Passer au contenu principal
Le Okta Integration Network (OIN) est un catalogue d’applications SaaS pour lesquelles Okta offre une expérience de configuration express afin d’activer l’authentification unique (SSO) avec OpenID Connect, le provisionnement automatisé des utilisateurs avec SCIM et la Universal Logout. Les administrateurs Okta utilisent la console d’administration Okta pour configurer ces intégrations dans leur locataire Okta :
Console d’administration Okta
Express Configuration permet aux entreprises de configurer de façon sécurisée des intégrations d’identité avec des applications SaaS, sans avoir à copier-coller des valeurs de configuration propres au protocole. Express Configuration offre les avantages suivants aux administrateurs Okta et aux développeurs d’applications SaaS :
  • Réduit le temps nécessaire pour configurer une instance d’application en automatisant l’échange des informations de configuration entre Okta et Auth0.
  • Utilise les flux de consentement OAuth 2.0 pour partager de manière sécurisée et autorisée des données de configuration sensibles, ce qui réduit les erreurs potentielles liées aux identifiants et aux paramètres de configuration.
  • Simplifie et normalise le processus de déploiement de l’intégration. Le flux de travail automatisé permet des déploiements cohérents et reproductibles des intégrations d’application auprès de plusieurs clients ou dans plusieurs environnements, ce qui favorise un écosystème d’applications évolutif et réduit les risques d’erreur humaine.
  • Élimine la complexité de la configuration manuelle, ce qui permet aux administrateurs clients d’Okta d’ajouter rapidement des instances d’intégrations OIN activées par Auth0.

Fonctionnement

L’API Express Configuration permet aux applications Auth0 publiées dans l’OIN à l’intention des clients d’utiliser Express Configuration avec une connexion Okta. Express Configuration prend en charge OpenID Connect, SCIM et Universal Logout au sein d’une organisation Auth0. Consultez le flux de travail d’Express Configuration pour une application Auth0 dans l’OIN :
flux de travail d’Express Configuration pour une application Auth0 dans l’OIN.
  • Un administrateur Okta se connecte au portail Okta et sélectionne l’application compatible avec Express Configuration dans l’OIN.
  • L’administrateur Okta accède à la section Sign On et sélectionne Express Configure SSO & UL. Il est alors redirigé vers un écran Auth0 Universal Login.
console d’administration Okta > Sign On > Express Configuration
  • L’administrateur Okta saisit les identifiants d’un utilisateur de l’application autorisé à effectuer Express Configuration. Dans Auth0, il s’agit d’un utilisateur membre d’une organisation et autorisé à effectuer Express Configuration au moyen d’un rôle organisationnel ou d’une autre méthode d’autorisation.
connexion à une organisation Auth0
  • Après l’authentification, Auth0 demande le consentement de l’administrateur Okta.
consentement Auth0
  • Une fois le consentement accordé, Okta utilise l’API Express Configuration pour configurer automatiquement une connexion Okta dans l’organisation Auth0 à laquelle appartient l’administrateur Okta.
  • L’administrateur Okta peut ensuite attribuer des utilisateurs à l’instance de l’application et voir l’authentification unique fonctionner immédiatement.
Les développeurs Auth0 peuvent également configurer leur intégration OIN pour permettre Express Configuration de SCIM et d’Universal Logout, ce qui est recommandé dans les deux cas :
  • Lorsque SCIM est activé, les administrateurs Okta peuvent le configurer en accédant à la section Provisioning des détails de l’application et en sélectionnant Express Configure SCIM.
  • Lorsque Universal Logout est activé, il est automatiquement configuré dans le cadre de l’intégration OpenID Connect.

Prérequis

Pour publier une application dans l’OIN avec Express Configuration activée, vous devez disposer des éléments suivants :
  • Une organisation Okta Integrator Free Plan, avec accès soit au rôle Super Admin, soit aux rôles App and Org Admin.
  • Un abonnement Auth0 qui permet d’utiliser le type de connexion Okta et la fonctionnalité Organisations pour autant de clients que nécessaire.
  • Une application SaaS intégrée à Auth0 au moyen d’une architecture multi-organisation.
  • Une Organisation Auth0 est déployée, ou peut l’être, pour chaque client qui utilise Express Configuration. Les organisations et les rôles organisationnels servent à autoriser certains utilisateurs à effectuer Express Configuration et à créer des connexions Okta uniquement au sein des organisations auxquelles ils appartiennent.
  • Le paramètre de locataire Enable Application Connections doit être désactivé dans votre locataire Auth0.
Conseil : Pour voir un exemple d’application qui met en œuvre une architecture multilocataire comprenant les Organisations Auth0 et des rôles organisationnels, consultez l’application de référence SaaStart.

Configurez votre application pour Express Configuration

L’Auth0 Dashboard guide les développeurs Auth0 dans l’activation d’Express Configuration pour leur application et sa publication sur l’OIN. Un rôle d’administrateur Auth0 dans un locataire Auth0 de production est requis pour mener à bien le processus complet de configuration et de publication.
OIN dans Auth0 Dashboard
Configurez les composants Auth0 suivants pour configurer Express Configuration dans votre locataire :

Enregistrer une application avec le modèle d’URI Initiate Login

  1. Enregistrez votre application en tant que Regular Web Application ou Single-Page Application dans Auth0 Dashboard.
  2. Une fois l’application enregistrée, sélectionnez celle que vous avez créée, puis accédez à l’onglet Okta Integration Network pour lancer l’assistant de configuration Express Configuration.
  3. Sélectionnez Get Started.
  4. Passez en revue les prérequis, puis sélectionnez Continue.
  5. Enregistrez un Initiate Login URI Template. Ce modèle met en œuvre un point de terminaison dans votre application afin de rediriger automatiquement les utilisateurs finaux vers le point de terminaison /authorize d’Auth0 pour l’authentification. Pour voir un exemple de point de terminaison de connexion, consultez la route /login dans le guide de démarrage rapide du SDK Express.
    • Une fois Express Configuration lancée pour une instance d’application, Okta utilise le Initiate Login URI Template pour lancer l’application à partir du tableau de bord de l’utilisateur final.
    • (Facultatif) Définissez organization_name, organization_id, et connection_name pour le point de terminaison /authorize d’Auth0 afin d’indiquer l’organisation ou la connexion à utiliser. Okta remplace dynamiquement ces variables lorsque l’URL est lancée à partir du tableau de bord de l’utilisateur final. Exemple : https://{organization_name}.your-app.com?connection={connection_name}.
Dashboard>Applications>OIN>URI-template
Exemples d’URI Initiate Login : https://your-app.com/login
https://your-app.com/login?connection={connection_name}
https://{organization_name}.your-app.com?connection={connection_name}

