Passer au contenu principal
Les clients qui avaient au moins un locataire utilisant des applications tierces avant avril 2026 peuvent avoir des applications qui fonctionnent en mode permissif. Ce mode conserve le comportement existant afin d’assurer la rétrocompatibilité.

Qui peut utiliser le mode permissif

Le mode permissif est offert aux clients qui ont au moins un locataire avec des applications tierces avant avril 2026. Tous les locataires associés au compte de ce client peuvent créer des applications tierces en mode permissif, même les locataires qui n’avaient pas auparavant d’applications tierces. Ces clients peuvent :
  • Continuer d’utiliser les applications tierces existantes avec leur comportement actuel
  • Créer de nouvelles applications tierces avec third_party_security_mode: "permissive" au moyen de la Management API
  • Créer de nouvelles applications avec des contrôles de sécurité renforcés en tout temps
Les clients qui n’avaient jamais utilisé d’applications tierces créent toujours des applications avec des contrôles de sécurité renforcés. Ils ne peuvent pas utiliser le mode permissif.

Ce que signifie le mode permissif

Les applications tierces en mode permissif se comportent de façon semblable aux applications de première partie quant aux fonctionnalités offertes :
  • La plupart des types d’octroi sont disponibles (authorization code, implicit, client credentials, device code)
  • Les scopes OIDC et les ID Tokens sont pris en charge
  • L’accès à l’API suit la politique d’accès configurée pour l’API (sans obligation d’exiger une autorisation client)
  • Format standard de l’ID client (sans préfixe tpc_)
  • Toutes les propriétés de l’application peuvent être configurées
Le mode permissif exige davantage de configuration de la part de l’administrateur pour appliquer les contrôles de sécurité. Vous êtes responsable de :
  • Configurer les politiques d’accès aux API pour chaque API afin de contrôler quelles applications tierces peuvent y accéder
  • Vérifier quels types d’octroi et quelles fonctionnalités sont activés pour chaque application
  • Surveiller le comportement des applications tierces à l’aide des journaux du locataire

La propriété third_party_security_mode

Chaque application tierce possède une propriété third_party_security_mode qui indique son mode de sécurité. Cette propriété est définie lors de la création et ne peut pas être modifiée.
ValeurSignification
strictContrôles de sécurité renforcés. Conformité avec OAuth 2.1, autorisation explicite de l’API, ensemble de fonctionnalités ciblé.
permissiveComportement existant. Toutes les fonctionnalités sont offertes, et l’administrateur configure manuellement les contrôles de sécurité.
Les applications tierces créées avant l’introduction des modes de sécurité renvoient third_party_security_mode: "permissive" dans les réponses de l’API.

Comparaison des fonctionnalités

FonctionnalitéContrôles de sécurité renforcés (stricts)Comportement existant (permissif)
Types d’octroiauthorization_code, refresh_token, client_credentialsLa plupart des types d’octroi (sauf password)
PKCEObligatoireFacultatif
OIDCNon pris en charge. Prévu dans une version ultérieure.Pris en charge
Autorisation d’APIExige toujours une autorisation client expliciteSuit la politique d’accès à l’API
Classic LoginNon pris en chargePris en charge
Points de terminaison existantsNon pris en chargeDisponibles
Format de l’ID clientPréfixe tpc_Format standard
Propriétés configurablesEnsemble restreint de propriétésToutes les propriétés
Fonctionnalités futuresLimites de débit et futures améliorations des capacités de sécurité et de gestionNon disponibles
Création dans le DashboardPris en chargeNon offerte dans le Dashboard

Enregistrement dynamique des applications en mode permissif

Si votre compte est admissible au mode permissif et que vous utilisez l’enregistrement dynamique des applications, vous pouvez contrôler le mode de sécurité des applications enregistrées dynamiquement à l’aide d’un paramètre distinct au niveau du locataire.
  1. Accédez à Settings > Advanced.
  2. Sous Dynamic Client Registration (DCR) Security Mode, sélectionnez Permissive.
  3. Sélectionnez Save.
Paramètres avancés du locataire dans le Dashboard avec la liste déroulante DCR Security Mode
Le paramètre dynamic_client_registration_security_mode est indépendant de la valeur par défaut des applications créées au moyen de POST /api/v2/clients. Vous pouvez le configurer à tout moment.
Si vous définissez dynamic_client_registration_security_mode sur strict, configurez d’abord les autorisations d’API par défaut. Sans celles-ci, les applications enregistrées dynamiquement ne peuvent accéder à aucune API.

Adopter des contrôles de sécurité renforcés

Auth0 recommande d’adopter des contrôles de sécurité renforcés pour toutes les nouvelles applications tierces. La propriété third_party_security_mode ne peut pas être modifiée après la création d’une application — vous ne pouvez pas convertir une application permissive existante en application stricte, ni l’inverse. Vous devez plutôt choisir le mode de sécurité à utiliser au moment de créer de nouvelles applications. Pour comprendre comment la valeur par défaut pour les nouvelles applications évolue et comment vous y préparer, consultez Migrer vers la sécurité renforcée pour les applications tierces.
Si vous devez remplacer une application permissive existante par une application stricte, vous devez créer une nouvelle application. Cela invalide tous les jetons d’actualisation existants ainsi que toutes les autorisations utilisateur pour l’ancienne application. Coordonnez le basculement avec la tierce partie afin de réduire au minimum les perturbations.

En savoir plus