Applications tierces

Les applications tierces sont des applications détenues et exploitées par une organisation externe — un partenaire, un développeur indépendant ou un agent d’IA — qui authentifient vos utilisateurs et accèdent à vos API. Contrairement aux applications de première partie que vous contrôlez directement, les applications tierces fonctionnent de manière indépendante : vous leur accordez l’accès à vos ressources, mais vous ne pouvez pas contrôler ce qu’elles en font. Pour en savoir plus sur les différences entre les applications de première partie et les applications tierces, consultez First-Party and Third-Party Applications. Les applications tierces présentent les caractéristiques distinctives suivantes :

Contrôles de sécurité renforcés : Auth0 applique des contrôles de sécurité renforcés aux applications tierces afin de garantir que les applications externes ne puissent accéder qu’aux ressources que vous autorisez explicitement. Les fonctionnalités destinées aux cas d’utilisation de première partie ne sont pas disponibles.
Consentement de l’utilisateur : Auth0 exige toujours le consentement de l’utilisateur lorsqu’une application tierce demande l’accès aux API. Il n’est pas possible de contourner le consentement.
Connexions : Les applications tierces ne peuvent authentifier les utilisateurs qu’au moyen de connexions au niveau du domaine. Pour en savoir plus, consultez Promote Connections to Domain Level.

Cas d’utilisation

Les cas d’utilisation courants des applications tierces comprennent :

Intégrations partenaires : Des partenaires externes créent des applications qui appellent vos API au nom de l’utilisateur. Par exemple, un fournisseur de CRM intègre sa solution à votre plateforme afin que des clients communs puissent synchroniser des données entre les deux produits.
Agents d’IA et applications MCP : Des outils propulsés par l’IA, comme Claude Code, VS Code avec Copilot ou des serveurs MCP personnalisés, se connectent à vos API pour effectuer des actions au nom de l’utilisateur. Pour en savoir plus, consultez Auth for MCP.
Écosystèmes de développeurs : Vous exposez des API pour permettre à des développeurs externes de créer des applications sur votre plateforme, que ce soit au moyen d’un portail pour développeurs, d’une place de marché ou de l’enregistrement dynamique des applications.
Cross App Access (XAA) : Une application pour les employés dans le locataire d’une autre organisation accède à vos API par l’entremise d’une relation de confiance, où l’application requérante est modélisée comme une application tierce dans votre locataire. Pour en savoir plus, consultez Cross App Access.

Types d’application pris en charge

Les applications tierces prennent en charge les types d’application confidentiel et public :

Type d’application	Type d’application	Cas d’utilisation
Confidentielle	Application Web classique	Intégrations partenaires côté serveur
Publique	Application monopage	Widgets partenaires dans le navigateur
Publique	Native	Applications partenaires mobiles

Types d’octroi pris en charge

Les applications tierces prennent en charge :

authorization_code avec PKCE obligatoire
refresh_token
client_credentials (applications confidentielles uniquement)

Commencer

Pour configurer une application tierce dans Auth0, suivez ces étapes :

Étape 1 : Créer l’application

Créez une application tierce à l’aide d’Auth0 Dashboard ou de la Management API.

Étape 2 : Configurer l’accès à l’API

Les applications tierces exigent toujours une autorisation explicite pour accéder à vos API, même lorsque la stratégie d’accès de l’API est définie sur Allow All. Vous configurez les stratégies d’accès aux API à l’aide des autorisations d’application. Vous pouvez configurer des autorisations par défaut qui s’appliquent automatiquement à toutes les applications tierces. Cela est particulièrement utile si vous gérez un grand nombre d’applications tierces ou si vous utilisez enregistrement dynamique des applications. Pour en savoir plus, consultez Autorisations par défaut pour les applications tierces. Vous pouvez aussi définir des autorisations précises pour chaque application à l’aide des autorisations d’application. Les autorisations propres à chaque application ont préséance sur les valeurs par défaut. Pour en savoir plus, consultez Créer une autorisation d’application.

Étape 3 : Configurer les connexions

Les applications tierces peuvent uniquement authentifier les utilisateurs à l’aide de connexions promues au niveau du domaine. Les connexions au niveau du domaine sont accessibles à toutes les applications tierces du locataire. Pour promouvoir une connexion au niveau du domaine, consultez Promote Connections to Domain Level. Lorsqu’un utilisateur s’authentifie au moyen d’une application tierce, Auth0 affiche une boîte de dialogue de consentement lui demandant d’approuver les autorisations demandées. Le consentement est toujours requis pour les applications tierces et ne peut pas être omis. Pour en savoir plus, consultez Consentement de l’utilisateur et applications tierces.

Enregistrement dynamique des applications

L’enregistrement dynamique des applications crée par défaut des applications tierces assorties de mesures de sécurité renforcées. Avant d’activer DCR pour les applications tierces, vous devez configurer les autorisations d’API par défaut afin que les applications enregistrées dynamiquement puissent accéder à vos API.

​Cas d’utilisation

​Types d’application pris en charge

​Types d’octroi pris en charge

​Commencer

​Étape 1 : Créer l’application

​Étape 2 : Configurer l’accès à l’API

​Étape 3 : Configurer les connexions

​Étape 4 : Les utilisateurs donnent leur consentement

​Enregistrement dynamique des applications

​En savoir plus