Considérations de planification relatives à la gestion des profils utilisateur pour votre implémentation B2B IAM.
À un moment donné, vous pourriez devoir modifier les renseignements stockés dans le profil d’un utilisateur. Le profil d’un utilisateur (également appelé son compte) est stocké dans Auth0, et les renseignements qu’il contient peuvent devoir être modifiés pour diverses raisons :
Mises à jour de renseignements en libre-service
Mises à jour obligatoires liées aux conditions générales de vos organisations
Modifications attribuables à la conformité réglementaire
Vous ne pouvez pas accéder directement à un profil utilisateur dans plusieurs locataires Auth0. Si vous déployez plusieurs locataires Auth0 en production, vous devez en tenir compte.
Le profil utilisateur normalisé est mis à jour à partir du fournisseur d’identité lors de la connexion, et vous pouvez modifier l’ensemble limité de renseignements qu’il contient au moyen de la Management API d’Auth0. Vous pouvez également utiliser les mécanismes d’extensibilité d’Auth0, comme Actions, pour remplacer des renseignements dans le profil utilisateur normalisé. Consultez Modification des données du profil utilisateur pour en savoir plus.
Par défaut, un profil utilisateur est créé pour chaque identité utilisateur, et plusieurs éléments sont à prendre en considération :
Que devez-vous faire si vous devez stocker des renseignements pour personnaliser l’expérience d’un utilisateur ?
Que faire si vous devez stocker des renseignements utilisateur qui ne proviennent pas d’un ?
Pourquoi auriez-vous besoin de stocker des renseignements liés à l’utilisateur qu’il ne peut pas modifier ?
Que faites-vous si vous devez stocker des renseignements liés à l’utilisateur qu’il ne peut pas modifier ?
Que se passe-t-il si un utilisateur oublie son mot de passe ?
Que doit faire un utilisateur s’il veut changer son mot de passe ?
Comment permettre à un administrateur d’une organisation tierce de gérer ses utilisateurs ?
Auth0 permet de stocker des métadonnées dans le profil d’un utilisateur, ce qui permet de saisir des renseignements supplémentaires, comme les préférences linguistiques ou d’accessibilité, afin d’améliorer l’expérience utilisateur. Les métadonnées peuvent servir à stocker à la fois des renseignements qu’un utilisateur peut modifier et des renseignements qu’il ne peut pas modifier; dans ce dernier cas, elles vous permettent par exemple d’associer un profil utilisateur à des enregistrements dans vos systèmes existants sans modifier votre implémentation actuelle.Pour les utilisateurs qui oublient leur mot de passe ou qui sont autorisés à le changer au moyen d’un mécanisme libre-service existant (ou d’un mécanisme libre-service que vous prévoyez mettre en place), vous pouvez tirer parti de la fonctionnalité de réinitialisation du mot de passe fournie par Auth0. Elle peut être intégrée à votre implémentation existante et est déjà incluse dans les widgets d’interface utilisateur Auth0 prêts à l’emploi, y compris Universal Login.Vous voudrez également vous assurer de toujours travailler avec un compte utilisateur vérifié. Auth0 fournit aussi des mécanismes prêts à l’emploi à cette fin. Vous devriez également tenir compte de la conformité réglementaire, comme le RGPD, qui comporte des exigences très précises en matière de protection des citoyens de l’UE contre les atteintes à la vie privée et les violations de données.Bien qu’Auth0 ne fournisse pas actuellement de portail centralisé de gestion des profils prêt à l’emploi, vous pouvez, pour la gestion des profils en libre-service, utiliser la d’Auth0 pour créer le vôtre ou utiliser une interface existante. Consultez les conseils de notre communauté, qui décrivent le point de terminaison de la Management API. Tous les appels à la Management API nécessitent l’utilisation d’un jeton d’accès.
La gestion des profils en libre-service peut soulever des enjeux de sécurité et de confidentialité des données. Par exemple, vous pourriez vouloir permettre à un utilisateur de modifier son adresse de courriel; toutefois, le faire sans suivre les pratiques exemplaires en matière de sécurité pourrait l’empêcher d’accéder à son compte, entraîner la divulgation de renseignements personnels identifiables (PII) ou, pire encore, créer une faille de sécurité potentielle.
