Profil des attributs utilisateur

Le profil d’attributs utilisateur (UAP) offre une façon uniforme de définir, de gérer et de faire correspondre les attributs utilisateur dans des protocoles comme SCIM, SAML et OIDC. Le UAP, combiné à la configuration d’entreprise en libre-service, permet aux administrateurs de mieux contrôler les données d’identité des utilisateurs en définissant des attributs utilisateur et en appliquant le profil à l’ensemble des protocoles d’authentification.

Fonctionnement

Définition du profil Un administrateur crée un profil d’attributs utilisateur pour définir les attributs, notamment :
- Comment afficher les attributs
- Comment rendre les attributs obligatoires
- Comment les attributs sont mappés vers Auth0 et des systèmes d’identité externes
Portée flexible Les profils sont liés aux flux de configuration d’entreprise en libre-service, mais sont conçus pour le provisionnement, l’intégration et la gestion des habilitations.
Couche de mappage unifiée Chaque attribut prend en charge le mappage entre les protocoles d’authentification, avec la possibilité de remplacer des valeurs pour des fournisseurs ou des stratégies de connexion précis, comme Okta et Entra ID.

Mappage et redéfinition des attributs

UAP prend en charge les définitions d’attributs multiprotocoles ainsi que les redéfinitions de stratégie pour répondre aux besoins propres à certains fournisseurs. Mappage des attributs

Protocole	Description
Mappage Auth0	Attribut canonique stocké dans Auth0 (`email`, `name`, `app_metadata.department`).
Mappage OIDC	Revendications OIDC standard (`sub`, `preferred_username`, `zoneinfo`). Pour en savoir plus sur les revendications standard d’OIDC, consultez Standard Claims.
Mappage SAML	Prend en charge un ou plusieurs URI d’assertion (`http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`).
Mappage SCIM	Attributs d’approvisionnement (`name.familyName`, `addresses[type eq "work"].country`).

Redéfinitions de stratégie Certains fournisseurs utilisent des mappages non standard. UAP permet les redéfinitions :

Protocole	Description
SAML	Mapper `userName` au lieu de `externalId`.
WAAD (Entra ID)	Utiliser `oid` comme identifiant OIDC.
Okta	Mapper des attributs comme `middleNam`e ou `federated_groups` à l’aide de revendications propres à Okta.

ID utilisateur

La propriété user_id définit comment faire correspondre les revendications OIDC, les attributs SAML ou les attributs SCIM à l’ID utilisateur Auth0. Chaque utilisateur Auth0 doit avoir un ID; ce mappage est donc requis.

Pour OIDC, les choix sont limités (généralement sub, ou oid pour Azure AD, ou email pour Google).
- Pour SAML et SCIM, le mappage est plus souple et peut correspondre à plusieurs attributs possibles.

Attributs de l’utilisateur

La propriété user_attributes contient des informations de mappage qui permettent au système d’interpréter les revendications entrantes de l’IdP et de les enregistrer en tant qu’attributs du profil utilisateur Auth0. Chaque attribut doit être fourni sous forme de paire clé/valeur :

La clé correspond au nom de l’attribut.
- La valeur est un objet avec :
  - label
  - description
  - profile_required
  - auth0_mapping
  - saml_mapping
  - scim_mapping
  - oidc_mapping, un objet avec les propriétés suivantes :
    - mapping représente la revendication entrante de l’IdP (valeur littérale, objet de contexte dynamique, ou les deux à l’aide de la syntaxe ${variable}, qui prend en charge l’objet de contexte)
    - display_name, l’étiquette affichée aux utilisateurs finaux dans les flux libre-service

Redéfinitions de stratégie

La propriété strategy_overrides vous permet de définir des exceptions pour certains fournisseurs d’identité (IdP), puisque tous les IdP n’exposent pas les mêmes identifiants ni les mêmes revendications. Chaque redéfinition définit des mappages propres au protocole qui remplacent les valeurs par défaut définies dans user_id ou user_attributes.

Exemples

Identifiant utilisateur

"user_id": {
  "oidc_mapping": "sub",
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  ],
  "scim_mapping": "externalId",
  "strategy_overrides": {
    "waad": {
      "oidc_mapping": "oid"
    },
    "samlp": {
      "scim_mapping": "userName"
    },
    "google-apps": {
      "oidc_mapping": "email"
    }
  }
},

Identifiant par défaut : externalId par SCIM.
SAML : Prise en charge de plusieurs URI d’identifiant.
OIDC : Utilise sub.
Surcharges : SAML et WAAD personnalisent les mappages.

Attribut de courriel

"email": {
  "description": "Email",
  "label": "Email",
  "profile_required": true,
  "auth0_mapping": "email",
  "scim_mapping": "emails[primary eq true].value",
  "oidc_mapping": {
    "mapping": "${context.tokenset.email}",
    "display_name": "email"
  },
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  ],
  "strategy_overrides": {
    "waad": {
      "scim_mapping": "emails[type eq \"work\"].value"
    }
  }
}

Recommandé pour la plupart des profils.
Uniformisé dans Auth0, OIDC, SAML et SCIM.
La surcharge WAAD assure le mappage adéquat des adresses courriel professionnelles.

Créer un profil d’attributs utilisateur

Vous pouvez définir un UAP au moyen de la configuration d’entreprise en libre-service dans le tableau de bord Auth0 ou à l’aide de l’API de gestion. À l’heure actuelle, il peut être configuré dans l’expérience de configuration d’entreprise en libre-service.

Configurer avec le tableau de bord Auth0

Accédez à Authentication > Enterprise > Self-Service Enterprise Configuration.
Sélectionnez +Create Profile.
Indiquez un Name et, au besoin, une Description pour le nouveau profil.
Ajoutez une entrée de profil d’attribut utilisateur en sélectionnant un profil existant ou en choisissant +Create New.
- Pour un nouveau profil, indiquez un User Profile Attribute Name.
- Passez en revue les mappages pour vous assurer que les attributs du profil sont associés aux attributs Auth0 de votre choix.
Choisissez Create.

Votre nouveau UAP est maintenant prêt à être configuré pour l’authentification unique (SSO).

Configurer à l’aide de l’API de gestion

Pour gérer les profils d’attributs utilisateur, les points de terminaison suivants de l’API de gestion sont offerts :

POST /api/v2/user-attribute-profiles
GET /api/v2/user-attribute-profiles
PATCH /api/v2/user-attribute-profiles/{id}
GET /api/v2/user-attribute-profiles/{id}
GET /api/v2/user-attribute-profiles/templates
GET /api/v2/user-attribute-profiles/templates/{id}

​Fonctionnement

​Mappage et redéfinition des attributs

​ID utilisateur

​Attributs de l’utilisateur

​Redéfinitions de stratégie

​Exemples

​Identifiant utilisateur

​Attribut de courriel

​Créer un profil d’attributs utilisateur

​Configurer avec le tableau de bord Auth0

​Configurer à l’aide de l’API de gestion

​En savoir plus