Passer au contenu principal

Prérequis

Étapes

Pour connecter votre application à un OIDC, vous devez :
  1. Configurer votre application chez le fournisseur d’identité OpenID Connect
  2. Créer une connexion d’entreprise dans Auth0
  3. Activer la connexion d’entreprise pour votre application Auth0
  4. Tester la connexion

Configurez votre application dans le fournisseur d’identité OpenID Connect

Pour permettre aux utilisateurs de se connecter à l’aide d’un fournisseur d’identité OIDC, vous devez enregistrer votre application auprès de l’IdP. Le processus varie selon le fournisseur d’identité OIDC; vous devrez donc suivre la documentation de votre IdP pour effectuer cette tâche. En règle générale, vous devrez vous assurer de saisir votre URL de rappel à un moment du processus : https://{YOUR_AUTH0_DOMAIN}/login/callback.

Trouvez votre nom de domaine Auth0 pour les redirections

Si votre nom de domaine Auth0 n’est pas indiqué ci-dessus et que vous n’utilisez pas notre fonctionnalité de domaines personnalisés, votre nom de domaine est une concaténation du nom de votre locataire, de votre sous-domaine régional et de auth0.com, séparés par un point (.).Par exemple, si le nom de votre locataire est exampleco-enterprises et que votre locataire se trouve dans la région des États-Unis, votre nom de domaine Auth0 serait exampleco-enterprises.us.auth0.com et votre URI de redirection serait https://exampleco-enterprises.us.auth0.com/login/callback.Toutefois, si votre locataire se trouve dans la région des États-Unis et a été créé avant juin 2020, votre nom de domaine Auth0 serait exampleco-enterprises.auth0.com et votre URI de redirection serait https://exampleco-enterprises.auth0.com/login/callback.Si vous utilisez des domaines personnalisés, votre URI de redirection serait https://<YOUR CUSTOM DOMAIN>/login/callback.
Pendant ce processus, votre fournisseur d’identité OIDC générera un identifiant unique pour l’API enregistrée, habituellement appelé ou ID d’application. Notez cette valeur; vous en aurez besoin plus tard.

Créer une connexion d’entreprise dans Auth0

Avant de configurer une connexion d’entreprise OIDC dans Auth0, assurez-vous d’avoir l’ID de l’application (client) et le générés lorsque vous configurez votre application dans un fournisseur OIDC.

Créer une connexion d’entreprise dans l’Auth0 Dashboard

Pour pouvoir être configuré dans l’Auth0 Dashboard, le fournisseur d’identité (IdP) OpenID Connect (OIDC) doit prendre en charge la découverte OIDC. Sinon, vous pouvez configurer la connexion à l’aide de la Management API.
  1. Accédez à Auth0 Dashboard > Authentication > Enterprise, repérez Open ID Connect, puis sélectionnez Créer.
    Tableau de bord - Connexions - Entreprise
  2. Saisissez les détails de votre connexion, puis sélectionnez Créer :
Saisir les détails de la connexion OIDC
ChampDescription
ObjectifDétermine comment vous prévoyez utiliser la connexion : pour authentifier les utilisateurs, pour connecter des comptes externes à Auth0, ou les deux. Pour en savoir plus, consultez Authentification des utilisateurs ou comptes connectés
Nom de la connexionIdentifiant logique de votre connexion; il doit être unique pour votre locataire. Une fois défini, ce nom ne peut pas être modifié.
URL de découverte OpenID ConnectURL où Auth0 peut trouver le point de terminaison de découverte OpenID Connect well-known, généralement disponible au point de terminaison /.well-known/openid-configuration. Vous pouvez entrer l’URL de base ou l’URL complète. Une coche verte s’affiche si ce point de terminaison est trouvé à cet emplacement, une marque rouge s’affiche s’il est introuvable, ou un message d’erreur s’affiche si le fichier est trouvé, mais que les informations requises ne sont pas présentes dans le fichier de configuration. Pour en savoir plus, consultez Configurer les applications avec la découverte OIDC.
ID clientL’identifiant fourni par votre fournisseur. Il s’agit de l’identifiant unique de votre application enregistrée. Saisissez la valeur enregistrée de l’ID client pour l’application que vous avez enregistrée auprès du fournisseur d’identité (IdP) OIDC. Chaque fournisseur gère cette étape différemment.
Canal de communicationDéfinissez ce paramètre sur Front Channel ou Back Channel. Front Channel utilise le protocole OIDC avec response_mode=form_post et response_type=id_token. Back Channel utilise response_type=code.
Méthode d’authentificationChoisissez comment votre application s’authentifie auprès d’Auth0.
Secret clientDisponible si Back Channel a été choisi précédemment. Il s’agit du secret fourni par votre fournisseur; chaque fournisseur gère cette étape différemment.
URL de rappelURL vers laquelle Auth0 redirige les utilisateurs après leur authentification. Assurez-vous que cette valeur est configurée pour l’application que vous avez enregistrée auprès du fournisseur d’identité (IdP) OIDC.
Synchroniser les attributs du profil utilisateur à chaque connexionSi cette option est sélectionnée, votre locataire met à jour les attributs racine pertinents name, nickname, given_name, family_name ou picture chaque fois qu’un utilisateur se connecte.
Promouvoir la connexion au niveau du domainePermet aux applications tierces d’accéder à la connexion.
  1. Dans la vue Settings, apportez des ajustements de configuration supplémentaires, au besoin.
ChampDescription
Nom de la connexionLe nom que vous avez indiqué lorsque vous avez créé cette connexion. Il ne peut pas être modifié.
Métadonnées de la connexionGénérées automatiquement à partir de l’URL du point de terminaison Well-Known fournie à l’écran précédent, elles peuvent être remplacées par le téléversement d’un nouveau fichier de métadonnées.
AuthentificationRéglez cette option sur Front Channel ou Back Channel. Front Channel utilise le protocole OIDC avec response_mode=form_post et response_type=id_token. Back Channel utilise response_type=code. Sélectionnez Manage Authentication pour effectuer la mise à jour dans l’onglet Credentials.
ScopesUne liste de scopes Auth0 séparés par des virgules à demander lors de la connexion au fournisseur d’identité. Cela aura une incidence sur les données stockées dans le profil de l’utilisateur. Vous devez inclure au minimum le scope openid. Notez que la connexion n’appelle pas le point de terminaison /userinfo et s’attend à ce que les claims de l’utilisateur soient présentes dans le id_token.
URL de rappelCertains fournisseurs ont besoin de cette URL pour terminer votre connexion OIDC.
Mappage de l’utilisateurFournit des modèles permettant d’associer des attributs utilisateur précis à des variables de connexion.
Profil de connexionPour savoir comment modifier le profil de votre connexion, consultez Configure PKCE and Claim Mapping for OIDC Connections.
ObjectifDétermine comment vous prévoyez utiliser la connexion : pour l’authentification de l’utilisateur, pour connecter des comptes externes à Auth0, ou les deux. Pour en savoir plus, consultez User authentication vs Connected Accounts
Révocation globale des jetonsUtilisez le point de terminaison fourni pour mettre fin à la session Auth0 d’un utilisateur en révoquant les jetons d’actualisation. Cette option peut être utilisée avec Universal Logout et Okta Workforce Identity Cloud.
Promouvoir la connexion au niveau du domainePermet aux applications tierces d’accéder à la connexion.