Vous pouvez également utiliser l’ pour gérer certains aspects du profil d’un utilisateur. La gestion du profil d’un utilisateur au moyen de l’Auth0 Dashboard relève davantage d’une fonction administrative et ne doit pas être utilisée pour la gestion libre-service des profils dans un environnement de production. Cependant, l’interface fournie par le Dashboard peut s’avérer extrêmement utile pendant le développement, car elle permet de modifier rapidement et simplement les renseignements du profil d’un utilisateur.Si vous devez permettre à vos clients de confier à un administrateur la gestion de leurs propres utilisateurs lorsque les identifiants d’authentification sont stockés dans votre système, vous pouvez soit créer votre propre solution, soit utiliser une extension Auth0. Consultez Admin Portal pour en savoir plus.
En plus des renseignements du profil utilisateur normalisé, des métadonnées peuvent être stockées dans un profil utilisateur Auth0. Les métadonnées permettent de stocker des renseignements qui ne proviennent pas d’un fournisseur d’identité, ou des renseignements qui remplacent ceux fournis par un fournisseur d’identité.
L’utilisation des métadonnées doit respecter les pratiques exemplaires de stockage des données utilisateur d’Auth0. Le stockage des métadonnées n’est pas conçu pour servir de magasin de données à usage général, et vous devriez quand même utiliser votre propre solution de stockage externe lorsque possible. La taille et la complexité des métadonnées devraient également être réduites au minimum, et la Management API d’Auth0 impose des directives strictes en ce qui concerne la mise à jour ou la suppression des métadonnées associées à un utilisateur.
Vous pouvez manipuler les métadonnées au moyen de la Management API d’Auth0 et de l’Authentication API d’Auth0. Comme pour la gestion du profil utilisateur normalisé, les appels à la Management API pour manipuler des métadonnées exigent l’utilisation d’un Jeton d’accès.
Les appels à la Management API sont assujettis à la stratégie de limitation du débit d’Auth0. Vous devez en tenir compte et, pour vous aider, Auth0 recommande généralement d’utiliser le SDK Auth0 approprié à votre environnement de développement plutôt que d’appeler directement nos API.
Les métadonnées utilisateur (également appelées user_metadata) sont des informations qui peuvent être associées au profil d’un utilisateur et que celui-ci peut consulter et mettre à jour dans le cadre de la gestion libre-service de son profil. Ce type de métadonnées peut inclure, par exemple, la civilité d’un utilisateur ou sa langue préférée, qui peut servir à personnaliser les courriels envoyés par Auth0.
Stockez dans les métadonnées toute information que vous souhaitez utiliser pour personnaliser les courriels envoyés par Auth0, et de préférence dans user_metadata si l’utilisateur est autorisé à la modifier, par exemple l’information servant à déterminer la langue d’un courriel.
Les métadonnées de l’application (aussi appelées app_metadata) sont, quant à elles, des informations qui peuvent être stockées dans le profil d’un utilisateur, mais qui ne peuvent être lues ou mises à jour qu’avec l’autorisation appropriée ; app_metadata n’est pas directement accessible à l’utilisateur. Ce type de métadonnées peut correspondre, par exemple, à un indicateur signalant que la plus récente version valide des conditions générales a été acceptée par l’utilisateur, ainsi qu’à une date indiquant à quel moment il les a acceptées.
Pour les utilisateurs qui oublient leur mot de passe ou qui peuvent le modifier au moyen d’un mécanisme de libre-service existant, Auth0 offre la fonctionnalité de réinitialisation du mot de passe. Vous pouvez l’intégrer à votre implémentation existante; elle est déjà comprise dans les widgets d’interface Auth0 prêts à l’emploi inclus dans Universal Login.
La modification et la réinitialisation du mot de passe ne sont prises en charge que pour les types de connexion de base de données Auth0.
Auth0 offre une expérience utilisateur intégrée pour la réinitialisation du mot de passe au moyen des fonctionnalités de Auth0 Authentication API. Vous pouvez aussi utiliser Auth0 Authentication API par l’entremise de l’un des SDK Auth0 adaptés à votre environnement de développement. Les modèles de courriel utilisés pendant le processus de réinitialisation du mot de passe peuvent également être entièrement personnalisés, que vous utilisiez les widgets d’interface Auth0 prêts à l’emploi ou une version personnalisée de Universal Login.Vous pouvez également utiliser le Management API d’Auth0 pour modifier directement le mot de passe d’une identité utilisateur définie au moyen d’un type de connexion de base de données. Vous pouvez utiliser le Management API d’Auth0 dans le cadre de toute implémentation de gestion de profil en libre-service, ainsi que dans le cadre de toute personnalisation de la page Changer le mot de passe.