Profil de connexion

Dans le modèle d’URI Initiate Login, vous pouvez ajouter un profil de connexion. Le profil de connexion permet à Auth0 de préciser comment les paramètres privés de vos connexions doivent être configurés lorsqu’elles sont créées à l’aide d’Express Configuration, y compris les paramètres qui régissent la façon dont la connexion interagit avec les fonctionnalités Universal Login et Organisations d’Auth0 :
  • Options relatives à la façon dont le nom de la connexion doit être créé dans Auth0
    • Options pour utiliser SCIM et/ou la déconnexion universelle avec la connexion (recommandé)
    • Options pour permettre aux utilisateurs finaux de la connexion de devenir automatiquement membres de l’organisation de l’administrateur ayant donné son consentement
    • Options pour le paramètre Afficher en tant que bouton de la connexion sur la page Universal Login d’Auth0
Si vous n’avez pas de profil de connexion configuré, Auth0 fournit un profil de connexion par défaut avec des paramètres courants et recommandés appliqués aux connexions configurées avec Express. Pour savoir comment personnaliser le CP par défaut, consultez profil de connexion.

Profil des attributs utilisateur

Dans le modèle d’URI d’initiation de connexion, vous pouvez ajouter un profil des attributs utilisateur. Le profil des attributs utilisateur (UAP) permet aux développeurs Auth0 de définir, de gérer et de faire correspondre de façon cohérente les attributs utilisateur dans les différents protocoles pris en charge par Auth0. Lorsqu’il est utilisé avec Express Configuration, le profil des attributs utilisateur permet aux développeurs de personnaliser les mappages d’attributs OpenID Connect et SCIM qui seront enregistrés dans la connexion Okta générée par Express Configuration. Si vous n’avez pas configuré de profil des attributs utilisateur, Auth0 fournit un profil des attributs utilisateur par défaut avec des mappages courants et recommandés pour tous les protocoles, y compris OpenID Connect et SCIM, utilisés par le type de connexion Okta. Pour savoir comment personnaliser l’UAP par défaut, consultez Profil des attributs utilisateur.

Paramètres de connexion de l’organisation

Les organisations Auth0 sont nécessaires pour autoriser certains utilisateurs d’une organisation à créer des connexions isolées, mais elles ne sont pas nécessaires pour modifier le flux de connexion actuel de votre application afin de prendre en charge le flux de connexion basé sur l’organisation pour les utilisateurs d’entreprise.
  • Si votre application utilise actuellement une expérience de connexion Identifier-First et la découverte du domaine d’origine pour vos applications, consultez la section Activer la découverte du domaine d’origine pour savoir comment l’activer.
  • Si vous souhaitez utiliser plusieurs applications définies dans enabled_clients avec vos connexions Express Configuration, consultez Activer plusieurs applications Auth0 sous une seule intégration.
Si la configuration de votre application n’utilise pas actuellement un flux de connexion basé sur l’organisation, vous pouvez sélectionner le paramètre Activer cette application pour les connexions créées. Lorsqu’il est activé, chaque Express Configuration d’une connexion Okta est associée directement à votre application. Utilisez le paramètre enabled_clients requis sur la connexion. Lorsque Express Configuration est activée, Auth0 crée un ID d’application cliente supplémentaire utilisé par l’OIN pendant le flux de consentement de l’administrateur entre Okta et Auth0. Okta crée un client OIN pour chaque intégration d’application distincte publiée dans l’OIN. Configurez les paramètres de connexion et de consentement de l’administrateur dans l’application que vous souhaitez publier dans l’OIN, sous Configure Integration Profile.
  1. Accédez à Auth0 Dashboard > Applications.
  2. Choisissez l’application que vous souhaitez publier dans l’OIN.
  3. Sélectionnez Okta Integration Network.
  4. Vérifiez que vous remplissez les prérequis nécessaires, puis sélectionnez Continue.
  5. Dans la section Configure Integration Profile, configurez les options dans Admin Settings.
Paramètres d’administration d’Express Configuration
  • Admin Login Domain : Domaine du locataire Auth0 vers lequel Okta redirige dans le cadre du flux de consentement dans un navigateur Web. Utilisez le nom de domaine personnalisé si vous en avez configuré un dans Auth0. Pour en savoir plus, consultez Custom Domains.
    • Display Name of the OIN Express Configuration Application : Nom de l’application cliente OIN affiché dans la boîte de dialogue de consentement.
    • Admin Login Flow : Définit le flux de connexion de l’organisation pour l’application cliente OIN et est utilisé lorsqu’un administrateur Okta exécute Express Configuration depuis la console Okta. Sélectionnez l’une des options suivantes :
      • Prompt for Organization : Les administrateurs sont d’abord invités à sélectionner leur organisation, puis l’expérience de connexion de leur organisation Auth0 leur est présentée. Les administrateurs peuvent se connecter à l’aide d’une connexion existante configurée dans cette organisation.
      • Prompt for Credentials : Les administrateurs sont d’abord invités à fournir leurs identifiants de connexion. Lorsque cette option est sélectionnée, un bouton apparaît pour vous permettre de sélectionner les connexions qui contiennent les utilisateurs administrateurs. Il peut s’agir d’une connexion à une base de données partagée, d’une connexion Passwordless par courriel ou d’une autre connexion pouvant être associée à toutes les organisations Auth0.
    • Admin Role : Pour exécuter Express Configuration, l’administrateur doit disposer des autorisations appropriées. Consultez Assign express configuration permissions to users pour savoir comment autoriser les administrateurs de la façon la mieux adaptée à votre déploiement Auth0 actuel.
Pour offrir la meilleure expérience de consentement possible, définissez l’indicateur use_scope_descriptions_for_consent de votre locataire à true, comme décrit dans Customize Consent Prompts. Vous pourrez afficher votre invite de consentement plus tard, au moment de tester et de vérifier votre intégration.

