Configurer des applications tierces

Créez des applications tierces qui permettent à des développeurs externes, à des partenaires ou à des agents d’IA d’accéder à vos API grâce à des contrôles de sécurité renforcés.

Prérequis

Avant de créer une application tierce, assurez-vous d’avoir :

Un locataire Auth0 avec au moins une API (serveur de ressources) configurée
Au moins une connexion promue au niveau du domaine (pour les flux côté utilisateur)

Créer une application tierce

Créez une application tierce dans l’Auth0 Dashboard ou avec la Management API.

Auth0 Dashboard
Management API

Accédez à Applications > Applications.
Sélectionnez Create Application.
Saisissez un nom pour l’application et sélectionnez le type d’application :
- Regular Web App pour les clients confidentiels côté serveur
- Single Page App pour les clients publics basés sur navigateur
- Native pour les clients publics mobiles ou de bureau
Activez le bouton bascule This application is owned by a third party.
Sélectionnez Create.

Boîte de dialogue Create Application du Dashboard avec l’option d’application tierce activée

Effectuez une requête POST vers le point de terminaison /api/v2/clients avec le corps de requête suivant :

Paramètre	Type	Description
`name`	String	Obligatoire. Le nom de l’application.
`is_first_party`	Boolean	Indique si l’application est propriétaire (`true`) ou tierce (`false`).
`app_type`	String	Le type d’application (par ex. `regular_web`, `native`, `spa`, `non_interactive`).
`callbacks`	Array	Liste des URL de rappel autorisées pour la redirection après l’authentification.
`grant_types`	Array	Liste des types de subvention OAuth2 que cette application peut utiliser. Les applications tierces prennent en charge `authorization_code`, `refresh_token` et `client_credentials`. Pour en savoir plus, consultez Security Controls for Third-Party Applications.
`token_endpoint_auth_method`	String	La méthode d’authentification du point de terminaison de jeton (par ex. `client_secret_post`).

Si la requête réussit, Auth0 crée l’application avec un préfixe d’ID client tpc_, les types de subvention authorization_code et refresh_token, et définit third_party_security_mode sur strict, ce qui indique que des contrôles de sécurité renforcés sont activés.

{
  "client_id": "tpc_aBcDeFgHiJkLmNoPqRsTuV",
  "third_party_security_mode": "strict",
  "is_first_party": false,
  "name": "Partner Application",
  "grant_types": ["authorization_code", "refresh_token"],
  ...
}

Paramètre	Type	Description
`client_id`	String	Identifiant unique de l’application avec un préfixe `tpc` indiquant qu’il s’agit d’une application tierce créée avec le mode strict activé.
`third_party_security_mode`	String	Définit le profil de sécurité. Définissez-le sur `strict` pour appliquer des contraintes de sécurité renforcées aux applications tierces.
`is_first_party`	Boolean	Doit être défini sur `false` lorsque vous utilisez le mode de sécurité `strict` pour identifier l’application comme tierce.
`name`	String	Le nom d’affichage de l’application.
`grant_types`	Array	Les types de subvention OAuth2 que cette application est autorisée à utiliser (par ex. `authorization_code`).

La propriété third_party_security_mode est définie lors de la création et ne peut pas être modifiée. Pour utiliser un autre mode de sécurité, créez une nouvelle application.

Configurer les politiques d’accès aux API

Les applications tierces ont besoin d’autorisations client explicites pour accéder aux API. Vous pouvez configurer les politiques d’accès aux API des façons suivantes :

Autorisations par application : appliquez des autorisations granulaires à chaque application de votre locataire.
Autorisations par défaut pour toutes les applications tierces : appliquez des autorisations par défaut à toutes les applications tierces de votre locataire.

Lorsque des autorisations par application et des autorisations par défaut pour les applications tierces existent pour la même API, les autorisations par application ont préséance. Pour en savoir plus, consultez Accès des applications aux API : Client Grants.

Autorisations par application

Pour accorder à une application tierce précise un accès plus étendu ou plus limité que celui par défaut, créez une autorisation client pour le client_id de cette application :

Auth0 Dashboard
Management API

Accédez à Applications > APIs et sélectionnez l’API.
Ouvrez l’onglet Settings.
Faites défiler jusqu’à Application Access Policy et réglez User-Delegated Access et Client Access sur Per-app authorization.
Sélectionnez Save.

Paramètres d’API du Dashboard pour la politique d’accès des applications

Lorsque vous configurez des autorisations par application, vous devez autoriser l’accès à l’API individuellement pour chaque application :

Accédez à Applications > APIs et sélectionnez l’API.
Ouvrez l’onglet Application Access.
Repérez l’application, sélectionnez Edit, puis Grant Access pour User-Delegated Access et/ou Client Access. Sélectionnez ensuite les autorisations voulues.
Sélectionnez Save.

