Configurer l’authentification par canal arrière initiée par le client

Pour utiliser les fonctionnalités d’authentification par canal arrière initiée par le client (CIBA), vous devez disposer d’un Enterprise Plan ou d’une option appropriée. Consultez Auth0 Pricing pour en savoir plus.

Le flux d’authentification par canal arrière initiée par le client (CIBA) est un flux d’authentification et d’autorisation découplé défini par l’OpenID Foundation. Vous pouvez utiliser le flux CIBA dans des flux de travail asynchrones où l’appareil qui lance la demande CIBA (l’appareil de consommation) est différent de celui que l’utilisateur utilise pour s’authentifier (l’appareil d’authentification). Pour configurer CIBA dans Auth0, vous devez :

Configurer le type d’octroi CIBA pour votre application
Activer un ou plusieurs canaux de notification pour votre application
Configurer le canal de notification pour CIBA

Prérequis

Avant de configurer CIBA pour votre application, assurez-vous de définir une méthode d’authentification pour votre application. Vous pouvez utiliser n’importe quelle méthode d’authentification avec le flux CIBA, y compris l’authentification mTLS, l’authentification par clé privée et l’authentification par . Pour définir la méthode d’authentification de votre application, consultez Paramètres des informations d’identification.

Configurer le type d’octroi CIBA pour votre application

Vous pouvez configurer le type d’octroi CIBA pour votre application à l’aide de Auth0 Dashboard ou de la Management API. L’utilisation du type d’octroi CIBA est soumise à certaines restrictions quant aux types d’applications admissibles. Vous ne pouvez utiliser le type d’octroi CIBA que si :

L’application est une application de première partie, c.-à-d. que la propriété is_first_party est définie sur true.
L’application est confidentielle et utilise un mécanisme d’authentification, c.-à-d. que la propriété token_endpoint_auth_method ne doit pas être définie sur none.
L’application doit être conforme à OIDC, c.-à-d. que oidc_conformant doit être défini sur true. Il s’agit du réglage par défaut pour toutes les nouvelles applications.

Une fois le type d’octroi CIBA activé, les paramètres de configuration des canaux de notification offerts à votre application deviennent visibles.

Auth0 Dashboard
Management API

Pour configurer CIBA pour votre application dans Auth0 Dashboard :

Accédez à Applications > Applications dans Auth0 Dashboard.
Créez une application, puis activez Client Initiated Backchannel Authentication (CIBA) sous l’onglet Grant Types :

Cliquez sur Save Changes.

Pour configurer CIBA pour votre application à l’aide de la Management API, utilisez le point de terminaison Update a Client pour ajouter le type d’octroi urn:openid:params:grant-type:ciba à la liste des types d’octroi de l’objet application :

curl --location --request PATCH 'https://{YOUR_DOMAIN}.auth0.com/api/v2/clients/{YOUR_CLIENT_ID}' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}' \
--data '{
    "grant_types": [
        "authorization_code",
        "refresh_token",
        "urn:openid:params:grant-type:ciba"
    ]
}'

Vous pouvez également utiliser notre bibliothèque SDK Go pour la Management API. Pour en savoir plus, consultez SDKs :

myClient := &Client{
    Name:        auth0.Stringf("CIBA-enabled-client"),
    Description: auth0.String("This is a CIBA enabled client."),
    GrantTypes:  &[]string{"urn:openid:params:grant-type:ciba"},
  }

  err := api.Client.Create(context.Background(), myClient)

Activez les canaux de notification pour votre application

Pour utiliser les fonctionnalités d’authentification par canal arrière initiée par le client (CIBA), vous devez disposer d’un Enterprise Plan ou de l’option appropriée. Consultez Auth0 Pricing pour plus de détails.

Une fois le type d’octroi CIBA activé pour votre application, vous pouvez configurer les canaux de notification activés pour le flux CIBA. Si plusieurs canaux de notification sont activés, CIBA utilise la valeur du paramètre requested_expiry pour déterminer lequel utiliser. Le paramètre requested_expiry détermine la durée maximale, en secondes, pendant laquelle la session CIBA doit rester valide :

Notifications poussées mobiles : si vous définissez requested_expiry à une valeur de 300 secondes ou moins, CIBA utilise le canal de notification poussée mobile s’il est activé.
Notifications par courriel : si vous définissez requested_expiry à une valeur comprise entre 301 et 259200 secondes (72 heures), CIBA utilise le canal de notification par courriel s’il est activé.

Auth0 Dashboard
Management API

Pour configurer le canal de notification de votre application dans l’Auth0 Dashboard :

Accédez à Applications > Applications.
Dans les paramètres de votre application, accédez à la section Client Initiated Backchannel Authentication (CIBA) et sélectionnez le ou les canaux de notification à activer.

Effectuez une requête PATCH vers le point de terminaison /api/v2/clients de votre application cliente et définissez les canaux de notification pour le flux CIBA.L’exemple de code suivant active le canal de notification guardian-push pour le flux CIBA :

curl -L --request PATCH 'https://{YOUR_DOMAIN}/api/v2/clients/{YOUR_CLIENT_ID}' \
-H 'Content-Type: application/json' \
-H 'Accept: application/json' \
-H "Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}" \
-d '{
    "async_approval_notification_channels":["guardian-push"]
}'

Configurer le canal de notification

Après avoir activé le ou les canaux de notification pour votre application cliente, configurez le canal de notification pour le flux CIBA :

Configurer les notifications poussées sur mobile
Configurer les notifications par courriel

Configurer les notifications poussées sur mobile

Pour envoyer des notifications poussées sur mobile avec CIBA, vous pouvez utiliser :

l’application Auth0 Guardian
une application personnalisée intégrée au SDK Auth0 Guardian

Vous pouvez sélectionner l’application à utiliser lorsque vous activez les notifications poussées d’Auth0 Guardian. Si vous souhaitez utiliser une application personnalisée, vous devez l’intégrer au SDK Auth0 Guardian. Cela permet à l’utilisateur qui autorise d’approuver les défis de notification poussée lancés par le flux CIBA dans votre application personnalisée. Pour configurer les notifications poussées sur mobile, assurez-vous de :

Activer les notifications poussées d’Auth0 Guardian
Inscrire l’utilisateur qui autorise à la MFA au moyen de notifications poussées

Activer les notifications poussées d’Auth0 Guardian

Utilisez Auth0 Dashboard pour activer le facteur Auth0 Guardian Push Notification pour votre locataire. Dans Auth0 Dashboard :

Sélectionnez Security > Multi-factor Auth.
Activez Push Notification using Auth0 Guardian. Cela peut nécessiter certains réglages de configuration de . Pour en savoir plus, consultez Configurer les notifications poussées pour la MFA.

Pour Push Notification App, sélectionnez l’application de votre choix.

Cliquez sur Save.

Inscrire l’utilisateur autorisant à la MFA au moyen de notifications poussées

Si l’utilisateur n’est pas inscrit aux notifications poussées MFA, Auth0 utilise plutôt les notifications par courriel, si elles sont configurées, au lieu de rejeter la requête CIBA.

Pour l’application Auth0 Guardian comme pour une application personnalisée, vous devez inscrire l’utilisateur autorisant à la MFA au moyen de notifications poussées. Pour vérifier si l’utilisateur est inscrit dans l’, accédez à Gestion des utilisateurs > Utilisateurs et cliquez sur l’utilisateur :

Si vous avez défini l’ comme étant toujours requise pour votre locataire, les utilisateurs seront invités à s’inscrire à la MFA lors de leur prochaine connexion. Vous pouvez aussi utiliser Actions pour demander l’inscription à la MFA.

Configurer les notifications par courriel

Pour utiliser les notifications par courriel avec CIBA, vous devez avoir l’option Auth0 for AI Agents avec un forfait payant. Pour en savoir plus, consultez les tarifs d’Auth0.

Vous pouvez envoyer des notifications par courriel avec le flux CIBA. Pour configurer les notifications par courriel avec CIBA, assurez-vous de :

Configurer votre fournisseur de courriel
Configurer votre modèle de courriel pour utiliser le modèle Asynchronous Approval
Vous assurer que l’utilisateur qui autorise dispose d’une adresse de courriel vérifiée

Configurez votre fournisseur de courriel

Bien que vous puissiez utiliser le fournisseur de courriel intégré d’Auth0 pour tester l’envoi de courriels dans vos environnements de développement et de test, vous devez configurer votre propre fournisseur de courriel pour utiliser les notifications par courriel avec CIBA dans un environnement de production. Pour savoir comment configurer votre propre fournisseur de courriel, consultez Personnaliser les courriels.

Configurez votre modèle de courriel

Pour configurer le modèle de courriel Asynchronous Approval :

Auth0 Dashboard
Management API

Accédez à Image de marque > Modèles de courriel.
Dans Modèle, sélectionnez Asynchronous Approval dans le menu déroulant.
Remplissez les autres paramètres du modèle en suivant les instructions de Configurer les champs du modèle.

Effectuez une requête PATCH vers le point de terminaison /email-templates/async_approval, puis suivez les instructions de Configurer les champs du modèle pour remplir les autres paramètres du modèle. Pour en savoir plus, consultez la documentation de l’API sur la mise à jour d’un modèle de courriel.

curl -L "https://{YOUR_DOMAIN}.auth0.com/api/v2/email-templates" \
-H 'Content-Type: application/json' \
-H 'Accept: application/json' \
-H "Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}" \
-d '{"template":"async_approval","body":"{{application.name}} says click on {{url}}, binding message: {{binding_message}}","subject":"Action Required","syntax":"liquid","enabled":true,"from":""}'

Assurez-vous que l’utilisateur autorisant a une adresse de courriel vérifiée

Si l’utilisateur n’a pas d’adresse de courriel vérifiée, Auth0 rejette la demande CIBA par courriel.

Pour envoyer une notification par courriel avec CIBA, l’utilisateur autorisant doit avoir une adresse de courriel vérifiée associée à son compte d’utilisateur. Pour vérifier que l’utilisateur a une adresse de courriel vérifiée dans l’Auth0 Dashboard :

Accédez à Gestion des utilisateurs > Utilisateurs et cliquez sur l’utilisateur.
Sous Courriel, l’utilisateur devrait avoir une adresse de courriel vérifiée affichée.

​Prérequis

​Configurer le type d’octroi CIBA pour votre application

​Activez les canaux de notification pour votre application

​Configurer le canal de notification

​Configurer les notifications poussées sur mobile

​Activer les notifications poussées d’Auth0 Guardian

​Inscrire l’utilisateur autorisant à la MFA au moyen de notifications poussées

​Configurer les notifications par courriel

​Configurez votre fournisseur de courriel

​Configurez votre modèle de courriel

​Assurez-vous que l’utilisateur autorisant a une adresse de courriel vérifiée

Prérequis

Configurer le type d’octroi CIBA pour votre application

Activez les canaux de notification pour votre application

Configurer le canal de notification

Configurer les notifications poussées sur mobile

Activer les notifications poussées d’Auth0 Guardian

Inscrire l’utilisateur autorisant à la MFA au moyen de notifications poussées

Configurer les notifications par courriel

Configurez votre fournisseur de courriel

Configurez votre modèle de courriel

Assurez-vous que l’utilisateur autorisant a une adresse de courriel vérifiée