Attribuer des permissions aux utilisateurs

Pour Okta, les administrateurs doivent disposer d’un compte utilisateur d’application avec les permissions requises pour effectuer Express Configuration d’une application SaaS alimentée par Auth0. Pour Auth0, cette permission peut être accordée à n’importe quel utilisateur de l’application, à condition que l’utilisateur soit membre d’une organisation Auth0 dans laquelle les connexions configurées avec Express sont créées, notamment :
  • Un utilisateur dans une connexion de base de données dédiée créée exclusivement pour une seule organisation
  • Un utilisateur dans une connexion de base de données partagée qui est membre d’une ou de plusieurs organisations
  • Un utilisateur avec une connexion courriel Passwordless qui est membre d’une ou de plusieurs organisations
  • Un utilisateur dans une connexion sociale ou d’entreprise existante qui est membre d’une ou de plusieurs organisations
Une fois ces conditions remplies, Auth0 offre des moyens flexibles d’attribuer des permissions d’Express Configuration et permet aux développeurs de choisir la méthode la mieux adaptée à leur déploiement Auth0 actuel :
MéthodeRecommandée pour…
Attribuer des permissions d’Express Configuration à un rôle utilisateur existantLes clients qui ont déjà un rôle d’utilisateur d’application dans leur locataire Auth0.
Attribuer un nouveau rôle aux utilisateurs d’application qui ont besoin des permissions d’Express Configuration, comme illustré dans l’application de référence SaaStart.Les clients qui souhaitent utiliser la fonctionnalité de rôle d’Auth0 pour accorder des permissions d’Express Configuration à des utilisateurs précis. Cela peut être fait avec Auth0 Dashboard ou la Management API.
Utiliser une Action post-login pour attribuer dynamiquement des permissions à l’aide du contrôle d’accès basé sur les attributsLes clients qui n’utilisent pas actuellement la fonctionnalité de rôle d’Auth0 et préfèrent utiliser une Action post-login pour attribuer dynamiquement des permissions en fonction des attributs de l’utilisateur, plutôt que d’utiliser Auth0 Dashboard ou d’effectuer des appels à la Management API pour attribuer des rôles.
Pour obtenir des conseils sur le provisionnement de comptes administrateur pour utiliser Express Configuration, consultez Customer Enablement.

Attribuer des autorisations à un rôle d’utilisateur d’application existant

Utilisez cette méthode pour attribuer des autorisations Express Configuration si vous utilisez la fonctionnalité RBAC d’Auth0 pour les rôles d’application et les autorisations d’API, et que vous avez déjà un ou plusieurs rôles correspondant à un utilisateur administrateur à attribuer à un administrateur TI qui déploie l’application. Autorisations d’API requises :
Nom de l’autorisationIdentifiant de l’API (serveur de ressources)
express_configure:ssourn:auth0:express-configure
express_configure:scimurn:auth0:express-configure
Pour en savoir plus sur l’attribution de rôles dans Auth0 Dashboard et Management API, consultez Ajouter des autorisations aux rôles.

Attribuer un nouveau rôle aux utilisateurs de l’application

Utilisez cette méthode d’attribution des autorisations d’Express Configuration si vous utilisez la fonctionnalité RBAC d’Auth0 pour les rôles d’application et les autorisations d’API, mais que vous n’avez pas de rôle représentant un utilisateur administratif, comme un administrateur informatique, qui serait chargé de déployer l’application. Cette méthode convient également aux développeurs Auth0 qui n’utilisent pas actuellement la fonctionnalité RBAC d’Auth0, mais qui souhaitent l’utiliser pour obtenir un contrôle granulaire sur les utilisateurs autorisés à accéder à l’application, au moyen d’Auth0 Dashboard ou de la Management API.

Créer un rôle

Utilisez Auth0 Dashboard, Management API ou Auth0 CLI pour créer des rôles. Cet exemple utilise l’Auth0 CLI : 
auth0 roles create \
  --name "EXPRESS_CONFIGURE_ADMIN_ROLE" \
  --description "Administrator role for Express Configuration"

Attribuer des autorisations au rôle

Attribuez les autorisations express_configuration:sso et express_configuration:scim au rôle spécifié. Remplacez $ROLE_ID par l’ID du rôle auquel vous voulez attribuer ces autorisations.
Lorsque vous utilisez cette méthode, vous devrez mettre à jour votre processus d’intégration des clients afin d’attribuer ce rôle à tout nouvel utilisateur de l’organisation qui a besoin des autorisations d’Express Configuration.
auth0 roles permissions add "$ROLE_ID" \
  --api-id "urn:auth0:express-configure" \
  --permissions "express_configure:sso"

auth0 roles permissions add "$ROLE_ID" \
  --api-id "urn:auth0:express-configure" \
  --permissions "express_configure:scim"
Pour en savoir plus sur l’attribution de rôles à des utilisateurs existants d’une organisation, consultez Ajouter des rôles de membre.

Attribuer des autorisations selon les attributs de l’utilisateur à l’aide d’une Action post-login

Utilisez cette méthode d’attribution des autorisations Express Configuration si vous utilisez une Action post-login Auth0 pour attribuer dynamiquement des autorisations en fonction des attributs de l’utilisateur, plutôt que d’utiliser le contrôle d’accès basé sur les rôles (RBAC), la Management API ou Auth0 Dashboard pour attribuer des rôles à l’utilisateur. Cette méthode convient aux clients d’Auth0 qui ont déployé Auth0 à l’aide d’un modèle d’autorisation basé sur les attributs, avec des autorisations personnalisées dans les métadonnées Auth0. Exemple
L’exemple suivant utilise une Action post-login pour attribuer des autorisations en fonction de la valeur d’un attribut personnalisé existant de l’utilisateur, user.app_metadata.is_admin. 
/**
* Attribue les permissions Express Configuration selon une logique personnalisée plutôt que par attribution de rôles
*/
exports.onExecutePostLogin = async (event, api) => {


 //vérifier si la requête concerne un jeton d'accès à l'API EC
 if (event.resource_server && event.resource_server.identifier === "urn:auth0:express-configure") {


   //ajouter des permissions selon une condition personnalisée
   if (event.user.app_metadata && event.user.app_metadata.is_admin === true) {
     api.accessToken.addScope("express_configure:sso");
     api.accessToken.addScope("express_configure:scim");
   }
   //sinon refuser l'accès si un jeton d'accès EC est demandé
   else {
     api.access.deny('Access denied');
   }
 }
};

