Passer au contenu principal

Aperçu

Concepts clés
  • Configurez les services Auth0 pour qu’ils fonctionnent avec votre domaine personnalisé.
  • Terminez le processus de vérification de votre domaine personnalisé dans Auth0 Dashboard.
  • Consultez le tableau des fonctionnalités compatibles avec un domaine personnalisé.
  • Voyez comment les domaines personnalisés fonctionnent avec les URI et les requêtes de jeton.
  • Déterminez si vous allez gérer vos certificats ou si vous souhaitez qu’Auth0 les gère pour vous.
Vous pouvez utiliser votre propre nom de domaine (aussi appelé CNAME ou URL personnalisée) sur les pages d’authentification. Un vous permet d’harmoniser l’expérience de connexion avec votre marque et vos produits. Vos utilisateurs voient une URL associée à votre marque, comme login.YOUR_DOMAIN.com, au lieu de YOUR_DOMAIN.auth0.com. Dans Auth0, le domaine personnalisé sert de « masque » pour l’URL de domaine de votre locataire. Vous pouvez configurer votre domaine personnalisé au moment de créer votre locataire, ou ajouter un domaine personnalisé à une implémentation existante avec quelques modifications mineures au code et à la configuration.

Avantages de l’utilisation d’un domaine personnalisé

Avec un domaine personnalisé, vos utilisateurs ont l’assurance qu’ils fournissent leurs identifiants au bon service. L’authentification se fait dans le contexte de votre image de marque, ce qui favorise la fidélité à la marque. Les utilisateurs ne sont pas redirigés vers un site tiers qui brise la cohérence de votre image de marque. Cela évite qu’ils ne se demandent s’ils effectuent toujours une transaction ou une opération avec vous. Le fait de regrouper vos services d’authentification au même endroit rend l’architecture de votre application plus facile à maintenir. Les applications n’obtiennent que l’accès dont elles ont besoin, et les services d’authentification peuvent évoluer facilement. Parmi les autres avantages de sécurité liés à l’utilisation d’un domaine personnalisé, mentionnons les suivants :
  • Certains navigateurs, par défaut, compliquent les communications dans un iFrame si vous n’avez pas de domaine partagé.
  • Il est plus difficile d’usurper votre domaine dans le cadre d’une tentative d’hameçonnage si vous avez une URL personnalisée, car l’hameçonneur doit créer une URL personnalisée qui imite la vôtre. Par exemple, avec un domaine personnalisé, vous pouvez utiliser votre propre certificat pour obtenir une validation étendue, ce qui complique l’hameçonnage.
  • Les clés d’accès, une solution de rechange résistante à l’hameçonnage aux facteurs d’authentification traditionnels, sont liées à votre domaine personnalisé par l’attribut d’identifiant de la partie de confiance rpId.
Avant de configurer votre domaine personnalisé, nous vous recommandons d’utiliser le domaine parent ou racine (par ex. yourDomain.com) plutôt qu’un sous-domaine (login.yourDomain.com). Si votre domaine personnalisé dans Auth0 est configuré avec le domaine racine, les utilisateurs finaux peuvent utiliser une seule clé d’accès pour s’authentifier dans des applications natives ou Web mobiles. Pour en savoir plus, consultez Configurer la stratégie de clé d’accès.

Fonctionnement

Vous configurez un domaine personnalisé dans l’onglet Auth0 Dashboard > Branding > Custom Domains de l’. Ajoutez votre domaine personnalisé, choisissez votre type de certificat et suivez les instructions. Vous devrez effectuer un processus de vérification de votre domaine, qui varie selon que vous utilisez un certificat géré par Auth0 ou autogéré. Lorsque vous créez un CNAME, vous devez l’indiquer à Auth0 afin qu’Auth0 puisse le vérifier et utiliser le domaine personnalisé. Après avoir configuré et vérifié le domaine personnalisé, vous devez configurer les fonctionnalités Auth0 pour utiliser le nouveau domaine personnalisé.
Pour configurer un domaine personnalisé gratuit, les locataires Auth0 doivent avoir une carte de crédit valide au dossier à des fins de vérification et de prévention de la fraude. La carte de crédit ne sera pas facturée.
Auth0 recommande de créer votre domaine personnalisé pendant la phase de développement (avant la mise en production) afin de vous assurer que le CNAME est correctement configuré. Par exemple, vous pouvez créer un CNAME qui associe login.YOUR_DOMAIN.com à YOUR_DOMAIN.auth0.com.
Auth0 ne fournit pas de liste statique d’adresses IP, car elles sont susceptibles de changer. Nous vous recommandons plutôt d’ajouter votre domaine personnalisé à la liste d’autorisation.
Vous pouvez mettre à jour un locataire existant pour utiliser un domaine personnalisé. Vos intégrations existantes utilisant YOUR_DOMAIN.auth0.com continueront de fonctionner. Après ce changement, vos utilisateurs devront se reconnecter, car les sessions existantes ne seront plus valides. De plus, les utilisateurs pourraient devoir supprimer le témoin de navigateur associé à votre domaine personnalisé si des erreurs surviennent pendant la connexion. Si vous utilisez Lock intégré ou un SDK, vous pouvez choisir d’utiliser la configuration du domaine standard ou un domaine personnalisé.
Votre domaine personnalisé doit respecter les pratiques exemplaires HTTP. Si l’ordre des champs n’est pas correct, vous pourriez envoyer des en-têtes en double. Consultez RFC 7230 HTTP/1.1 Message Syntax Routing - Field Order pour en savoir plus.