Vous devrez aussi toujours travailler avec un compte d’utilisateur vérifié et utiliser les mécanismes fournis par Auth0. Vous devriez également tenir compte des exigences réglementaires, comme le RGPD, qui impose des exigences très précises pour protéger les citoyens de l’UE contre les atteintes à la vie privée et les violations de données.Auth0 offre une fonctionnalité prête à l’emploi pour envoyer un courriel de vérification à l’adresse courriel d’un utilisateur afin de vérifier son compte. Par défaut, Auth0 envoie automatiquement des courriels de vérification pour toute identité de Connexion de base de données créée dans le cadre de l’auto-inscription. Cependant, Auth0 fournit également un point de terminaison de Management API que vous pouvez utiliser pour envoyer des courriels de vérification lorsque la validation de l’adresse courriel n’est pas effectuée par un fournisseur social au moment de l’inscription de l’utilisateur.
Le blocage de l’accès des utilisateurs dans Auth0 permet d’empêcher les utilisateurs de se connecter aux applications dans certaines conditions. Par défaut, l’Auth0 Dashboard fournit un mécanisme intégré qui permet aux administrateurs de bloquer et de débloquer l’accès des utilisateurs à toutes les applications, et vous pouvez mettre en œuvre cette fonctionnalité au moyen de l’Auth0 Management API. Vous pouvez également utiliser les fonctionnalités d’extensibilité d’Auth0 pour désactiver l’accès des utilisateurs à certaines applications, ainsi que pour offrir un contrôle d’accès plus granulaire.De plus, l’Auth0 Management API vous permet de débloquer des utilisateurs désactivés après un trop grand nombre de tentatives avec des identifiants incorrects.
Un portail d’administration est une application qui vous permet de créer de nouveaux utilisateurs, de modifier le profil d’un utilisateur, de consulter l’activité d’un utilisateur, etc. Cette application devrait être accessible uniquement aux administrateurs. Bien qu’Auth0 fournisse son tableau de bord de gestion, il n’est pas recommandé d’y donner accès à un grand nombre de personnes, car il existe de nombreuses façons d’endommager involontairement votre locataire Auth0. Auth0 offre plutôt deux autres options :
Auth0 Management API : Avec la Management API, vous pouvez facilement créer une application qui permet aux administrateurs de gérer les utilisateurs. Vous pouvez soit l’intégrer à une application existante déjà utilisée par vos administrateurs, soit en créer une nouvelle avec une interface utilisateur qui correspond à vos applications actuelles.
Auth0 Delegated Administration Extension : Cette extension puissante et flexible vous permet de personnaliser l’expérience d’administration des utilisateurs. Vous pouvez l’adapter pour permettre aux administrateurs de vos clients d’ouvrir une session et de voir et gérer uniquement les utilisateurs de leur organisation.
Si vous mettez en place votre propre façon pour un administrateur de gérer les utilisateurs, vous devriez uniquement autoriser les administrateurs à envoyer aux utilisateurs un lien de changement de mot de passe par courriel, plutôt que de leur permettre de définir directement des mots de passe. Si vous devez absolument aller à l’encontre de cette recommandation et permettre à vos administrateurs de définir le mot de passe de quelqu’un, vous devriez obliger l’utilisateur à changer son mot de passe à sa prochaine connexion afin que lui seul le connaisse (et non un administrateur également).
Nous mettons à votre disposition un guide de planification au format PDF que vous pouvez télécharger et consulter pour obtenir plus de détails sur les stratégies que nous recommandons.Guide de planification du projet B2B IAM
De nombreuses plateformes B2B mettent en place une certaine forme d’isolation et/ou d’image de marque pour l’organisation de leurs clients, ce qui peut complexifier tout système de gestion des identités et des accès (IAM). Si c’est votre cas, nous vous recommandons de prendre le temps de consulter nos conseils et nos pratiques recommandées pour ce type d’environnement.Architecture multi-organisation
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme