Passer au contenu principal
Vous pouvez enregistrer dynamiquement des applications tierces pour votre locataire. L’enregistrement dynamique des applications (DCR) s’appuie sur la spécification OpenID Connect Dynamic Client Registration. Toutes les applications créées au moyen de l’enregistrement dynamique des applications sont des applications tierces assorties de contrôles de sécurité renforcés. Cela signifie que les applications DCR :
  • Reçoivent un ID client avec le préfixe tpc_
  • Exigent PKCE pour les flux de code d’autorisation
  • Prennent en charge uniquement les types d’octroi authorization_code et refresh_token. Le type d’octroi client_credentials n’est pas offert avec DCR.
  • Peuvent accéder aux API uniquement au moyen d’autorisations d’application explicites
  • Peuvent utiliser uniquement des connexions au niveau du domaine pour l’authentification

Activer l’enregistrement dynamique des applications

Auth0 prend en charge Open Dynamic Registration. Si cette option est activée, n’importe qui pourra créer des applications dans votre locataire sans jeton.
Par défaut, l’enregistrement dynamique des applications est désactivé pour tous les locataires. Pour activer l’enregistrement dynamique des applications, utilisez l’Auth0 Dashboard ou la Management API.
  1. Accédez à Dashboard > Settings > Advanced et activez Dynamic Client Registration (DCR).

Configurer l’accès aux API pour les applications DCR

Avant d’activer DCR, configurez les autorisations par défaut pour les applications tierces sur les API auxquelles les applications enregistrées dynamiquement doivent avoir accès. Sans autorisations par défaut, les applications DCR ne pourront accéder à aucune API. Les autorisations par défaut définissent un ensemble de base d’API et de scopes automatiquement accessibles à toutes les applications tierces. C’est essentiel pour DCR, car vous ne pouvez pas configurer des autorisations d’application pour chaque application pendant le flux d’enregistrement. Pour savoir comment configurer les autorisations par défaut, consultez Configurer les applications tierces.

Enregistrer une application

Pour enregistrer dynamiquement une application, envoyez une requête POST au point de terminaison /oidc/register. Comme Auth0 prend en charge l’enregistrement dynamique ouvert, le point de terminaison /oidc/register accepte les requêtes d’enregistrement sans jeton d’accès.
ParamètreDescription
client_nameLe nom de l’application à créer.
redirect_uris (required)Un tableau d’URL qu’Auth0 accepte comme URL de redirection valides à la fin d’un flux d’authentification.
token_endpoint_auth_methodLa méthode d’authentification du point de terminaison de jeton. Utilisez none pour les applications publiques (SPA, natives) ou client_secret_post (par défaut) pour les applications confidentielles.
grant_typesLes types d’octroi que l’application souhaite utiliser. Ils sont filtrés dans la réponse pour refléter ceux qu’elle sera autorisée à utiliser. Les applications créées au moyen de DCR prennent en charge authorization_code et refresh_token.
response_typesLes types de réponse que l’application utilisera. Utilisez code pour le flux de code d’autorisation.
Si la requête réussit, Auth0 renvoie les identifiants de l’application : 
{
  "client_name": "My Dynamic Application",
  "client_id": "tpc_8SXWY6j3afl2CP5ntwEOpMdPxxy49Gt2",
  "client_secret": "Q5O...33P",
  "redirect_uris": [
    "https://application.example.com/callback"
  ],
  "client_secret_expires_at": 0,
  "grant_types": ["authorization_code", "refresh_token"],
  "token_endpoint_auth_method": "none"
}
ChampDescription
client_idIdentifiant unique de l’application avec le préfixe tpc_. Utilisez-le pour lancer des flux d’authentification.
client_secretSecret client pour les applications confidentielles. N’est pas renvoyé lorsque token_endpoint_auth_method est none.
client_secret_expires_atHeure d’expiration du secret client. Toujours 0 (n’expire jamais) pour Auth0.
Les développeurs tiers ne peuvent pas modifier les paramètres de l’application après l’enregistrement. Si des changements sont nécessaires, ils doivent communiquer avec le propriétaire du locataire.
Après l’enregistrement, l’application peut lancer un flux de code d’autorisation avec PKCE à l’aide du client_id et des redirect_uris configurés.

Liste de contrôle d’accès du locataire (ACL)

Auth0 fournit une ACL du locataire pour gérer le trafic vers le point de terminaison /oidc/register. Vous pouvez limiter qui peut envoyer des requêtes DCR en configurant des règles d’ACL en fonction des éléments suivants :
  • Adresses IP sources et plages CIDR
  • Géolocalisation
  • Autres signaux de requête
Pour configurer des règles d’ACL pour DCR, ajoutez le scope dcr à une règle d’ACL. Pour en savoir plus, consultez la référence de l’ACL du locataire.

Limites de débit

Le point de terminaison /oidc/register est soumis à une limite de 5 requêtes par seconde et par locataire. Pour en savoir plus sur les limites de débit, consultez Configuration des limites de débit.

Mode permissif pour DCR

Certains clients qui utilisaient des applications tierces avant avril 2026 peuvent configurer DCR pour créer des applications avec le comportement existant plutôt qu’avec des contrôles de sécurité renforcés. Pour en savoir plus, consultez Enregistrement dynamique des applications en mode permissif.

En savoir plus