seulement s’il n’y a aucun utilisateur dans la connexion. Si des utilisateurs sont présents, l’API My Organization renverra une erreur et ne procédera pas à la suppression. |
Obtenir un jeton d’accès
Opérations sensibles
Si vous prévoyez autoriser l’API My Organization à effectuer des opérations sensibles (comme l’inscription d’une méthode d’authentification), nous vous recommandons fortement d’utiliser l’authentification renforcée afin d’appliquer des politiques de sécurité supplémentaires au moyen de l’authentification multifacteur (MFA).Exemples
Profils
Profil de connexion (CP)
Profil d’attributs utilisateur (UAP)
Limites de débit
| Niveau | Lecture (RPS) | Écriture (RPS) |
|---|---|---|
| Free | 4 | 2 |
| Public Self-Service | 8 | 4 |
| Public Enterprise | 40 | 20 |
| Private Basic | 40 | 20 |
| Private Performance | 160 | 80 |
Limites de débit par organisation
| Niveau | Lecture par organisation (RPS) | Écriture par organisation (RPS) |
|---|---|---|
| Free | 4 | 2 |
| Public Self-Service | 4 | 2 |
| Public Enterprise | 8 | 4 |
| Private Basic | 8 | 4 |
| Private Performance | 16 | 8 |
Authentification
- HTTP : auth Bearer
Les jetons Bearer et DPoP sont pris en charge selon la configuration de l’API.
| Type de mécanisme de sécurité : | http |
| Schéma d’authentification HTTP : | bearer |