Paramètres d’API du Dashboard pour accorder l’accès à l’API à une application

Autorisations par défaut pour toutes les applications tierces

Les autorisations par défaut définissent un ensemble de base d’API et de scopes accessibles à toutes les applications tierces. Cela est nécessaire pour la Enregistrement dynamique des applications, car vous ne pouvez pas configurer l’accès pour chaque application individuellement.

Auth0 Dashboard
Management API

Accédez à Applications > APIs et sélectionnez l’API.
Ouvrez l’onglet Settings.
Faites défiler jusqu’à Default Permissions for Third Party Apps.
Sélectionnez Authorized pour User-Delegated Access ou Client Access.
Sélectionnez les scopes à accorder, puis cliquez sur Save.

Paramètres de l’API dans le Dashboard avec les autorisations par défaut pour les applications tierces

Effectuez une requête POST vers le point de terminaison /api/v2/client-grants avec le corps de requête suivant :

Paramètre	Type	Description
`default_for`	String	Indique si cette autorisation est appliquée automatiquement à certains types d’applications. Définissez-la sur `third_party_clients` pour que toutes les applications tierces aient accès à cette API par défaut.
`audience`	String	L’identifiant unique (URI) de l’API pour laquelle l’autorisation est créée.
`scope`	Array	La liste des permissions (scopes) autorisées dans le cadre de cette autorisation.
`subject_type`	String	Définit le type d’accès à l’API autorisé pour l’application : `user` : utilisé pour l’accès délégué par l’utilisateur, ce qui correspond aux flux qui génèrent un jeton associé à un utilisateur final. `client` : utilisé pour l’accès de machine à machine, comme le flux Client Credentials.

Configurer les connexions

Les applications tierces peuvent uniquement authentifier les utilisateurs par l’entremise de connexions au niveau du domaine. Lorsqu’une connexion est promue au niveau du domaine, elle devient accessible à toutes les applications tierces du locataire. Pour promouvoir une connexion :

Accédez à Auth0 Dashboard > Authentication et sélectionnez le type de connexion (Base de données, Sociale, Entreprise).
Sélectionnez la connexion que vous souhaitez utiliser avec des applications tierces.
Activez le bouton bascule Promote Connection to Domain Level.

Pour en savoir plus, consultez Faire passer les connexions au niveau du domaine.

Configurer la protection contre les redirections ouvertes

Les applications tierces dotées de contrôles de sécurité renforcés ont Open Redirect Protection activée par défaut. Lorsqu’elle est activée, Auth0 ne :

redirige pas vers l’URL de rappel de l’application en cas d’erreur d’authentification
n’expose pas application.callback_domain dans les modèles de courriel

Désactivez Open Redirect Protection uniquement pour les applications tierces dont les URI de rappel configurées sont fiables. Pour en savoir plus, consultez Redirect Protection.

Auth0 Dashboard
Management API

Accédez à Applications > Applications et sélectionnez l’application tierce.
Ouvrez l’onglet Settings et faites défiler jusqu’à Open Redirect Protection.
Activez ou désactivez ce paramètre.
Sélectionnez Save.

Commutateur Open Redirect Protection dans le Dashboard

Définissez la propriété redirection_policy lors de la création ou de la mise à jour de l’application :

curl --request PATCH \
  --url 'https://{yourDomain}/api/v2/clients/{CLIENT_ID}' \
  --header 'Authorization: Bearer {YOUR_MANAGEMENT_API_TOKEN}' \
  --header 'Content-Type: application/json' \
  --data '{
    "redirection_policy": "allow_always"
  }'

Définissez-la sur open_redirect_protection pour l’activer (par défaut) ou sur allow_always pour la désactiver.

Enregistrement dynamique des applications

Toutes les applications enregistrées dynamiquement sont des applications tierces. Avant d’activer le DCR, configurez les autorisations d’API par défaut pour que les applications enregistrées dynamiquement puissent accéder à vos API.

​Prérequis

​Créer une application tierce

​Configurer les politiques d’accès aux API

​Autorisations par application

​Autorisations par défaut pour toutes les applications tierces

​Configurer les connexions

​Configurer la protection contre les redirections ouvertes

​Enregistrement dynamique des applications

​En savoir plus

Prérequis

Créer une application tierce

Configurer les politiques d’accès aux API

Autorisations par application

Autorisations par défaut pour toutes les applications tierces

Configurer les connexions

Configurer la protection contre les redirections ouvertes

Enregistrement dynamique des applications

En savoir plus