Activer la découverte du domaine d’origine

Avant d’exécuter Express Configuration, vous devez recueillir et vérifier les adresses courriel des clients dans le cadre du processus d’intégration afin d’activer la HRD.
Vous pouvez utiliser Express Configuration avec les Actions Auth0 si votre application s’appuie sur l’expérience de connexion Identifier-First et utilise la découverte du domaine d’origine (HRD) pour associer les utilisateurs à leur fournisseur d’identité (IdP) en fonction de leur adresse courriel. Les adresses courriel doivent être stockées dans un emplacement accessible aux Actions post-login pendant le processus Express Configuration, notamment :
  • Un ou plusieurs domaines de courriel peuvent être stockés dans les métadonnées de l’organisation de l’Organisation Auth0 du client.
  • Votre Action post-login peut effectuer un appel d’API pour récupérer les domaines vérifiés à partir de n’importe quel système de votre environnement où ils sont stockés.
Lorsqu’un administrateur lance Express Configuration dans le portail Okta et s’authentifie, ces actions ajoutent les domaines de courriel au jeton reçu par Okta, qu’Okta extrait ensuite et utilise pour configurer la connexion Okta avec les bons paramètres HRD. Exemple 1
Dans cet exemple, les domaines vérifiés sont stockés dans les métadonnées de la connexion au sein de l’Organisation Auth0, ce qui exige une chaîne délimitée par des virgules contenant un ou plusieurs domaines de courriel stockés dans les métadonnées de l’organisation sous une clé nommée domains. Exemples de valeurs : test.com,test2.com 
exports.onExecutePostLogin = async (event, api) => {
if (event?.resource_server?.identifier === "urn:auth0:express-configure") {
  if (event.organization && event.organization.metadata && event.organization.metadata.domains)
  {
    var domain_aliases = event.organization.metadata.domains.replace(/ /g,'').split(',');
    var express_configuration = {
      "domain_aliases": domain_aliases
     };
     api.accessToken.setCustomClaim("express_configuration", express_configuration);
  }
}
};
Exemple 2
Dans cet exemple, l’Action post-login effectue un appel à l’API pour récupérer les domaines vérifiés depuis un système de stockage de votre environnement. 
/**
*/
exports.onExecutePostLogin = async (event, api) => {
 if (event?.resource_server?.identifier === "urn:auth0:express-configure") {
    const axios = require("axios");
    // configurez votre appel API personnalisé ici 
    const domains = await axios.get("https://example.org/endpoint");
     var express_configuration = {
     "domain_aliases": domains
      };
      api.accessToken.setCustomClaim("express_configuration", express_configuration);
  
 }
};

Assurer la correspondance des comptes administrateur entre les connexions

Auth0 permet de provisionner des comptes utilisateur avec la même adresse courriel dans différentes connexions. Un utilisateur final peut avoir un compte de base de données, social ou Passwordless avec son adresse courriel professionnelle, et avoir aussi la même adresse courriel dans son compte Okta fédéré. Lorsque vous utilisez l’option Demander les informations d’identification dans le flux de connexion et de consentement administrateur, la découverte du domaine d’origine commence à associer les utilisateurs ayant un suffixe de domaine précis à la nouvelle connexion Okta plutôt qu’à d’autres types de connexion après son ajout à l’Organisation. Pour en savoir plus sur ce comportement de connexion de l’Organisation, consultez Authentification Identifier First avec demande des informations d’identification. Ce comportement ne prend effet que lorsque les clients exécutent Express Configuration une deuxième fois après l’expiration de la session initiale de l’utilisateur administrateur Auth0. Si l’identifiant du compte administrateur est une adresse courriel qui correspond à la nouvelle connexion Okta, l’administrateur y sera redirigé. Ce comportement peut être géré ou évité à l’aide de l’une des méthodes suivantes :
  • Utilisez l’option Demander l’organisation dans le flux de connexion et de consentement administrateur.
    • Activez les autorisations d’Express Configuration pour le nouveau compte Okta qui contient l’adresse courriel vérifiée correspondante après son provisionnement.
    • Si vous utilisez uniquement les Organisations Auth0 pour le flux de consentement administrateur d’Express Configuration et non pour l’expérience de votre application, vous pouvez résoudre le problème en désactivant la propriété enable_organization décrite dans Configurer les propriétés de l’application SaaS.
    • Ce n’est pas un problème si l’identifiant de l’utilisateur administrateur n’est pas une adresse courriel, par exemple un nom d’utilisateur dans une connexion de base de données.

Activer plusieurs applications au sein d’une même intégration

Si vous voulez que les utilisateurs finaux d’une même Express Configuration pour une connexion Okta puissent accéder à plusieurs applications dans votre locataire, vous pouvez définir une propriété linked_clients sur votre application Web enregistrée. Pour modifier ce paramètre, utilisez la Management API d’Auth0 pour récupérer votre application Web enregistrée. Remplacez {yourAppId} par l’ID client de votre application enregistrée et {yourAccessToken} par un jeton d’accès à la Management API v2. Pour savoir comment obtenir un jeton d’accès à utiliser avec la Management API, consultez Jetons d’accès de la Management API. 
curl --request GET \
  --url 'https://{yourDomain}/api/v2/clients/{yourAppId}' \
  --header 'authorization: Bearer {yourAccessToken}'
Extrayez la propriété express_configuration de la réponse, ajoutez à la propriété linked_clients un tableau d’ID d’applications supplémentaires, puis mettez à jour votre application Web enregistrée : 
curl --request PATCH \
  --url 'https://{yourDomain}/api/v2/clients/{yourAppId}' \
  --data '{"express_configuration": 
  {"admin_login_domain":"TENANT.auth0.com",
    "connection_profile_id":"cop_xxxxxxxxxxxxxxx",
    "enable_client":true,
    "enable_organization":true,
    "initiate_login_uri_template":"https://example.org",
    "okta_oin_client_id":"LDiGbUeiAYjRB5a4yOGfBvxxxxxxxxxxx",
    "user_attribute_profile_id":"uap_1ctMVQUg8jxxxxxxxxxxxx",   

     "linked_clients": [ 
        { "client_id": "KJM86F2susguvsasSeAsIxxxxxxxxxxx" }, 
	  { "client_id": "FIXwZCf5iUElvqy6eidlfxxxxxxxxxxx" }
      ] 
     }
  }' \
  --header 'cache-control: no-cache' \
  --header 'content-type: application/json' \
  --header 'authorization: Bearer {yourAccessToken}'
Lorsque Express Configuration est exécuté, tous ces identifiants d’application figurant dans la propriété linked_clients seront ajoutés à la propriété enabled_clients de la connexion Okta.