  1. Dans la vue Provisioning, configurez la façon dont les profils utilisateur sont créés et mis à jour dans Auth0.
ChampDescription
Synchroniser les attributs du profil utilisateur à chaque connexionLorsqu’elle est activée, Auth0 synchronise automatiquement les données du profil utilisateur à chaque connexion, ce qui garantit que les modifications apportées dans la source de connexion sont automatiquement mises à jour dans Auth0.
Fréquence de synchronisationDéterminez à quelle fréquence le profil utilisateur doit être mis à jour.
Synchroniser les profils utilisateur à l’aide de SCIMLorsqu’elle est activée, Auth0 permet de synchroniser les données du profil utilisateur à l’aide de SCIM. Pour en savoir plus, consultez Configure Inbound SCIM.
  1. Dans la vue Login Experience, configurez la façon dont les utilisateurs se connectent avec cette connexion.
ChampDescription
Home Realm DiscoveryCompare le domaine de courriel d’un utilisateur aux domaines du fournisseur d’identité fournis. Pour en savoir plus, consultez Configure Identifier First Authentication
Afficher le bouton de connexionCette option affiche les choix suivants pour personnaliser le bouton de connexion de votre application.
Les champs facultatifs sont offerts uniquement avec Universal Login. Les clients qui utilisent Classic Login ne verront pas le bouton Add, Button display name ou Button logo URL.
  1. Sélectionnez Save Changes.

Créer une connexion d’entreprise à l’aide de la Management API

Ces exemples montrent les différentes façons de créer la connexion à l’aide de la d’Auth0. Vous pouvez configurer la connexion soit en fournissant un URI de métadonnées, soit en définissant explicitement les URL OIDC. Pour en savoir plus, consultez Fournisseurs d’identité.

Utiliser le front-channel avec le point de terminaison de découverte

Utiliser le back-channel avec le point de terminaison de découverte

Utiliser le back-channel en spécifiant les paramètres de l’émetteur

Utiliser le front-channel en précisant les paramètres de l’émetteur

Configurer PKCE et le mappage des claims

Cette connexion d’entreprise prend en charge Proof Key for Code Exchange (PKCE), ainsi que le mappage des attributs et des jetons. Pour en savoir plus, consultez Configurer PKCE et le mappage des claims pour les connexions OIDC.

Activer la connexion d’entreprise pour votre application Auth0

Pour utiliser votre nouvelle connexion d’entreprise, vous devez d’abord activer la connexion dans vos applications Auth0.

Tester la connexion

Vous êtes maintenant prêt à tester votre connexion.

Configurer manuellement les métadonnées de l’émetteur

Si vous cliquez sur Afficher les détails de l’émetteur pour le point de terminaison de l’URL d’émetteur, vous pouvez voir les données et les modifier au besoin.

Fédérer avec Auth0

La connexion d’entreprise Connect est utile pour établir une fédération avec un autre locataire Auth0. Saisissez l’URL de votre locataire Auth0 (par exemple, https://<tenant>.us.auth0.com) dans le champ émetteur, puis saisissez l’ID client de n’importe quelle application du locataire auquel vous voulez vous fédérer dans le champ ID client.
Les nouveaux locataires incluront us dans l’URL. Les locataires créés avant l’ajout du domaine régional continueront de fonctionner. Par exemple, https://{YOUR ACCOUNT}.auth0.com.

Configurer la révocation globale des jetons

Ce type de connexion prend en charge un point de terminaison de révocation globale des jetons, qui permet à un fournisseur d’identité conforme de révoquer les sessions des utilisateurs Auth0, de révoquer les et de déclencher la déconnexion par canal arrière pour les applications qui utilisent un canal arrière sécurisé. Cette fonctionnalité peut être utilisée avec Universal Logout dans Okta Workforce Identity. Pour en savoir plus et obtenir les instructions de configuration, consultez Universal Logout.