Considérations de planification relatives à la gestion du profil utilisateur pour votre mise en œuvre IAM B2C.
À un moment donné, vous pourriez devoir modifier les renseignements stockés dans le profil d’un utilisateur. Le profil d’un utilisateur (aussi appelé compte utilisateur) est stocké dans Auth0, et il peut être nécessaire de modifier les renseignements qu’il contient pour différentes raisons :
Mises à jour de renseignements en libre-service
Mises à jour obligatoires concernant les modalités de vos organisations
Changements liés à la conformité réglementaire
Vous ne pouvez pas accéder directement à un profil utilisateur d’un locataire Auth0 à un autre. Si vous déployez plusieurs locataires Auth0 en production, vous devez en tenir compte.
Le profil utilisateur normalisé est mis à jour à partir du fournisseur d’identité lors de la connexion, et vous pouvez modifier le nombre limité de renseignements qu’il contient au moyen de la Auth0 Management API. Vous pouvez aussi utiliser les mécanismes d’extensibilité d’Auth0, comme Actions, pour remplacer certains renseignements du profil utilisateur normalisé. Consultez Modification des données du profil utilisateur pour en savoir plus.
Par défaut, un profil utilisateur est créé pour chaque identité utilisateur, et plusieurs éléments sont à prendre en considération :
Que devriez-vous faire si vous devez stocker des renseignements pour personnaliser l’expérience d’un utilisateur ?
Que faire si vous devez stocker des renseignements utilisateur qui ne proviennent pas d’un ?
Pourquoi auriez-vous besoin de stocker des renseignements liés à l’utilisateur qu’un utilisateur ne peut pas modifier ?
Que faire si vous devez stocker des renseignements liés à l’utilisateur qu’un utilisateur ne peut pas modifier ?
Que se passe-t-il si un utilisateur oublie son mot de passe ?
Que devrait faire un utilisateur s’il veut changer son mot de passe ?
Auth0 permet de stocker des métadonnées dans le profil d’un utilisateur, ce qui permet de saisir des renseignements supplémentaires, comme les préférences de langue ou d’accessibilité, afin d’améliorer l’expérience utilisateur. Les métadonnées peuvent servir à stocker à la fois des renseignements qu’un utilisateur peut modifier et des renseignements qu’il ne peut pas modifier; ces derniers vous permettant, par exemple, d’associer un profil utilisateur à des enregistrements dans vos systèmes existants sans modifier la mise en œuvre actuelle.Pour les utilisateurs qui oublient leur mot de passe ou qui sont autorisés à le modifier au moyen d’un mécanisme libre-service existant (ou d’un mécanisme libre-service que vous prévoyez mettre en place), vous pouvez tirer parti de la fonctionnalité Réinitialisation du mot de passe fournie par Auth0. Celle-ci peut être intégrée à votre mise en œuvre existante et est déjà incluse dans tous les widgets d’interface Auth0 prêts à l’emploi, y compris Universal Login.Vous voudrez aussi vous assurer de toujours utiliser un compte utilisateur vérifié. Auth0 fournit également des mécanismes prêts à l’emploi à cette fin. Vous devriez aussi tenir compte de la conformité réglementaire, comme le RGPD, qui comporte des exigences très précises en matière de protection des citoyens de l’UE contre les atteintes à la vie privée et les violations de données.Bien qu’Auth0 ne fournisse pas actuellement de portail centralisé de gestion de profil prêt à l’emploi, pour la gestion de profil en libre-service, vous pouvez utiliser la Auth0 pour créer la vôtre ou utiliser une interface déjà existante. Consultez nos indications de la communauté Auth0, qui décrivent le point de terminaison de la Management API. Tous les appels à la Management API nécessitent l’utilisation d’un jeton d’accès.
La gestion de profil en libre-service peut soulever des enjeux de sécurité et de protection des données. Par exemple, vous pourriez vouloir permettre à un utilisateur de modifier son adresse de courriel, mais le faire sans suivre les pratiques exemplaires en matière de sécurité pourrait l’empêcher d’accéder à son compte, entraîner la divulgation de renseignements personnels identifiables (PII) ou, pire encore, créer une faille de sécurité potentielle.