Publier votre intégration dans l’OIN

Après avoir créé une configuration de base, vous êtes prêt à entamer le processus de soumission à l’OIN. Dans le cadre de ce processus, vous pourrez tester Express Configuration de bout en bout avant sa mise en ligne :
  1. Enregistrer votre application dans l’OIN 2. Ajouter Express Configuration à votre intégration OIN 3. Configurer votre clé publique de l’OIN 4. Tester et vérifier votre intégration Express Configuration 5. Finaliser votre soumission à l’OIN

Enregistrer votre application dans l’OIN

Exigences de l’OIN

Pour ajouter Express Configuration à une application nouvelle ou existante dans l’OIN, vous devez disposer des éléments suivants :
  • Une instance de votre application Web compatible avec Auth0 à utiliser pour les tests
  • Une organisation Okta Integrator Free Plan, avec accès au rôle Super Admin ou aux rôles App Admin et Org Admin
    • Votre organisation Okta Integrator Free Plan doit être configurée en tant que connexion Okta dans votre locataire Auth0 et activée pour être utilisée avec votre application Web compatible avec Auth0 afin de pouvoir effectuer les tests de base
  • Le navigateur Google Chrome avec l’extension Okta Browser Plugin installée (consultez les exigences de l’OIN Wizard)
  1. Ouvrez une session dans votre organisation Okta Integrator Free Plan avec le compte utilisateur que vous avez utilisé lors de l’inscription, ou avec un compte auquel le rôle SUPER_ADMIN ou les rôles d’administration APP_ADMIN et ORG_ADMIN dans Okta ont été attribués.
  2. Accédez à Applications > Your OIN Integrations dans la console d’administration.
  3. S’il s’agit d’une nouvelle application, sélectionnez Build new OIN integration. Sinon, sélectionnez votre intégration OIN existante. L’OIN Wizard s’affiche :
Configurer Okta OIN
  1. Sous Add integration capabilities, sélectionnez OpenID Connect (OIDC) comme protocole SSO.
  2. Vous pouvez aussi sélectionner Universal Logout et SCIM 2.0; ces deux options sont fortement recommandées pour toutes les intégrations Okta et sont prises en charge avec Express Configuration.
  3. Sélectionnez Add integration details.
  4. Remplissez la section OIN Catalog Properties selon vos besoins. Pour en savoir plus, consultez OIN Catalog Properties.
  5. Sélectionnez Configure your integration. C’est sur cet écran que vous activez Express Configuration pour votre application.

Ajouter Express Configuration à votre intégration OIN

Pour activer la fonctionnalité d’Express Configuration pour votre intégration OIN enregistrée :
  1. À l’écran Configurez votre intégration de l’assistant OIN, sélectionnez Activer Express Configuration. Une fenêtre s’affiche et vous demande des renseignements à récupérer dans votre locataire Auth0.
Paramètres d’importation OIN
  1. Dans une nouvelle fenêtre de navigateur, accédez à Auth0 Dashboard > Applications > [Application] > Okta Integration Network > Create OIN Integration et copiez les renseignements indiqués à l’écran.
  2. Revenez à l’écran Configurez votre intégration de l’assistant OIN, puis collez les renseignements dans le champ Renseignements sur Express Configuration.
  3. Sélectionnez Continuer.

Configurez votre clé publique OIN

Ensuite, suivez les instructions pour télécharger depuis Okta un fichier de clé publique que vous devez téléverser dans Auth0.
  1. Dans la fenêtre Express Configuration for Auth0 apps de l’OIN Wizard, choisissez Download Key (.pem) pour enregistrer la clé sur votre appareil.
  2. Téléversez le fichier dans Auth0 Dashboard > Applications > [Application] > Okta Integration Network > Create OIN Integration.
Téléversement de la clé publique OIN
  1. Sélectionnez Save.
  2. Retournez à l’écran Configure your integration du portail Okta, puis choisissez Finish. Cette action renseigne automatiquement plusieurs des champs de configuration requis pour votre intégration.

​Complétez la configuration de votre intégration

  1. Sous Propriétés OIDC, définissez les champs suivants :
    • Les URI de redirection devraient être automatiquement définis sur l’URI de rappel de votre locataire Auth0. Vous pouvez utiliser le domaine personnalisé de votre locataire ou votre domaine auth0.com. Exemple : https://tenant.auth0.com/login/callback
    • L’URI d’initiation de connexion devrait être automatiquement définie selon la valeur que vous avez configurée pour votre application dans Auth0, comme décrit dans Enregistrer une application avec le modèle d’URI d’initiation de connexion. Okta utilisera cette URL pour lancer votre application à partir du tableau de bord de l’utilisateur final. Notez que les noms de variables ont été modifiés pour correspondre aux variables d’intégration affichées sur cet écran.
    • (Facultatif). Définissez l’URL post-déconnexion sur les URI de redirection après déconnexion de votre application. Il s’agit de l’emplacement vers lequel vous souhaitez rediriger votre utilisateur final après sa déconnexion de votre application. Vous pouvez utiliser des variables d’intégration si votre URI de déconnexion varie selon le locataire.
    • Définissez l’URL du guide de configuration pour qu’elle pointe vers les instructions destinées à vos clients expliquant comment configurer le SSO entre Okta et votre application avec Express Configuration. Pour en savoir plus, consultez Directives pour le document de configuration client.
    Paramètres OIDC OIN
  2. Si Universal Logout est sélectionné, confirmez que les valeurs suivantes sont définies sous les propriétés de déconnexion universelle :
    • Le point de terminaison de révocation globale de jeton devrait être automatiquement défini. Cette valeur sera remplacée dynamiquement lors de l’exécution d’Express Configuration.
    • Le format du sujet devrait être automatiquement défini sur Identificateur de l’émetteur et du sujet.
    • Cochez Prise en charge partielle si vous n’utilisez pas la déconnexion OIDC back-channel entre Auth0 et votre application, mais que votre application utilise des jetons d’actualisation.
    Paramètres Universal Logout de la console d’administration Okta
  3. Si SCIM 2.0 est sélectionné, confirmez que les valeurs suivantes sont définies sous les propriétés de provisionnement SCIM :
    • L’URL de base devrait être définie sur une variable d’intégration. Cette valeur sera remplacée dynamiquement lors de l’exécution d’Express Configuration.
    • Les opérations utilisateur devraient être automatiquement définies sur Create, Read, Update et Deactivate.
    • Définissez le lien vers les instructions destinées à vos clients expliquant comment configurer le SSO entre Okta et votre application avec Express Configuration. Consultez Directives pour le document de configuration client.
      Provisionnement SCIM d’Express Configuration OIN
  4. Sélectionnez Commencer les tests.

