Passer au contenu principal
Vous devez disposer d’un abonnement Enterprise pour gérer les certificats de votre domaine personnalisé. Pour en savoir plus, consultez Auth0 Pricing et Login.
Si vous choisissez de gérer les certificats de vos sans l’aide d’Auth0, vous devez savoir comment gérer votre propre proxy et vos certificats pour les connexions entrantes qui nécessitent plusieurs enregistrements DNS sur le domaine. Vous devez acheter ou fournir les certificats et en gérer vous-même le renouvellement. Vous aurez également besoin d’un proxy inverse sur lequel le certificat sera installé. Une fois le domaine vérifié, nous accepterons le trafic provenant du proxy. Choisissez cette option pour :
  • Mieux contrôler vos certificats (par exemple, en choisissant votre propre AC ou la date d’expiration du certificat).
  • Ajouter une surveillance supplémentaire à vos appels d’API vers Auth0.
Pour configurer votre domaine personnalisé avec des certificats autogérés, vous devez fournir votre nom de domaine à Auth0, vérifier que vous en êtes propriétaire et configurer le proxy inverse. Une fois votre domaine personnalisé configuré, vous devrez configurer les fonctionnalités d’Auth0 afin de commencer à utiliser votre domaine personnalisé.
Votre proxy vers Auth0 doit utiliser TLS (SSL) version 1.2 ou une version ultérieure.

Fournissez votre nom de domaine à Auth0

  1. Accédez à Tableau de bord > Paramètres > Domaines personnalisés ou à Tableau de bord > Image de marque > Domaines personnalisés. Entrez votre domaine personnalisé dans le champ prévu à cet effet, puis sélectionnez Certificats autogérés dans le menu déroulant.
  2. Choisissez Ajouter un domaine. Vous ne pouvez ajouter qu’un seul domaine par locataire, même si le bouton Ajouter un domaine s’affiche toujours après l’ajout d’un domaine.

Vérifiez que vous êtes propriétaire du domaine

Avant de pouvoir utiliser le domaine avec Auth0, vous devez vérifier que vous en êtes propriétaire.
  1. Accédez à Dashboard > image de marque > Domaines personnalisés.
    Auth0 Branding Custom Domains Self-Managed Certificate Verify Domain
  2. Ajoutez les renseignements de vérification TXT à l’enregistrement DNS de votre domaine. Ces étapes peuvent varier selon votre fournisseur DNS :
    1. Laissez la page du domaine personnalisé d’Auth0 ouverte dans votre navigateur afin de pouvoir copier les valeurs.
    2. Ouvrez une session dans votre service de gestion de domaine.
    3. Créez un nouvel enregistrement et enregistrez-le avec ces paramètres :
      ParamètreValeur
      Type d’enregistrementTXT
      NomCopiez et collez la valeur TXT Record de votre domaine à partir d’Auth0.
      Durée de vie (TTL)Utilisez la valeur par défaut.
      ValeurCopiez et collez la valeur TXT Content de votre domaine à partir d’Auth0.
  3. Cliquez sur Verify pour continuer. Selon vos paramètres DNS, il peut s’écouler quelques minutes avant qu’Auth0 puisse vérifier votre domaine. Si Auth0 vérifie votre nom de domaine avec succès, une fenêtre de confirmation s’affichera. Enregistrez les renseignements fournis dans cette fenêtre, en particulier la valeur cname-api-key, puisque c’est la seule fois où cette valeur sera affichée.
    Pour des raisons de sécurité, cette valeur est hachée lorsqu’elle est stockée; elle ne peut donc pas être récupérée. Si vous ne notez pas la valeur cname-api-key à ce moment, vous devrez recréer les domaines personnalisés.
    Le processus de vérification est terminé et, dans un délai de 1 à 2 minutes, votre domaine personnalisé devrait être prêt à être utilisé. Si vous ne parvenez pas à terminer le processus de vérification dans les trois jours, répétez ces étapes.

Configurer le proxy inverse

Le serveur proxy inverse récupère des ressources auprès d’un ou de plusieurs serveurs au nom de votre application. Ces ressources sont ensuite renvoyées à l’application, comme si elles provenaient du serveur proxy lui-même. Vous pouvez utiliser un service comme Cloudflare, Azure CDN, Google Cloud Platform ou AWS Cloudfront, puis configurer les paramètres de votre domaine personnalisé. Vous ajouterez la nouvelle valeur CNAME à votre DNS pour votre domaine personnalisé, en la faisant pointer vers le nom de domaine du serveur proxy inverse pour la distribution.
  1. Après avoir créé les paramètres du proxy inverse dans votre service, accédez à l’onglet Auth0 Dashboard > image de marque > Domaines personnalisés.
  2. Ajoutez un nouvel enregistrement CNAME à votre DNS pour votre domaine personnalisé, en le faisant pointer vers le nom de domaine du service pour votre distribution. Vous pouvez le trouver en cherchant le Distribution ID dans la configuration de votre serveur proxy inverse. Une fois ajouté, l’enregistrement CNAME doit toujours être présent afin d’éviter des problèmes lors du renouvellement du certificat.
  3. La configuration du serveur proxy varie selon le service que vous utilisez. Vous devrez probablement configurer les types de paramètres suivants :

