Passer au contenu principal
La connexion intégrée pour les applications Web utilise l’authentification inter-origines, à moins que vous ne configuriez un domaine personnalisé pour votre locataire. L’authentification inter-origines s’appuie sur des témoins tiers pour permettre des transactions d’authentification sécurisées entre différentes origines.

Utilisation des SDK d’Auth0 pour implémenter la connexion intégrée

Vous pouvez implémenter la connexion à l’aide du widget Lock d’Auth0 ou, si vous avez besoin d’un contrôle total sur l’expérience utilisateur, la mettre en œuvre avec Auth0.js :

Configurer le partage de ressources entre origines multiples (CORS)

Pour des raisons de sécurité, l’URL d’origine de votre application doit figurer dans la liste des URL approuvées. Si vous ne l’avez pas déjà ajoutée aux Allowed Callback URLS de votre application, vous devrez l’ajouter à la liste des Allowed Origins (CORS).
  1. Accédez à Auth0 Dashboard > Applications > Applications, puis sélectionnez le nom de votre application pour afficher ses paramètres.
  2. Repérez Allowed Origins (CORS), saisissez l’URL d’origine de votre application, puis sélectionnez Save Changes.

Personnaliser MFA

Personnalisez la avec des flux intégrés. Utilisez l’API MFA pour permettre aux utilisateurs d’inscrire les facteurs de leur choix pris en charge par votre application et de répondre aux demandes de vérification. Lors de l’utilisation de Lock for Web, le point de terminaison oauth/token renvoie l’erreur mfa_required et inclut le mfa_token nécessaire pour utiliser l’API MFA, ainsi que le paramètre mfa_requirements, qui contient la liste des méthodes d’authentification actuellement prises en charge par votre application : 
{
  "error": "mfa_required",
  "error_description": "Multifactor authentication required",
  "mfa_token": "Fe26...Ha",
  "mfa_requirements": {
    "challenge": [
      { "type": "otp" },
      { "type": "push-notification" },
      { "type": "phone" },
      { "type": "recovery-code" }
      { "type": "email"} //fonctionne uniquement avec challenge
    ]
  }
}
Utilisez le mfa_token pour appeler le point de terminaison mfa/authenticator afin de répertorier tous les facteurs auxquels l’utilisateur s’est inscrit et de repérer celui dont le type correspond à celui pris en charge par votre application. Vous devez également obtenir l’authenticator_type correspondant pour émettre des demandes de vérification : 
[
  {
    "type": "recovery-code",
    "id": "recovery-code|dev_qpOkGUOxBpw6R16t",
    "authenticator_type": "recovery-code",
    "active": true
  },
  {
    "type": "otp",
    "id": "totp|dev_6NWz8awwC8brh2dN",
    "authenticator_type": "otp",
    "active": true
  }
]
Appliquez ensuite la vérification MFA en appelant le point de terminaison request/mfa/challenge. Personnalisez davantage votre flux MFA avec les Actions d’Auth0. Pour en savoir plus, consultez Déclencheurs d’Actions : post-challenge - objet API.