Passer au contenu principal
Le scénario B2E (Business to Employees) concerne les applications utilisées par des employés. Il s’agit d’applications destinées à des utilisateurs qui agissent généralement pour le compte d’une organisation, comme un employeur, une université ou un groupe dont ils sont membres, plutôt qu’en leur propre nom. Ces applications, lorsqu’elles sont développées sur mesure par l’organisation, peuvent utiliser le protocole OIDC/ pour externaliser l’authentification, tandis que celles qui ont été achetées utilisent souvent le protocole . Dans les deux cas, l’entreprise voudra généralement utiliser un type de connexion d’entreprise, comme un SAML, ADFS, Google Workspace, Azure AD ou un service d’annuaire comme AD ou OpenLDAP, et plus rarement une base de données personnalisée, pour authentifier les utilisateurs de l’entreprise. Pour une entreprise qui crée ou intègre des applications avec Auth0 dans un environnement B2E, plusieurs exigences reviennent fréquemment dans ce scénario. Ce guide résume les exigences les plus courantes pour les applications B2E et explique les fonctionnalités d’Auth0 qui aident à répondre à chaque besoin.

Fournisseurs d’identité d’entreprise

La plupart des entreprises disposent déjà d’un référentiel d’identité d’entreprise qui contient des renseignements sur tous les employés ainsi que des données de profil utilisateur. Il peut aussi contenir des renseignements sur les partenaires et les contractuels. Dans un scénario B2E, il est donc souvent nécessaire de permettre à ces utilisateurs de se connecter au moyen des connexions d’entreprise Auth0, comme les fournisseurs SAML2, ADFS, Google Workspace, Azure AD ou un service d’annuaire d’entreprise sur site. C’est avantageux pour les utilisateurs, car cela leur évite de créer encore un autre nom d’utilisateur et mot de passe pour chaque application et leur permet plutôt d’utiliser le même identifiant de connexion dans toutes leurs applications d’entreprise. C’est particulièrement avantageux du point de vue de la sécurité au sein de l’entreprise, parce que les identifiants ne sont exposés qu’à l’infrastructure d’identité, plutôt qu’à chaque application. De plus, cette architecture permet à l’entreprise de garder le contrôle sur l’accès aux applications, puisque le fournisseur d’identité d’entreprise offre un point unique de désactivation. Si un utilisateur quitte l’organisation, les administrateurs peuvent simplement désactiver le compte de l’utilisateur dans le fournisseur d’identité d’entreprise, et l’utilisateur ne pourra plus se connecter à aucune des applications qui utilisent ce fournisseur d’identité. Auth0 permet d’activer facilement la connexion au moyen d’un large éventail de fournisseurs d’identité d’entreprise en quelques étapes de configuration simples.

Groupes et rôles

Lorsque vous avez un grand nombre d’utilisateurs, vous pouvez configurer des groupes et des rôles pour gérer l’accès et les privilèges. Ceux-ci sont souvent stockés et administrés dans un annuaire. Auth0 peut récupérer des attributs utilisateur, comme les groupes et les rôles, à partir d’un annuaire ou d’un fournisseur d’identité d’entreprise pendant l’authentification. Vous pouvez ensuite rendre ces attributs disponibles dans les jetons renvoyés à l’application ou au moyen de la d’Auth0.

Traduction du profil

Il arrive qu’un annuaire ou un fournisseur d’identité renvoie des attributs dans un format différent de celui utilisé par votre application. À l’aide des Rules d’Auth0, vous pouvez faire correspondre et traduire les attributs du profil utilisateur. Vous pouvez même effectuer des traductions entre OIDC/OAuth, SAML, et LDAP. Par exemple, vous récupérez des attributs au format d’assertion SAML à partir d’un fournisseur d’identité SAML. Avec une Rule, vous pouvez ensuite traduire ces attributs en revendications personnalisées dans un pour une application OIDC/OAuth. Vous pouvez aussi faire correspondre des attributs SAML au profil utilisateur Auth0 à partir de l’Auth0 Dashboard. Pour ce faire, accédez à Connections > Enterprise > SAMLP Identity Provider, sélectionnez votre connexion SAML, puis définissez vos correspondances d’attributs dans l’onglet Mappings.

Extensibilité avec des profils utilisateur enrichis

Vous voudrez peut-être enrichir les profils utilisateur avec des attributs ou des données provenant d’autres services. Par exemple, vous pourriez recevoir une adresse ou un numéro de téléphone et vouloir en déduire une région géographique. Les Rules d’Auth0 vous permettent d’écrire de petits extraits de code qui s’exécutent pendant la transaction d’authentification. Cela vous permet d’exécuter une logique ou d’appeler d’autres services pour obtenir des renseignements sur l’utilisateur, puis d’ajouter des métadonnées utilisateur au profil utilisateur Auth0 et, au besoin, aux jetons générés envoyés à vos applications.