Domaines personnalisés et authentification

Les fonctionnalités d’authentification Auth0 suivantes prennent en charge l’utilisation de domaines personnalisés.
Fonctionnalité ou fluxDétails
Universal LoginPour une expérience utilisateur fluide et sécurisée
MFATous les facteurs
GuardianAndroid SDK/Swift SDK/MFA Widget version 1.3.3/Guardian.js version 1.3.0 ou version ultérieure
CourrielsLes liens inclus dans les courriels utilisent votre domaine personnalisé
ConnexionsBase de données, réseaux sociaux, Google Workspace, Azure AD, ADFS, AD/LDAP
LockVersion 11 avec authentification inter-origines
PasswordlessAvec Universal Login (Le lien de courriel envoyé utilise votre domaine personnalisé si l’option est activée dans Dashboard > Tenant Settings > Custom Domains.)
SAMLConnexions et applications
WS-FederationAuth0 comme fournisseur d’identité avec le module complémentaire WS-Fed
Flux conformes à OAuth 2.0/OIDCÀ l’aide des points de terminaison /authorize et /oauth/token

Domaines personnalisés et URI

Auth0 utilise certains points de terminaison de métadonnées pour l’interopérabilité et la configuration de tiers et d’applications. Lorsque les métadonnées contiennent des URI qui renvoient vers Auth0, l’URL peut être soit le sous-domaine Auth0, soit votre domaine personnalisé, selon le nom d’hôte utilisé pour demander les métadonnées. Par exemple :
Si vous utilisezRéférence dans les métadonnées
https://travel0.auth0.com/.well-known/...https://travel0.auth0.com/...
https://travel0.auth0.com/samlp/metadata/...https://travel0.auth0.com/...
https://login.travel0.com/samlp/metadata/...https://login.travel0.com/...
Pour en savoir plus, consultez Rediriger les utilisateurs après la connexion. Cette flexibilité s’applique aux scénarios d’authentification suivants :

Domaines personnalisés et requêtes de jeton

Auth0 émet des jetons avec la revendication iss pour le domaine utilisé dans la requête de jeton. Par exemple :
Si vous utilisezValeur de la revendication iss
https://travel0.auth0.com/authorize...
https://travel0.auth0.com/oauth/token...		https://travel0.auth0.com/
https://login.travel0.com/authorize...
https://login.travel0.com/oauth/token...		https://login.travel0.com/
Si vous obtenez un pour la à l’aide d’un avec votre domaine personnalisé, vous devez appeler la Management API au moyen de ce domaine personnalisé, sinon votre jeton sera considéré comme invalide. La revendication iss du jeton est indépendante de l’. Les valeurs d’audience restent les mêmes pour les jetons obtenus à l’aide d’un domaine personnalisé. Pour en savoir plus sur les jetons, consultez Jetons d’accès de la Management API.

Options de gestion des certificats

Certificats gérés par Auth0

Auth0 peut gérer les certificats de votre domaine personnalisé et prendre directement en charge la négociation SSL. Vous ajoutez un enregistrement CNAME au domaine, Auth0 valide l’enregistrement et génère le certificat sur les serveurs d’Auth0. Le certificat se renouvelle automatiquement tous les trois mois. Une fois le domaine vérifié, configurez les fonctionnalités Auth0 pour commencer à utiliser votre domaine personnalisé. Pour en savoir plus, consultez Configurer des domaines personnalisés avec des certificats gérés par Auth0.

Certificats autogérés

Vous pouvez obtenir et gérer vos propres certificats dans les domaines personnalisés. Dans ce cas, vous êtes responsable de la gestion des certificats SSL ainsi que de la configuration et de l’administration d’un proxy inverse pour acheminer le trafic vers Auth0. Auth0 négocie le protocole SSL avec le proxy, et non directement avec le client final. Le proxy, à son tour, négocie le protocole SSL avec l’utilisateur final. Pour empêcher qu’une personne tente d’utiliser votre compte Auth0 à partir d’un domaine qui ne vous appartient pas, Auth0 doit valider que ce domaine vous appartient : vous devez fournir à Auth0 un en-tête (cname-api-key) pour effectuer cette validation. Vous devez être abonné à Auth0 Enterprise pour utiliser cette option. Auth0 fournit des instructions pour configurer un proxy inverse pour les fournisseurs suivants :

En savoir plus