Tester et vérifier votre intégration

Après avoir téléversé la clé publique dans Auth0, vous pouvez tester Express Configuration à l’aide de votre organisation Okta Free Integrator :
  1. Créez une organisation Auth0 et un compte avec nom d’utilisateur et mot de passe que vous pouvez partager avec l’équipe Okta OIN Operations.
    • Suivez les instructions du flux d’activation client d’exemple pour créer une organisation Auth0 et un compte avec nom d’utilisateur et mot de passe à cette fin.
    • Au besoin, effectuez toute configuration supplémentaire requise dans votre application pour permettre à l’organisation de test de se connecter, par exemple en créant un nouveau locataire pour l’application.
  2. Une fois le compte de test créé, connectez-vous à votre organisation Okta Integrator Free en tant qu’utilisateur ayant soit le rôle de super administrateur (SUPER_ADMIN), soit les rôles d’administrateur d’application (APP_ADMIN) et d’organisation (ORG_ADMIN).
  3. Accédez à Applications > Your OIN Integrations dans la console d’administration Okta. Sélectionnez le nom de votre intégration OIN.
  4. Choisissez Configure your integration. Ensuite, choisissez Get started with testing.
  5. Définissez Account URL comme la page de connexion de votre application. Un ingénieur des opérations OIN d’Okta accède à cette URL et utilise les identifiants du compte que vous fournissez dans les champs suivants pour se connecter à votre application.
  6. Définissez Username et Password comme le nom d’utilisateur et le mot de passe d’un compte administrateur de l’organisation de test que vous avez configuré pour tester Express Configuration.
  7. Définissez Support Contact comme le courriel qu’Okta utilisera pour communiquer avec votre entreprise au sujet de votre intégration. Ce courriel n’est pas affiché dans le catalogue OIN ni à vos clients. Il est visible uniquement par l’équipe interne d’Okta.
  8. Sous OIDC Tests, sélectionnez No pour Just-In Time Provisioning afin d’ignorer ce test, et définissez SP Initiate URL comme l’URL de lancement de connexion de votre instance d’application.
    Test OIDC de l’intégration OIN
  9. Sélectionnez Test your integration.
  10. Sélectionnez Generate Instance, puis Done.
  11. Accédez à l’onglet Sign On.
  12. Pour tester Express Configuration pour le SSO (authentification unique) et Universal Logout, sélectionnez Express Configure SSO & UL.
    Express Configuration pour SuperSaaS
  13. Une fois redirigé vers la page Universal Login d’Auth0, connectez-vous avec votre compte administrateur de l’organisation et acceptez le partage des données.
  14. Pour tester SCIM : sélectionnez Provisioning, puis Express Configure SCIM. Lorsque vous êtes redirigé vers Universal Login d’Auth0, poursuivez à l’étape de consentement. Une fois cela terminé, l’intégration SCIM est configurée.
  15. Ensuite, sélectionnez l’onglet Assignments et attribuez un utilisateur de votre organisation Okta Free Integrator pour lequel vous disposez des identifiants. Si aucun utilisateur approprié n’existe, suivez les instructions pour ajouter des utilisateurs manuellement. Si SCIM est activé, l’utilisateur devrait être provisionné dans votre locataire Auth0. Vérifiez-le dans l’Auth0 Dashboard.
  16. Pour tester le SSO : utilisez le compte utilisateur que vous venez d’attribuer et l’instance de test. Connectez-vous avec les identifiants de ce compte utilisateur.
  17. Pour tester Universal Logout : suivez les instructions dans Tester Universal Logout.

Finalisez votre soumission

Les tests de base ont été effectués dans la section précédente. Pour finaliser votre soumission, votre configuration doit réussir certains tests automatisés :
  1. Dans votre instance d’application, sélectionnez Begin Testing pour finaliser votre soumission.
  2. À côté du nom de l’instance que vous venez de tester avec Express Configuration, sélectionnez Add to Tester.
  3. Pour exécuter les tests SSO automatisés, sélectionnez Run test pour les tests IDP flow et/ou SP flow. Ces tests nécessitent l’extension Okta Browser Plugin. Pour en savoir plus, consultez OIN Wizard Requirements.
    • Connectez-vous avec l’utilisateur de l’Okta Free Integration Organization que vous avez attribué à l’instance d’application. Les tests réussissent dès que l’extension détecte que vous pouvez vous connecter à votre application avec succès. Pour en savoir plus sur ces tests, consultez Test your integration.
    • Si vous recevez le message d’erreur invalid_request (no connections enabled for the client) pendant le test de connexion, attendez quelques minutes, puis réessayez. Les connexions nouvellement créées peuvent prendre quelques minutes avant de fonctionner avec des fonctionnalités comme HRD.
  4. Pour effectuer les tests Runscope requis pour SCIM, suivez les instructions de Test your SCIM API à l’aide de Okta SCIM 2.0 Spec Tests.
    • Pour un deuxième jeton SCIM, utilisez la section Authentication > Enterprise > Okta > [your-express-configred-connection] > Provisioning > Sync user profiles using SCIM > Setup.
    • Une fois les tests terminés, saisissez l’URL partageable du test Runscope dans les champs Link to Runscope spec test results et Link to Runscope CRUD test results de l’OIN Wizard.
  5. Une fois terminé, sélectionnez Submit Integration.

Activation des clients

Lorsque votre application est publiée dans l’OIN, vous pouvez mettre à jour la documentation de votre produit pour indiquer qu’elle prend en charge Express Configuration avec Okta. La documentation de votre produit doit préciser quels rôles ou types d’utilisateur sont autorisés à effectuer Express Configuration. Si votre application utilise déjà les Organisations Auth0 avec des rôles d’administrateur d’organisation, comme l’illustre l’application de référence SaaStart, vous pouvez ajouter les autorisations Express Configuration à ce rôle. Si vous n’avez pas encore déployé les Organisations Auth0 pour vos clients, ou si votre application ne gère pas d’utilisateurs administratifs, consultez l’exemple de flux d’intégration des clients.