Paramètres de distribution

ParamètreValeur
Nom de domaine d’origineDéfinissez cette valeur sur la valeur Nom de domaine d’origine obtenue dans l’Auth0 Dashboard pendant le processus de configuration des domaines personnalisés.
ID d’origineUne description de l’origine. Cette valeur vous permet de distinguer plusieurs origines dans la même distribution et doit donc être unique.
Politique de protocole d’origineDéfinissez-la sur HTTPS Only.
Noms de domaine alternatifs (CNAME)Définissez cette valeur sur votre nom de domaine personnalisé (le même que vous avez configuré dans l’Auth0 Dashboard).

Paramètres du nom d’hôte d’origine

ParamètreValeur
Nom d’hôte d’origineSaisissez {yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.us.auth0.com, en veillant à remplacer <CUSTOM_DOMAIN_ID> par la valeur du Nom de domaine d’origine (id du domaine personnalisé) que vous avez reçue d’Auth0 lors de la configuration du nouveau domaine personnalisé. Si vos locataires ne sont pas dans la région des États-Unis, utilisez l’une des valeurs suivantes :
  • EU : {yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.eu.auth0.com
  • AU : {yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.au.auth0.com
  • JP : {yourTenant}-<CUSTOM_DOMAIN_ID>.edge.tenants.jp.auth0.com
Par exemple, si votre CUSTOM_DOMAIN_ID est :

cd_TXIdNgQ07HrAFVmz

Pour un locataire situé aux États-Unis, le nom d’hôte d’origine doit être :

US: {yourTenant}-cd-txIdngq07hrafvmz.edge.tenants.us.auth0.com
Server Name Indication (SNI)Utilisez le nom que vous avez indiqué pour le nom d’hôte d’origine.
Pour en savoir plus sur la récupération des détails de votre domaine personnalisé, consultez Obtenir les configurations de domaine personnalisé.

En-têtes HTTP

Nom de l’en-têteValeur
HostLe nom d’hôte d’origine.
cname-api-keyLa valeur de la clé d’API CNAME qui vous a été fournie immédiatement après avoir confirmé auprès d’Auth0 que vous êtes propriétaire de votre nom de domaine. Vous devez définir cet en-tête pour qu’Auth0 accepte le trafic provenant de votre proxy.
X-Forwarded-ForL’adresse IP de l’utilisateur final. Ne spécifiez pas plusieurs adresses IP.

Vous pouvez spécifier un autre en-tête pour l’adresse IP de l’utilisateur à l’aide du point de terminaison du Management API Configurer un nouveau domaine personnalisé afin de définir la propriété custom_client_ip_header.
Auth0 utilise l’adresse IP de l’utilisateur final pour des fonctionnalités comme la détection d’anomalies, la limitation de débit et la MFA. Si votre proxy ne transfère pas l’adresse IP de l’utilisateur final, Auth0 considère l’adresse IP de votre proxy comme celle du client, ce qui peut entraîner un fonctionnement incorrect de ces fonctionnalités.

Paramètres du comportement de cache par défaut

ParamètreValeur
Politique de protocole du clientSélectionnez Redirect HTTP to HTTPS.
Méthodes HTTP autoriséesSélectionnez GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE.
Mise en cache en fonction des en-têtes de requête sélectionnésSélectionnez Allow list.
En-têtes autorisésLes en-têtes suivants doivent être autorisés : User-Agent, Origin, Referer, Authorization, Accept et Accept-Language.
Transférer les témoinsSélectionnez All.
Transfert et mise en cache des chaînes de requêteSélectionnez Forward all, cache based on all.

Étapes supplémentaires pour certaines fonctionnalités d’Auth0

Selon les fonctionnalités d’Auth0 que vous utilisez, vous devrez effectuer des étapes de configuration supplémentaires. Pour en savoir plus, consultez Configurer des fonctionnalités pour utiliser des domaines personnalisés. Cloudflare utilise une fonctionnalité appelée CNAME flattening, ce qui a une incidence sur la vérification d’Auth0 et le renouvellement des certificats en raison de la façon dont elle gère les enregistrements DNS. Nous vous recommandons de désactiver le CNAME flattening, sauf si cela est absolument nécessaire. Comme cette fonctionnalité vous donne le contrôle de vos propres certificats, vous devez mettre en place des stratégies d’atténuation (comme un pare-feu d’applications Web) pour bloquer les requêtes en cas d’attaque. Pour en savoir plus, consultez notre blogue sur l’avenir de la protection contre les robots.

En savoir plus