Authentification unique

Si vous avez plusieurs applications internes, vous pouvez configurer l’authentification unique (SSO) entre elles afin que les utilisateurs n’aient à ouvrir une session qu’une seule fois. Auth0 prend en charge l’intégration avec des applications qui externalisent l’authentification à l’aide de protocoles d’identité standards de l’industrie :
  • OIDC/OAuth
  • SAML2
  • WS-Fed
Après quelques configurations, toutes vos applications peuvent tirer parti de votre fournisseur d’identité d’entreprise. Dans cette configuration, Auth0 sert d’intermédiaire entre vos applications et les fournisseurs d’identité d’entreprise. Désormais, lorsqu’un utilisateur ouvre une session dans une application, il peut accéder à d’autres applications intégrées à Auth0 sans avoir à se reconnecter. Ce sera le cas jusqu’à l’expiration de sa session . Vous devriez configurer la durée de la session SSO dans Auth0 de façon à respecter les politiques de sécurité.

Intégrations pour l’authentification unique

Vous pouvez également intégrer à Auth0 des applications acquises afin d’offrir l’authentification unique (SSO). Auth0 fournit des intégrations prédéfinies pour des applications telles que :
  • Salesforce
  • Zendesk
  • Slack
  • New Relic

Image de marque

L’image de marque est un aspect important de toute application. Votre logo, vos couleurs et vos styles doivent être uniformes dans l’ensemble de l’application. Vous pouvez personnaliser les pages de connexion, d’inscription et d’erreur affichées par Auth0 afin qu’elles correspondent à votre application. Ajoutez votre propre logo, votre propre texte et vos propres couleurs. La prise en charge de l’I18N/L10N est également offerte pour les déploiements à l’échelle mondiale. Les courriels de vérification ou de réinitialisation du mot de passe sont également personnalisables. Les écrans de connexion doivent donner l’impression de provenir du nom de domaine de votre application. Pour maintenir cette cohérence, vous pouvez définir un nom de domaine personnalisé pour l’écran de connexion affiché par Auth0.

Authentification multifacteur

Les applications internes ou destinées aux employés gèrent souvent du contenu sensible. L’authentification multifacteur (MFA) aide à protéger vos données et vos applications. Auth0 offre différentes façons de mettre en œuvre . Pour plus de souplesse, vous pouvez utiliser Rules pour l’activer uniquement pour les applications ou les groupes d’utilisateurs qui en ont besoin.

Export des journaux

Vous avez besoin d’analyser les journaux ou de les conserver à long terme? Auth0 fournit des extensions pour exporter les journaux vers des outils externes afin de les analyser et de les conserver. Vous pouvez aussi récupérer les données de journalisation avec la Management API.

Audit

Les données de journalisation servent à de nombreuses fins pour les entreprises, notamment à la production de rapports d’audit. Auth0 consigne diverses données dans des fichiers journaux, qui peuvent être utiles pour vos rapports d’audit. Les journaux contiennent des renseignements sur les utilisateurs authentifiés, le fournisseur d’identité utilisé et la date à laquelle des changements administratifs importants sont apportés dans le . Chaque événement de journalisation est associé à un type d’événement. Vous pouvez utiliser les types d’événement comme filtres lorsque vous interrogez les données de journalisation avec la Management API, ou lorsque vous exportez les journaux vers des outils d’analyse de journaux.

Surveillance

Il est essentiel de surveiller l’infrastructure et les services dont dépendent vos applications. Auth0 met à votre disposition une page Auth0 Status à laquelle vous pouvez vous abonner. Auth0 met tout en œuvre pour réduire au minimum les interruptions, mais en cas de perturbation du service, celle-ci sera indiquée sur la page de statut. Pour répondre aux exigences de documentation relatives à l’analyse des causes profondes après une perturbation, Auth0 effectue une analyse interne et publie les résultats dans l’avis de perturbation une fois l’analyse terminée.

Protection contre les attaques

Les pirates informatiques font malheureusement partie de la réalité d’Internet aujourd’hui. Ils cherchent constamment des moyens de s’introduire dans les applications. Par exemple, ils peuvent tenter de se connecter à l’aide de mots de passe courants. Ils peuvent aussi utiliser des identifiants volés ailleurs, en espérant que les utilisateurs aient réutilisé les mêmes mots de passe sur d’autres sites. La Protection contre les attaques d’Auth0 détecte ces situations pour les connexions de base de données d’Auth0 et propose différentes options de réponse. Activez et configurez les options de réponse afin de réagir de façon appropriée si un tel événement se produit.

Déploiement GitHub

Gérez-vous une bonne partie du code de votre application dans GitHub ? Vous pouvez y déployer le code de vos Actions, Rules, Hooks ou de l’accès personnalisé à la base de données à l’aide de l’extension GitHub Deployment d’Auth0. Si vous disposez d’un pipeline complet d’intégration continue et de déploiement continu, utilisez l’outil Auth0 Deploy CLI pour plus de flexibilité.