Sinon, vous pouvez utiliser le pour gérer certains aspects du profil d’un utilisateur. La gestion du profil d’un utilisateur dans l’Auth0 Dashboard est plutôt une fonction administrative et ne doit pas être utilisée pour la gestion libre-service des profils dans un environnement de production. Toutefois, l’interface fournie par le Dashboard peut être extrêmement utile pendant le développement, car elle permet de modifier rapidement et simplement les renseignements du profil d’un utilisateur.
En plus des informations du profil utilisateur normalisé, des métadonnées peuvent être stockées dans un profil utilisateur Auth0. Les métadonnées permettent de stocker des informations qui ne proviennent pas d’un fournisseur d’identité, ou encore des informations qui remplacent celles fournies par un fournisseur d’identité.
L’utilisation des métadonnées doit respecter les pratiques exemplaires de stockage des données utilisateur d’Auth0. Le stockage des métadonnées n’est pas conçu pour servir de stockage de données à usage général; vous devriez donc utiliser votre propre solution de stockage externe lorsque possible. La taille et la complexité des métadonnées doivent également être réduites au minimum, et la Management API d’Auth0 impose des directives strictes en ce qui concerne la mise à jour et/ou la suppression des métadonnées associées à un utilisateur.
Vous pouvez gérer les métadonnées au moyen de la Management API d’Auth0 et de l’Authentication API d’Auth0. Comme pour la gestion du profil utilisateur normalisé, les appels à la Management API pour gérer les métadonnées exigent l’utilisation d’un Jeton d’accès.
Les appels à la Management API sont assujettis à la politique de limitation du débit d’Auth0. Vous devez en tenir compte et, pour vous aider, Auth0 recommande généralement d’utiliser le SDK Auth0 approprié à votre environnement de développement plutôt que d’appeler directement les API.
Les métadonnées utilisateur (aussi appelées user_metadata) sont des informations qui peuvent être stockées dans le profil d’un utilisateur et que celui-ci peut consulter et mettre à jour dans le cadre de la gestion libre-service de son profil. Ce type de métadonnées peut inclure, par exemple, la civilité d’un utilisateur ou sa langue préférée, qui peut servir à personnaliser les courriels envoyés par Auth0.
Stockez dans les métadonnées toute information que vous souhaitez utiliser pour personnaliser les courriels Auth0, de préférence dans user_metadata si l’utilisateur est autorisé à la modifier, par exemple l’information servant à déterminer la langue d’un courriel.
Les métadonnées d’application (aussi appelées app_metadata) sont, quant à elles, des informations qui peuvent être stockées dans le profil d’un utilisateur, mais qui ne peuvent être lues ou mises à jour qu’avec l’autorisation appropriée; app_metadata n’est pas directement accessible à l’utilisateur. Ce type de métadonnées peut, par exemple, prendre la forme d’un indicateur signalant que la plus récente version valide des conditions générales a été acceptée par l’utilisateur, ainsi que d’une date indiquant à quel moment il les a acceptées.
Pour les utilisateurs qui oublient leur mot de passe ou qui sont autorisés à le modifier au moyen d’un mécanisme de libre-service existant, Auth0 offre la fonctionnalité de réinitialisation du mot de passe. Vous pouvez l’intégrer à votre implémentation existante; elle est déjà incluse dans les widgets d’interface utilisateur Auth0 prêts à l’emploi fournis avec Universal Login.
La modification et la réinitialisation du mot de passe ne sont prises en charge que pour les types de connexion de base de données Auth0.
Auth0 offre une prise en charge intégrée de l’expérience utilisateur pour la réinitialisation du mot de passe au moyen de la fonctionnalité de l’Auth0 Authentication API. Vous pouvez aussi utiliser l’Auth0 Authentication API par l’intermédiaire de l’un des SDK Auth0 adaptés à votre environnement de développement. Les modèles de courriel utilisés pendant le processus de réinitialisation du mot de passe peuvent aussi être entièrement personnalisés, que vous utilisiez les widgets d’interface utilisateur Auth0 prêts à l’emploi ou une version personnalisée de Universal Login.Vous pouvez également utiliser le Management API d’Auth0 pour modifier directement le mot de passe d’une identité utilisateur définie à l’aide d’un type de connexion de base de données. Vous pouvez utiliser le Management API d’Auth0 dans le cadre de toute implémentation de gestion de profil en libre-service, ainsi que dans le cadre de toute personnalisation de la page Changer le mot de passe.
