Configurer la stratégie de mot de passe flexible pour les connexions de base de données dans Auth0

La stratégie de mot de passe flexible remplace les anciennes stratégies de mot de passe afin d’offrir une granularité accrue et davantage d’options de configuration.

Stratégie	Comportement hérité	Comportement de la stratégie de mot de passe flexible
Robustesse du mot de passe	Choisissez parmi cinq niveaux de complexité prédéfinis. Tronque silencieusement les mots de passe qui dépassent la longueur maximale.	Personnalisez indépendamment toutes les exigences de complexité. Choisissez le comportement à adopter pour les mots de passe qui dépassent la longueur maximale (tronquer ou renvoyer une erreur).
Historique des mots de passe	Configurez le nombre de mots de passe précédents qu’un utilisateur ne peut pas réutiliser, jusqu’à concurrence de 24.	Conserve une fonctionnalité équivalente.
Dictionnaire de mots de passe	Utilise un dictionnaire intégré de 10 000 mots courants.	Choisissez entre deux dictionnaires intégrés de 10 000 ou 100 000 mots courants.
Bloquer les données personnelles	Bloque un ensemble fixe de champs de données utilisateur.	Personnalisez entièrement les champs à bloquer, jusqu’à 12.

Dans le schéma de configuration du Management API pour les connexions de base de données, la stratégie de mot de passe flexible remplace également les objets et attributs options de l’ancienne stratégie de mot de passe par un seul objet configurable, options.password_options.

Prérequis

Les conditions suivantes sont requises pour utiliser la stratégie de mot de passe flexible :

Vous devez utiliser une connexion de base de données avec le magasin d’utilisateurs Auth0 ("strategy": "auth0").
Le locataire doit utiliser Universal Login.
Le locataire ne doit pas avoir d’écran personnalisé de réinitialisation de mot de passe configuré.
Si vous utilisez la Management API, votre jeton d’accès doit inclure les scopes read:connections et update:connections. Sans ces scopes, vous ne pouvez pas récupérer ni modifier la configuration de la connexion de base de données, respectivement.

Activer la stratégie de mot de passe flexible

Vous pouvez activer la stratégie de mot de passe flexible à l’aide de l’Auth0 Dashboard ou de la Management API.

Auth0 Dashboard
Management API

Pour activer Flexible Password Policy à partir de l’Auth0 Dashboard :

Accédez à Auth0 Dashboard > Authentication > Database, puis sélectionnez le nom de la connexion que vous souhaitez modifier.
Sélectionnez l’onglet Authentication Methods. Ensuite, dans la section Password, sélectionnez Configure pour ouvrir le panneau Password.
Dans la bannière Flexible Password Policy en haut de la page, sélectionnez Activate, puis Confirm.

Cette opération convertit les stratégies de mot de passe existantes de votre connexion de base de données de l’ancienne configuration vers la configuration Flexible Password Policy, puis vous ramène à l’onglet Authentication Methods.Le panneau Authentication Methods > Password > Configure affiche maintenant les options de configuration de Flexible Password Policy dans trois sections : Policy, Composition et Security.

Paramètres de stratégie

La section Policy contient les paramètres suivants :

Password for login : Autoriser ou empêcher les utilisateurs d’ouvrir une session avec un mot de passe.
Password on signup : Autoriser ou empêcher les utilisateurs de s’inscrire avec un mot de passe.
Self-service change password : Autoriser ou empêcher les utilisateurs de modifier leur propre mot de passe.
Support users without a password : Indique si des utilisateurs peuvent être créés sans mot de passe au moyen des API Management et Authentication.

Paramètres de composition

La section Composition contient les paramètres suivants :

Minimum password length : Entrez la longueur minimale du mot de passe.
Additional composition rules
- Required password options : Au moins une lettre majuscule, au moins une lettre minuscule, au moins un chiffre, au moins un caractère spécial, et/ou au moins 3 des 4 types de caractères précédents.
- Block three or more sequential characters, comme ABC ou 321
- Block three or more identical characters in a row, comme 000
- Maximum password length exceeded : Pour les mots de passe de plus de 72 octets, choisissez entre Truncate password (autoriser les mots de passe plus longs, mais ne chiffrer que les 72 premiers octets) ou Show error (rejeter les mots de passe de plus de 72 octets).

Paramètres de sécurité

La section Security contient les paramètres suivants :

Password history : Empêcher la réutilisation des mots de passe.
- Password history size : Choisissez le nombre de mots de passe précédents que les utilisateurs ne peuvent pas réutiliser.
Password dictionary : Empêcher les utilisateurs d’utiliser des mots de passe figurant dans le dictionnaire indiqué ou dans vos entrées de dictionnaire supplémentaires.
- Default dictionary : Choisissez entre les dictionnaires 10,000 common words et 100,000 common words.
- Additional dictionary entries : Entrez des mots de passe interdits supplémentaires, un par ligne.
Block profile data in passwords : Empêcher les utilisateurs de définir des mots de passe qui contiennent les données de profil de l’utilisateur.
- Select profile fields to block : Choisissez parmi huit champs par défaut courants à bloquer.
- Additional profile fields to block : Entrez des champs de profil supplémentaires à bloquer.

Après avoir modifié ces paramètres, cliquez sur Save.

Dans la configuration de votre connexion de base de données, l’objet options contient ses paramètres de stratégie de mot de passe. La stratégie de mot de passe flexible remplace les anciens objets et attributs de mot de passe dans options par un seul objet (options.password_options) offrant des paramètres plus granulaires.Pour activer la stratégie de mot de passe flexible à l’aide de la Management API :

Obtenir la configuration actuelle de la connexion de base de données

Commencez par récupérer la configuration actuelle de votre connexion de base de données à l’aide du point de terminaison Get a connection endpoint.Enregistrez l’intégralité de la configuration renvoyée dans la réponse. Vous pouvez consulter le schéma du corps de la réponse dans la documentation du point de terminaison.

Remplacer les paramètres hérités par ceux de la stratégie de mot de passe flexible

Dans l’objet options de la configuration, supprimez les objets et valeurs de mot de passe hérités suivants, puis ajoutez un seul objet password_options avec la configuration de stratégie de mot de passe flexible souhaitée.

Attribut `options` hérité	Attribut `options` de la stratégie de mot de passe flexible
`password_complexity_options`	`password_options.complexity`
`password_history`	`password_options.history`
`password_no_personal_info`	`password_options.profile_data`
`password_dictionary`	`password_options.dictionary`
`passwordPolicy`	Supprimé

Par exemple, les deux configurations de mot de passe options suivantes sont équivalentes :

Exemple de stratégie de mot de passe héritée

"password_history": {
    "enable": true,
    "size": 5
},
"password_dictionary": {
    "enable": true,
    "dictionary": [
        "badPassword",
        "reallyBadPassword"
    ]
}

Exemple de stratégie de mot de passe flexible

"password_options": {
    "history": {
        "active": true,
        "size": 5
    },
    "dictionary": {
        "active": true,
        "default": "en_10k",
        "custom": [
            "badPassword",
            "reallyBadPassword"
        ]
    }
}

Exemple de stratégie de mot de passe flexible

"password_options": {
    "history": {
        "active": true,
        "size": 5
    },
    "dictionary": {
        "active": true,
        "default": "en_10k",
        "custom": [
            "badPassword",
            "reallyBadPassword"
        ]
    }
}

Vous pouvez consulter le schéma complet de l’objet password_options dans la référence de l’API (par exemple, dans les paramètres du corps du point de terminaison Update a connection endpoint).

Mettre à jour d’autres paramètres de mot de passe au besoin

Les autres attributs de mot de passe à l’extérieur de l’objet password_options restent inchangés, mais ils sont visibles dans les paramètres de la stratégie de mot de passe flexible de l’Auth0 Dashboard :

Attribut `options` de la Management API	Paramètre de l’Auth0 Dashboard
`authentication_methods.password.enabled`	Policy > Mot de passe pour la connexion
`authentication_methods.password.signup_behavior`	Policy > Mot de passe à l’inscription
`authentication_methods.password.api_behavior`	Policy > Prendre en charge les utilisateurs sans mot de passe
`disable_self_service_change_password`	Policy > Changement de mot de passe en libre-service

Vous pouvez aussi mettre à jour ces attributs pour modifier votre configuration.

Mettre à jour la connexion de base de données

Mettez à jour votre connexion de base de données avec le point de terminaison Update a connection endpoint.

Ce point de terminaison remplace la configuration existante par celle que vous envoyez. Incluez donc l’objet modifié au complet dans votre requête PATCH afin de préserver les autres paramètres de votre connexion de base de données.

Vous pouvez vérifier la mise à jour en récupérant de nouveau la configuration de votre connexion de base de données avec le point de terminaison Get a connection endpoint. Si la réponse contient l’objet options.password_options, la stratégie de mot de passe flexible est activée pour cette connexion de base de données.

Rétablir les anciennes stratégies de mot de passe

Pour rétablir les anciennes stratégies de mot de passe, vous devez utiliser la Management API. Suivez le même processus que ci-dessus pour mettre à jour la connexion de base de données avec ses options d’origine, en supprimant entièrement l’objet password_options.

​Prérequis

​Activer la stratégie de mot de passe flexible

​Rétablir les anciennes stratégies de mot de passe

Prérequis

Activer la stratégie de mot de passe flexible

Rétablir les anciennes stratégies de mot de passe