Passer au contenu principal
Les clés d’accès sont une méthode d’authentification sécurisée, sans mot de passe, fondée sur les normes FIDO2 (WebAuthn et CTAP). Elles présentent plusieurs avantages par rapport à l’authentification classique par identifiant et mot de passe :
  • Les clés d’accès permettent aux utilisateurs de s’authentifier à l’aide de données biométriques ou d’identifiants propres à l’appareil (comme une empreinte digitale, un NIP ou un motif), ce qui accélère la connexion et évite d’avoir à mémoriser un mot de passe.
  • Les clés d’accès synchronisent les identifiants entre les appareils afin que les utilisateurs n’aient pas à se réinscrire sur chaque nouvel appareil.
  • Les clés d’accès résistent à l’hameçonnage parce qu’elles utilisent la cryptographie à clé publique ; il n’y a donc aucun secret partagé, et l’appareil de l’utilisateur génère des clés uniques pour chaque compte.
  • Les clés d’accès offrent une récupération plus fiable parce que les identifiants stockés peuvent demeurer disponibles même si l’appareil d’origine est perdu.
  • Les clés d’accès associent les identifiants à un domaine précis afin que les utilisateurs puissent s’authentifier sur l’ensemble d’un domaine avec une seule clé d’accès.
Pour en savoir plus sur les clés d’accès, consultez la présentation des clés d’accès de la FIDO Alliance.

À propos des clés d’accès dans Auth0

Auth0 prend en charge les clés d’accès comme méthode d’authentification pour les connexions de base de données, au moyen de trois méthodes d’implémentation selon le type d’application : Auth0 limite le nombre de clés d’accès à 20 par utilisateur. Lorsque vous activez les clés d’accès pour votre connexion de base de données, elles sont offertes aux utilisateurs lors de l’inscription et de la connexion.
1

L’interface d’inscription invite l’utilisateur à saisir son adresse courriel.

L’utilisateur saisit son adresse courriel et sélectionne Continuer.
2

L’interface d’inscription invite l’utilisateur à utiliser des clés d’accès.

L’utilisateur sélectionne Créer une clé d’accès.
3

Le gestionnaire d’identifiants de l’utilisateur l’invite à créer une clé d’accès.

Si l’utilisateur sélectionne Continuer, il est invité à s’authentifier à l’aide des identifiants de son appareil.
Si l’utilisateur sélectionne Essayer autrement, il est invité à numériser un code QR avec l’appareil sur lequel il souhaite créer la clé d’accès.
1

L’interface de connexion invite l’utilisateur à saisir son adresse courriel et/ou à utiliser une clé d’accès.

La stratégie relative aux clés d’accès de votre connexion de base de données vous permet de choisir si l’interface de connexion autorise le remplissage automatique, affiche le bouton de clé d’accès ou les deux.
Si l’utilisateur saisit son courriel, le remplissage automatique propose ses clés d’accès enregistrées parmi ses autres identifiants, comme les mots de passe.Si l’utilisateur sélectionne le bouton Continuer avec une clé d’accès, son gestionnaire d’identifiants l’invite à choisir la clé d’accès à utiliser.
2

Le gestionnaire d’identifiants de l’utilisateur l’invite à s’authentifier à l’aide des identifiants de son appareil.

Les clés d’accès ne remplacent ni n’invalident les identifiants existants d’un utilisateur. Lorsqu’un utilisateur crée sa clé d’accès, elle est ajoutée à son compte comme méthode d’authentification, mais toute combinaison existante de courriel/nom d’utilisateur et de mot de passe reste valide.

Clés d’accès avec MFA activé

Si est activé, l’utilisateur peut être invité à effectuer une vérification MFA après s’être authentifié avec une clé d’accès, selon les paramètres et l’évaluation des risques. Par défaut, une vérification MFA est exigée, que la méthode d’authentification utilisée soit un mot de passe ou une clé d’accès. Compte tenu du niveau de sécurité élevé qu’offrent les clés d’accès, vous pouvez ne pas exiger la MFA pour les utilisateurs qui se sont authentifiés avec une clé d’accès afin de réduire les frictions. Vous pouvez le faire à l’aide d’une Action post-login. Pour en savoir plus, consultez Reduce friction with passkeys et Authentification multifacteur.

Clés d’accès avec plusieurs domaines personnalisés (MCD)

Si l’option Plusieurs domaines personnalisés est activée sur votre locataire, Auth0 maintient une correspondance un à un entre un domaine et la clé d’accès associée à ce domaine. Les utilisateurs dont la base de données prend en charge les clés d’accès peuvent s’inscrire et se connecter à l’aide d’une clé d’accès liée au domaine précis sur lequel elle a été créée. Les utilisateurs ne peuvent inscrire une clé d’accès que pour un seul domaine (le premier avec lequel ils l’inscrivent parmi les multiples domaines personnalisés du locataire). Pour la connexion Passwordless, le domaine personnalisé sélectionné doit être celui utilisé dans le Magic Link du flux de connexion Passwordless.

ID de la partie de confiance pour les clés d’accès

L’identifiant de la partie de confiance (RP ID) est un domaine auquel WebAuthn lie des identifiants comme les clés d’accès. Le RP ID détermine quelles origines de requête sont autorisées pour l’authentification.
Le domaine de votre application doit être ajouté à la liste Allowed Origins (CORS) dans les paramètres de votre application pour que le RP ID fonctionne correctement.
Définir le RP ID comme suffixe de l’origine permet aux utilisateurs de s’authentifier sur plusieurs sous-domaines avec une seule clé d’accès. Par exemple, si votre application Web est accessible à l’adresse login.example.com et que votre application native est accessible à l’adresse app.example.com, vous pouvez configurer le RP ID sur example.com afin que les utilisateurs puissent s’authentifier sur les deux applications (et sur tout autre sous-domaine example.com) avec une seule clé d’accès.
EnvironnementDomaine racineRP ID
Webhttps://login.example.comexample.com
iOSapp.example.comexample.com
Androidassetlinks.jsonexample.com
Avec Auth0, vous pouvez personnaliser le RP ID pour utiliser le domaine racine ou parent afin que les utilisateurs puissent s’authentifier sur des applications mobiles ou des applications Web avec la même clé d’accès. Si vous utilisez plusieurs domaines personnalisés, vous pouvez aussi définir rp.id pour chaque domaine personnalisé. Pour savoir comment personnaliser le RP ID, consultez Configurer la stratégie des clés d’accès.

En savoir plus