Passer au contenu principal
Pour utiliser les fonctionnalités de authentification par canal arrière initiée par le client (CIBA), vous devez disposer d’un forfait Enterprise ou d’un module complémentaire approprié. Consultez la tarification d’Auth0 pour en savoir plus.
Le flux authentification par canal arrière initiée par le client (CIBA) est une norme de la qui permet une authentification et une autorisation découplées au moyen de requêtes sécurisées par canal arrière. Le flux CIBA est conçu pour les cas d’utilisation où l’appareil qui lance une requête (l’appareil de consommation) est différent de l’appareil que l’utilisateur utilise pour s’authentifier (l’appareil d’authentification). Dans un flux CIBA, il y a deux acteurs :
  • Utilisateur initiateur : l’entité qui lance l’authentification ou l’autorisation sur l’appareil de consommation. Il peut s’agir d’une application backend, d’un utilisateur humain, comme un agent du service à la clientèle utilisant une application de service à la clientèle, ou d’un agent d’IA qui exécute une tâche au nom de l’utilisateur final.
  • Utilisateur autorisant : l’utilisateur final qui reçoit la demande d’authentification ou d’autorisation sur l’appareil d’authentification et qui donne son consentement.
En dissociant l’authentification et l’autorisation de l’appareil de consommation, l’application cliente peut appeler directement le fournisseur OpenID au moyen d’une requête par canal arrière. Cela renforce la sécurité, puisque vous pouvez utiliser, avec le flux CIBA, des méthodes plus sécurisées pour l’authentification de l’application, comme mTLS et Private Key JWT.

Cas d’utilisation

Les cas d’utilisation courants du flux CIBA comprennent :
  • Un agent d’IA utilise des approbations avec intervention humaine pour demander à l’utilisateur l’autorisation d’effectuer une action qu’il a demandée.
  • Un utilisateur a téléphoné à un centre d’appels, et l’agent qui traite l’appel souhaite accéder aux renseignements personnels de l’appelant depuis son ordinateur. L’appelant peut y consentir, par exemple, en approuvant une notification push sur son téléphone.
  • Un utilisateur souhaite accéder à un appareil dont les capacités de saisie sont limitées, comme un vélo que vous pourriez louer en ville ou une borne dans un commerce de détail.
  • Un utilisateur lance une transaction sensible sur un appareil relativement peu sécurisé et souhaite l’autoriser sur un appareil plus sécurisé. Par exemple, il pourrait autoriser un paiement ou la modification de renseignements personnels à la suite d’une notification push sur son téléphone mobile personnel.

Canaux de notification

Auth0 prend en charge les canaux de notification suivants avec CIBA :
  • Notifications push mobiles Auth0 Guardian : offertes pour tous les forfaits Enterprise. L’utilisateur reçoit une notification push sur son appareil mobile enregistré pour s’authentifier ou confirmer les détails de la transaction. L’authentification et l’autorisation ont lieu sur l’appareil d’authentification qui reçoit la notification push. Vous pouvez activer les notifications push mobiles avec CIBA au moyen de :
    • l’application Auth0 Guardian
    • une application personnalisée intégrée au SDK Auth0 Guardian
  • Notifications par courriel : offertes en option avec les forfaits payants. L’utilisateur reçoit un courriel à son adresse de courriel vérifiée. Le courriel contient un lien, et l’authentification ainsi que l’autorisation s’effectuent dans le navigateur.
Par défaut, Auth0 utilise et recommande les notifications push Guardian pour les flux CIBA. Les notifications push Guardian sont plus sécuritaires que d’autres canaux, comme le courriel, qui peut être vulnérable aux attaques d’hameçonnage. Vous devez activer explicitement les notifications par courriel pour les flux CIBA.

Fonctionnement

Le diagramme suivant décrit le flux CIBA de bout en bout :
  1. L’application cliente ou l’appareil de consommation demande l’authentification ou l’autorisation de l’utilisateur.
  2. Le backend de l’application cliente envoie une requête POST au point de terminaison /bc-authorize.
  3. Auth0 reçoit la requête POST et envoie une notification à l’appareil d’authentification.
  4. L’appareil d’authentification récupère les détails de l’autorisation auprès d’Auth0 et les présente à l’utilisateur final.
  5. L’utilisateur final examine la demande, y compris tout détail d’autorisation contextuel lié à celle-ci.
  6. L’utilisateur final fournit sa réponse sur l’appareil d’authentification, qui transmet cette réponse à Auth0.
  7. Le backend de l’application cliente interroge le point de terminaison /token et reçoit les jetons appropriés une fois le flux CIBA terminé.
Comme le flux CIBA sert à l’authentification et à l’autorisation asynchrones ponctuelles des utilisateurs, CIBA ne crée ni ne stocke d’octroi consignant le consentement de l’utilisateur permettant à une application d’accéder aux ressources d’une API. Si l’utilisateur s’authentifie plus tard à l’aide d’un autre flux d’authentification, et que ce flux demande les mêmes scopes que ceux auxquels l’utilisateur avait déjà consenti au moyen de CIBA, Auth0 n’aura aucune trace de ce consentement. Il demandera donc à l’utilisateur de donner de nouveau son consentement.

Limites de l’entité

Le flux CIBA est soumis aux limites suivantes :
  • Jusqu’à 500 requêtes CIBA peuvent être créées par minute et par locataire.
  • Jusqu’à 5 000 requêtes CIBA peuvent être en attente par locataire à un moment donné. Une requête CIBA en attente est une requête qui a été lancée, mais pour laquelle aucune réponse de l’utilisateur n’a encore été reçue. Si une requête CIBA expire sans recevoir de réponse, elle peut continuer à être comptabilisée dans la limite de 5 000 pendant un maximum de 24 heures.

Pour commencer

Lire…Pour en savoir plus sur…
Configurer l’authentification par canal arrière initiée par le clientComment configurer le type d’octroi CIBA et le canal de notification pour votre application.
Notifications push mobiles avec CIBAComment authentifier les utilisateurs à l’aide du flux CIBA avec des notifications push mobiles.
Notifications par courriel avec CIBAComment authentifier les utilisateurs à l’aide du flux CIBA avec des notifications par courriel.
Autorisation des utilisateurs avec CIBAComment autoriser les utilisateurs à l’aide du flux CIBA avec Rich Authorization Requests (RAR).