Vous devrez aussi toujours travailler avec un compte utilisateur vérifié et utiliser les mécanismes fournis par Auth0. Vous devriez également tenir compte des exigences réglementaires, comme le RGPD, qui impose des exigences très précises pour protéger les citoyens de l’UE contre les atteintes à la vie privée et les violations de données.Auth0 fournit des fonctionnalités prêtes à l’emploi pour envoyer un courriel de vérification à l’adresse courriel d’un utilisateur afin de vérifier son compte. Par défaut, Auth0 envoie automatiquement des courriels de vérification pour toute identité de Connexion de base de données créée dans le cadre de l’inscription libre-service. Cependant, Auth0 fournit également un point de terminaison de la Management API que vous pouvez utiliser pour envoyer des courriels de vérification lorsque l’adresse courriel n’est pas validée par un fournisseur social au moment de l’inscription de l’utilisateur.
Le blocage de l’accès des utilisateurs dans Auth0 permet d’empêcher les utilisateurs de se connecter aux applications dans certaines conditions. Par défaut, Auth0 Dashboard fournit un mécanisme intégré qui permet aux administrateurs de bloquer et de débloquer l’accès des utilisateurs à toutes les applications, et vous pouvez implémenter cette fonctionnalité au moyen de la Management API. Vous pouvez également utiliser l’extensibilité d’Auth0 pour désactiver l’accès des utilisateurs à certaines applications et offrir un contrôle d’accès plus granulaire.De plus, la Management API vous permet de débloquer les utilisateurs désactivés en raison d’un trop grand nombre de tentatives avec des identifiants incorrects.
Par défaut, chaque identité d’utilisateur correspond à un profil utilisateur (compte utilisateur). Si vous activez la connexion à partir de plusieurs fournisseurs d’identité — par exemple Facebook ou Google par authentification sociale, ainsi qu’Auth0 par authentification par nom d’utilisateur et mot de passe — chacune aura son propre profil utilisateur. Vous pouvez utiliser la fonctionnalité d’Auth0 de liaison des comptes utilisateur pour créer un seul profil utilisateur qui regroupe toutes les identités associées à un utilisateur.Le processus de liaison de comptes fusionne les profils utilisateur par paires : un compte principal et un compte secondaire doivent être précisés pendant le processus de liaison. Toutefois, le nombre de comptes pouvant être liés ne se limite pas à une seule paire. Par exemple, vous pouvez utiliser comme compte principal un compte auquel plusieurs autres comptes sont déjà fusionnés, puis lui lier un autre compte secondaire. Cela signifie qu’un compte utilisateur peut être associé à plusieurs identités, ce qui offre plusieurs avantages :
Les utilisateurs peuvent se connecter à l’aide de plusieurs identités sans devoir créer un profil distinct pour chacune.
Les utilisateurs enregistrés peuvent utiliser de nouvelles identités de connexion tout en continuant d’utiliser leur profil existant.
Les utilisateurs peuvent conserver leur profil, quelle que soit l’identité utilisée pour se connecter.
Les utilisateurs peuvent lier un compte contenant davantage de renseignements d’identité afin d’obtenir un profil plus complet.
Vos applications peuvent récupérer des données de profil utilisateur propres à la connexion.
Votre application peut devoir prendre en charge la demande d’un utilisateur visant à supprimer son compte (par exemple, pour respecter les exigences du RGPD). Vous pouvez mettre en œuvre une telle fonctionnalité, ainsi que plusieurs autres fonctions liées au profil, au moyen de la Management API. La Management API vous permet de récupérer les renseignements stockés sur un utilisateur et de les mettre à jour au besoin.Auth0 peut prendre en charge diverses exigences liées à la protection de la vie privée, notamment l’affichage de liens vers des avis de consentement lors de l’inscription et des mesures de protection des données pour permettre aux utilisateurs d’exercer leur droit de consulter et de corriger les données que vous avez recueillies à leur sujet.
Le RGPD et d’autres directives relatives à la protection de la vie privée exigent que les utilisateurs aient le droit de consulter et de corriger les données détenues à leur sujet. Ils ont aussi le droit à l’oubli. Vous pouvez utiliser la Management API pour répondre à ces exigences et respecter vos obligations légales.
Nous mettons à votre disposition un guide de planification en format PDF que vous pouvez télécharger et consulter pour en savoir plus sur les stratégies que nous recommandons.Guide de planification du projet IAM B2C
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme