Passer au contenu principal
Lorsque vous enregistrez une application dans Auth0, vous déterminez s’il s’agit d’une application propriétaire ou tierce selon l’entité qui en est propriétaire et qui l’exploite.
  • Applications propriétaires : elles appartiennent à votre organisation et sont exploitées par celle-ci. Vous contrôlez leur déploiement, leurs identifiants et leur comportement.
  • Applications tierces : elles appartiennent à une organisation externe et sont exploitées par celle-ci, par exemple un partenaire, un développeur indépendant ou un agent d’IA. Vous leur accordez l’accès à vos ressources, mais vous ne pouvez pas contrôler directement ce qu’elles font de cet accès.
“Tierce” renvoie au contrôle opérationnel, et non à la paternité de l’application. Bon nombre d’organisations confient à des tiers le développement de leurs propres applications. Par exemple, un sous-traitant qui développe votre application n’en fait pas une application tierce. La distinction essentielle est la suivante : qui la déploie, qui détient les identifiants et qui peut l’arrêter.
Les classifications confidentielle/publique et propriétaire/tierce partie sont indépendantes. « Confidentielle » ou « publique » décrit la capacité d’authentification de l’application (autrement dit, si elle peut conserver un secret). « Propriétaire » ou « tierce partie » décrit la relation de confiance (qui est propriétaire de l’application et qui l’exploite). Les applications propriétaires comme les applications tierces peuvent être confidentielles (Regular Web App) ou publiques (SPA, Native). Une Regular Web App tierce est à la fois confidentielle et tierce.

Applications de première partie

Les applications de première partie sont contrôlées par la même organisation ou la même personne à qui appartient le domaine Auth0. Par exemple, supposons que vous ayez créé une API Contoso et une application qui se connecte à contoso.com et qui consomme l’API Contoso. Vous enregistreriez alors l’API et l’application sous le même domaine Auth0, et l’application serait une application de première partie. Par défaut, toutes les applications créées dans le Auth0 Dashboard sont des applications de première partie.

Applications tierces

Les applications tierces sont contrôlées par une personne qui, selon toute vraisemblance, ne devrait pas avoir d’accès administratif à votre domaine Auth0. Les applications tierces permettent à des parties externes ou à des partenaires d’accéder de façon sécurisée à des ressources protégées par votre API. Par exemple, si une entreprise partenaire crée un tableau de bord d’analyse de données pour visualiser les informations provenant de votre service, elle doit d’abord enregistrer son application dans votre locataire Auth0 afin d’obtenir un et un secret. Même si cette application est enregistrée dans votre environnement, elle est considérée comme tierce, parce que le code et les identifiants appartiennent au partenaire et sont gérés par celui-ci, et non par votre organisation. Toutes les applications créées au moyen de l’Enregistrement dynamique des applications sont des applications tierces. Pour en savoir plus sur les applications tierces dans Auth0, consultez Applications tierces.

Applications propriétaires et tierces dans Auth0

Le tableau suivant résume les différences entre les applications propriétaires et tierces dans Auth0 :
PropriétairesTierces
Accès à l’APISuit la stratégie d’accès configurée pour l’APIExige toujours une autorisation d’application explicite
API système d’Auth0Accessibles dans les flux utilisateurNon accessibles dans les flux utilisateur
Consentement de l’utilisateurPeut être omis (s’il est activé sur l’API)Toujours requis
Types d’octroiTous les types d’octroi pris en chargeauthorization_code, refresh_token et client_credentials
OIDCPris en chargeNon pris en charge. Prévu dans une version ultérieure.
RulesExécutéesNon pris en charge. Génère une erreur.
Protocoles non OAuth (SAML, WsFed)Pris en chargeNon pris en charge
OrganizationsPris en chargeL’accès machine à machine est pris en charge au moyen des autorisations d’application d’organisation. Les flux utilisateur sont prévus dans une version ultérieure.
Format de l’ID clientFormat standardPréfixe tpc_
ConnexionsToutes les connexions activéesConnexions au niveau du domaine
Pour en savoir plus sur les applications tierces dans Auth0, consultez Applications tierces.

Propriété de l’application

La propriété d’une application est établie au moment de sa création et ne peut pas être modifiée par la suite. Par défaut, les applications sont créées en tant qu’applications propriétaires, ce qui leur applique des paramètres de sécurité moins restrictifs. Pour vous assurer que les contrôles de sécurité appropriés sont appliqués, vous devez identifier correctement comme tierces les applications appartenant à des parties externes lorsque vous les créez dans Auth0 Dashboard ou au moyen de la Management API. Pour savoir comment faire, consultez Configurer les applications tierces.
La propriété d’une application est immuable. Vous ne pouvez pas convertir une application tierce en application propriétaire, ni l’inverse.

Vérifier le statut de propriété de l’application

Pour vérifier si une application est propriétaire ou tierce :
  1. Accédez à Applications > Applications.
  2. Sélectionnez l’application. Les applications tierces portent un badge qui les identifie comme telles.
Paramètres de l’application dans l’Auth0 Dashboard montrant le badge d’application tierce

En savoir plus