Exemple de flux d’activation d’un client

Dans votre processus d’intégration des clients, vous devez recueillir :
  • Le nom de l’organisation du client
  • L’adresse de courriel de l’administrateur du client qui doit avoir les autorisations nécessaires pour effectuer Express Configuration
  • Les domaines de courriel vérifiés que l’IdP du client attribue aux utilisateurs, y compris les domaines de l’administrateur
Recueillez ces renseignements manuellement ou au moyen du processus d’inscription ou d’intégration de vos clients. Utilisez ces renseignements pour créer une organisation Auth0 et un compte administrateur pour ce client :
  1. Créez une organisation Auth0
  2. Créez le compte administrateur dans une connexion Auth0, comme une base de données ou Passwordless par courriel.
  3. Associez la connexion à l’organisation Auth0. Désactivez Membership On Authentication.
  4. Ajoutez le compte administrateur comme membre de l’organisation Auth0.
  5. Attribuez à l’administrateur un rôle organisationnel avec les autorisations nécessaires pour effectuer Express Configuration.

Exemple avec Auth0 CLI

Initialisez Auth0 CLI et authentifiez-vous Authentifiez-vous auprès d’Auth0 à l’aide d’Auth0 CLI. 
auth0 login --scopes "create:users,create:organizations,create:organization_members,create:organization_member_roles,create:organization_connections"
Créer une organisation Auth0 Saisissez le nom de l’organisation et un nom abrégé sans espaces. Si vous avez recueilli plusieurs suffixes d’adresse courriel, ajoutez-les aux métadonnées de l’organisation. 
auth0 orgs create --json \
--display "organization_display_name" \
--name "organization_short_name" \
--metadata 'domains=["domain1.com", "domain2.com"]'
Récupérez le org_id renvoyé. Créer le compte administrateur de l’organisation Dans cet exemple, vous créez un utilisateur dans une connexion Passwordless par courriel, ce qui exige le type de connexion email. La commande exige que vous saisissiez l’adresse courriel de l’utilisateur que vous autorisez à effectuer Express Configuration. 
auth0 api users \
--data '{"email":"user@example.com","connection":"email", "email_verified":true}'

Conseil

Si vous créez cette organisation pour fournir à l’équipe des opérations Okta OIN un compte de test avec nom d’utilisateur et mot de passe, créez ce compte dans une connexion de base de données partagée ou dédiée :
auth0 api users \
--data '{"email":"user@example.com","connection":"db_connection_name_here", "password": "add_a_long_password_here"}'
Notez le user_id renvoyé. Associer la connexion à l’organisation Récupérez l’ID de la connexion : 
auth0 api get "connections" -q "name=connection_name_here"
Associez l’ID de connexion à l’ID de l’organisation, org_id. 
auth0 api post "organizations/org_id_here/enabled_connections" \
--data '{ "connection_id": "connection_id_here" };
Ajoutez l’utilisateur administrateur comme membre de l’organisation Vous avez besoin de org_id et de user_id. 
auth0 api post "organizations/org_id_here/members" \
--data '{ "members": ["user_id__here"] }'
Attribuez le rôle Organisation avec les autorisations Express Configuration Récupérez l’ID du rôle doté des autorisations Express Configuration, comme indiqué dans Attribuer des autorisations Express Configuration aux utilisateurs. 
auth0 api get "roles" -q "name_filter=role_name_here"
Attribuez l’ID du rôle à user_id et à org_id. 
auth0 api post "organizations/org_id_here/members/user_id_here/roles" --data '{ "roles": ["role_id_here"] }'
Une fois le processus terminé, votre client peut utiliser le compte d’administrateur de l’Organisation pour effectuer la configuration express dans son organisation Okta avec votre intégration OIN.

Recommandations pour la création de comptes d’administrateur

Que vous utilisiez des comptes d’utilisateur existants ou que vous en créiez de nouveaux pour activer Express Configuration, suivez les recommandations ci-dessous.

Utilisez une adresse courriel professionnelle

Que le compte administrateur non fédéré soit un compte de base de données, un compte Passwordless par courriel ou un compte social, il est préférable que la valeur de l’attribut email corresponde à l’adresse courriel professionnelle de l’utilisateur qui sera provisionnée avec son compte utilisateur Okta Enterprise (exemple : john@mycompany.com). Auth0 recommande également de vérifier ces adresses courriel au moyen d’un flux de vérification du courriel.

Utiliser l’authentification multifacteur

Vous pouvez ajouter une couche de sécurité supplémentaire au flux Express Configuration en exigeant l’authentification multifacteur à chaque connexion. L’exemple d’Action Post-Login montre comment demander, de façon conditionnelle, des facteurs comme WebAuthn avec biométrie de l’appareil et un mot de passe à usage unique envoyé par courriel chaque fois qu’Express Configuration s’exécute. L’exemple d’Action nécessite l’activation de ces facteurs dans votre locataire Auth0, ainsi que la sélection de l’option Customize MFA Factors using Actions. 
exports.onExecutePostLogin = async (event, api) => {


if (event.resource_server && event.resource_server.identifier === "urn:auth0:express-configure") {


   api.multifactor.enable('any');
  api.authentication.challengeWith({ type: 'email' });


  if (!event.user.enrolledFactors.some(m => m.type === 'webauthn-platform')) {
     api.authentication.enrollWith({type: 'webauthn-platform'});
   } else {
     api.authentication.challengeWith({type: 'webauthn-platform'});
  }
 }
}

Surveiller l’utilisation d’Express Configuration

L’utilisation d’Express Configuration peut être consultée dans les journaux du locataire Auth0 en filtrant sur l’OIN Client ID de chaque application que vous avez configurée. Cela comprend toutes les activités de connexion des utilisateurs administrateurs, ainsi que toutes les opérations d’API permettant de créer et de gérer les connexions Okta Enterprise. L’OIN Client ID de votre application peut être consulté aux endroits suivants :
  • Dans la section Applications > [Application] > Okta Integration Network > Create OIN Integration de l’Auth0 Dashboard.
    • Dans la propriété express_configuration.okta_oin_client_id de votre application, lorsque vous la consultez dans la Auth0 Management API.
Pour en savoir plus sur la recherche dans les journaux par ID client, consultez Log Search Query Syntax.

Limites

  • Un seul locataire Auth0 peut être utilisé dans une intégration OIN. Si la même application est déployée dans plusieurs régions Auth0, chaque région nécessite sa propre intégration OIN.
  • Une intégration OIN dans une organisation Okta peut créer une connexion Okta unique dans l’organisation Auth0 correspondante. Express Configuration n’est pas prise en charge pour plus d’une instance d’une application OIN au sein d’une organisation Okta.
  • Chaque intégration unique répertoriée dans l’OIN crée une connexion Okta indépendante. Si vous avez plusieurs applications qui nécessitent une expérience de connexion Identifier-First avec découverte du domaine d’origine, nous vous recommandons de publier plusieurs applications sous une seule intégration.
  • Lorsque vous activez plusieurs applications sous une seule intégration, Okta n’affiche que l’application OIN principale dans son tableau de bord de l’utilisateur final.

Référence de la Management API

Pour utiliser la Management API plutôt qu’Auth0 Dashboard afin d’activer Express Configuration pour une application donnée, consultez les exemples ci-dessous.

Créer l’API système d’Express Configuration de l’OIN Okta

Enregistre le serveur de ressources qui sera utilisé pour authentifier les administrateurs d’organisation. Cela n’est nécessaire que si le tableau de bord n’a jamais servi à configurer Express Configuration pour des applications dans un locataire. Exemple : 
POST /api/v2/resource-servers
{
    "name": "Okta OIN Express Configuration API",
    "identifier": "urn:auth0:express-configure"
  }
référence du point de terminaison

Créer un profil d’attributs utilisateur

Crée un profil d’attributs utilisateur. Cette étape n’est requise que s’il n’existe encore aucun profil ou si le développeur souhaite utiliser un profil personnalisé. Pour partir d’un ensemble de valeurs par défaut pour le profil d’attributs utilisateur, appelez d’abord le point de terminaison GET /api/v2/user-attribute-profiles/templates, puis utilisez la réponse comme corps de la requête pour créer le profil d’attributs utilisateur. Exemple : 
GET /api/v2/user-attribute-profiles/templates
Référence du point de terminaison 
POST /api/v2/user-attribute-profiles
{
    "name": "Okta OIN Express Configuration API",
    "identifier": "urn:auth0:express-configure"
}
Référence du point de terminaison

Créer un profil de connexion

Créez un profil de connexion. Cette étape n’est requise que s’il n’existe aucun profil ou si le développeur souhaite utiliser un profil personnalisé. Pour partir d’un ensemble de valeurs par défaut pour le profil de connexion, appelez le point de terminaison GET /api/v2/connection-profiles/templates, puis utilisez le corps de la réponse comme corps de la requête pour créer le profil de connexion. Exemple : 
GET /api/v2/connection-profiles/templates
Référence du point de terminaison 
POST /api/v2/connection-profile
{
    "name": "Okta OIN Express Configuration API",
    "identifier": "urn:auth0:express-configure"
}
Référence du point de terminaison

Créer l’application Express Configuration OIN

Créez l’application de service qu’Okta utilisera pendant Express Configuration pour une application donnée. Cette application doit être créée avec les propriétés indiquées dans l’exemple ci-dessous. L’attribut organization_require_behavior peut être personnalisé pour utiliser l’une des valeurs ci-dessous, qui sont également expliquées dans Paramètres de connexion et de consentement de l’administrateur.
  • pre_login_prompt : demande l’organisation de l’administrateur avant de demander ses identifiants.
    • post_login_prompt : demande les identifiants de l’administrateur. Pour cette option, utilisez le point de terminaison PATCH /api/v2/connections/{id} pour ajouter l’ID client de l’application OIN à la propriété enabled_clients de la ou des connexions qui contiennent les comptes d’administrateur.
Exemple : 
POST /api/v2/clients
{
    "name": "Okta OIN Express Configuration",
    "app_type": "express_configuration",
    "organization_require_behavior": "pre_login_prompt",
    "client_authentication_methods": {
      "private_key_jwt": {
        "credentials": []
      }
    }
}
Référence de point de terminaison

Configurer les propriétés de l’application SaaS

Définissez les valeurs de configuration de la propriété express_configuration pour l’application enregistrée qui sera publiée dans l’OIN. Remplacez les valeurs des exemples par un ID de profil de connexion valide, un ID de profil d’attribut utilisateur valide, un ID d’application cliente OIN valide, un URI d’initiation de connexion valide et le domaine du locataire Auth0 valide à utiliser pour cette intégration. L’attribut linked_clients correspond au paramètre décrit dans Activer plusieurs applications sous une seule intégration. L’attribut enable_client correspond au paramètre enabled_clients décrit dans Paramètres de connexion de l’organisation. L’attribut enable_organization doit normalement être défini sur true, sauf si vous n’assignez pas les connexions créées à leurs organisations. L’instance d’application Okta peut quand même gérer la connexion, mais les utilisateurs Okta ne deviendront pas membres de l’organisation Auth0. Définir cette valeur sur false peut être utile dans le cas décrit dans Maintenir la correspondance des comptes administrateur entre les connexions. Exemple : 
PATCH /api/v2/clients/{id}
{
  "express_configuration": {
      "admin_login_domain": "yourAuth0TenantDomain",
      "connection_profile_id": "yourConnectionProfileId",
      "enable_client": true,
      "enable_organization": true,
      "initiate_login_uri_template": "yourInitiateLoginUriTemplate",
      "okta_oin_client_id": "yourOinClientId",
      "user_attribute_profile_id": "yourConnectionProfileId",
"linked_clients": [ 
    { "client_id": "KJM86F2susguvsasSeAsIxxxxxxxxxxx" }, 
    { "client_id": "FIXwZCf5iUElvqy6eidlfxxxxxxxxxxx" }
 ] 
    }
}
référence du point de terminaison

Téléverser la clé publique

Téléversez la clé publique fournie par l’équipe Okta comme information d’identification de l’application OIN. Exemple : 
POST /api/v2/clients/{oin_client_id}/credentials
{
  "credential_type": "public_key",
  "pem": "-----BEGIN PUBLIC KEY-----\nMIGf..."
}
référence du point de terminaison

Attribuer des clés à l’application cliente OIN

Attribuez à l’application cliente de service OIN les clés publiques téléversées depuis Okta. Remplacez yourCredentialId par l’ID des informations d’identification reçu à l’étape précédente. Exemple : 
PATCH /api/v2/clients/{oin_client_id}
{
 "client_authentication_methods": {
    "private_key_jwt": {
      "credentials": [
        {
          "id": "yourCredentialId",
        }
      ]
    }
  }
}
référence du point de terminaison Mettez à jour les paramètres du locataire afin d’afficher les détails du scope sur la page de consentement. Ces paramètres améliorent l’expérience utilisateur en fournissant des renseignements sur les autorisations accordées. Ce n’est pas obligatoire, mais c’est recommandé. Exemple : 
PATCH /api/v2/tenants/settings
{ 
  "flags": { "use_scope_descriptions_for_consent": true } 
}
référence du point de terminaison