Passer au contenu principal

Avant de commencer

  • Abonnez-vous à un forfait Enterprise. Pour en savoir plus, consultez Gérer les abonnements.
  • Déterminez si vous utilisez Public Cloud ou Private Cloud. Pour connaître les prérequis relatifs à Private Cloud pour ces instructions, consultez Déployer Private Cloud.
Vous pouvez configurer Auth0 pour permettre aux membres du locataire d’utiliser votre propre fournisseur d’identité d’entreprise () afin de se connecter à l’ au moyen de l’ (SSO).

Fonctionnement

La configuration du SSO pour l’Auth0 Dashboard nécessite de travailler avec l’assistance Auth0 afin d’ajouter une connexion d’entreprise à l’autorité racine du locataire (RTA), qui gère les méthodes d’authentification qu’un membre du locataire peut utiliser pour se connecter à l’Auth0 Dashboard. L’ajout de cette connexion SSO ne limite pas les membres du locataire quant aux méthodes de connexion existantes (comme le courriel/mot de passe, LinkedIn, Microsoft, GitHub ou Google). La configuration du SSO pour l’Auth0 Dashboard active également le SSO pour tous les sites publics d’Auth0, notamment :

Expérience utilisateur

Lorsqu’un utilisateur autorisé accède à l’Auth0 Dashboard pour se connecter, il saisit l’adresse courriel associée à un domaine enregistré (par exemple, user@example.com) sur la page Auth0 , puis il est redirigé vers votre IdP pour terminer l’authentification.

Limites

Avant de décider de configurer le SSO pour l’Auth0 Dashboard, veuillez tenir compte des restrictions suivantes :
  • Le SSO ne peut pas être limité à des locataires précis.
  • Le SSO ne prend pas en charge les flux d’authentification initiés par l’IdP.
  • Les invitations aux membres du locataire ne peuvent pas être automatisées ni envoyées en masse avec l’Auth0 .
  • L’accès des membres du locataire ne peut pas être géré selon les appartenances aux groupes de votre IdP.
  • La ne peut pas être imposée à tous les membres d’un locataire.

Points à considérer

Accès complet du répertoire à Auth0 Dashboard

Lorsque vous ajoutez votre IdP comme connexion disponible pour permettre aux membres du locataire d’ouvrir une session, tous les utilisateurs du répertoire de votre IdP peuvent accéder à Auth0 Dashboard, mais seuls les membres du locataire invités dans un locataire donné peuvent accéder à ce locataire. Lorsque des utilisateurs tentent d’accéder à un locataire dans Auth0 Dashboard sans y avoir été invités, le système refuse l’opération. Si les utilisateurs n’appartiennent à aucun locataire, le système les invite à compléter leur profil utilisateur et à créer un nouveau locataire d’essai. La création d’un nouveau locataire d’essai ne l’associe pas à votre forfait Enterprise.

Identités résiduelles des membres du locataire

Si un membre du locataire a été invité (et avait accès) à un locataire dans Auth0 Dashboard en utilisant une identité différente de celle créée dans la nouvelle connexion, il pourra quand même — techniquement — utiliser cette identité pour accéder à ce locataire. Vous devrez décider si vous voulez supprimer son ancienne identité ou la conserver comme autre méthode d’authentification possible.

Configurer le SSO pour Auth0 Dashboard

La configuration du SSO pour Auth0 Dashboard nécessite une série d’étapes à réaliser conjointement avec l’assistance Auth0.

Partager les données de configuration de l’IdP

Ouvrez un billet auprès de l’assistance Auth0 pour transmettre les données de configuration de votre IdP afin que l’équipe puisse mettre en place la configuration SSO. Incluez les renseignements suivants lorsque vous soumettez votre billet :
  • Domaine(s) de courriel que vous souhaitez associer à la configuration SSO
  • Nom de l’IdP
  • Protocole d’authentification
  • Renseignements supplémentaires propres à l’IdP
D’autres étapes de configuration sont requises selon l’IdP et le protocole d’authentification que vous souhaitez utiliser :

ADFS (SAML)

  1. Créez une approbation de partie de confiance avec les propriétés suivantes :
    PropriétéValeurs
    ID d’entitéurn:auth0:auth0:{assignedConnectionName}
    URL de rappelhttps://auth0.auth0.com/login/callback
  2. Ajoutez une description de revendication pour chacune des revendications suivantes :
    RevendicationIdentificateur de revendicationValeur
    Identificateur de nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierE-Mail-Addresses ou User-Principal-Name
    Adresse de courrielhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressS/O
    Nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameS/O
  3. Activez le point de terminaison SAML 2.0.
  4. Fournissez à l’assistance Auth0 les renseignements suivants :
    • Point de terminaison de connexion (par exemple, https://{yourServer}/adfs/ls)
    • Certificat de signature ou fichier XML de métadonnées SAML

Azure AD (OIDC)

  1. Créez une nouvelle inscription d’application.
  2. Définissez le type de Redirect URI sur Web, et la valeur sur https://auth0.auth0.com/login/callback.
  3. Sélectionnez Register.
  4. Activez l’Implicit Grant pour l’ID Token.
  5. Ajoutez la revendication de courriel à l’ID Token.
  6. Fournissez à l’assistance Auth0 les renseignements suivants :
    • L’ID de l’application (client)
    • Le point de terminaison des métadonnées OIDC (par exemple, https://login. microsoftonline.com/{yourAzureAdTenantId}/v2.0/.well-known/openid-configuration)

Azure AD (SAML)

  1. Créez une nouvelle application d’entreprise.
  2. Configurez l’authentification unique SAML avec les propriétés suivantes (vous devrez peut-être utiliser des valeurs temporaires jusqu’à ce que l’assistance Auth0 puisse vous fournir le nom de la connexion SSO) :
    PropriétéValeur
    Identifiant (ID d’entité)urn:auth0:auth0:{assignedConnectionName}
    URL de réponse (ACS)https://auth0.auth0.com/login/callback
    URL d’ouverture de sessionhttps://manage.auth0.com/login?connection={assignedConnectionName}
  3. Laissez la section Attributes & Claims — y compris email, Unique User Identifier et, facultativement, name - — inchangée, conformément aux suggestions d’Azure.
  4. Fournissez à l’assistance Auth0 les métadonnées XML SAML. Vous pouvez soit :
    • Partager l’URL des métadonnées de fédération de l’application (par exemple, https://login.microsoftonline.com/{azureAdTenantId}/federationmetadata /2007-06/federationmetadata.xml?appid={appId}).
    • Télécharger le document XML de métadonnées de fédération et le joindre au ticket.

Google (SAML)

Auth0 permet de configurer le SSO pour l’Auth0 Dashboard avec un IdP Google , mais il est recommandé de diriger les utilisateurs vers la méthode d’authentification Google existante pour se connecter. Lorsqu’un utilisateur se connecte à l’IdP Google SAML, Auth0 crée une nouvelle identité utilisateur pour celui-ci (distincte de son identité utilisateur Google existante), ce qui peut prêter à confusion. Si vous souhaitez configurer le SSO pour l’Auth0 Dashboard avec un IdP Google SAML, consultez Generic IdP (SAML) pour obtenir les instructions.

Okta (SAML)

  1. Créez une application SAML avec les propriétés suivantes (vous devrez peut-être utiliser des valeurs temporaires jusqu’à ce que l’assistance Auth0 puisse vous fournir le nom de la connexion SSO) :
    PropriétéValeur
    ID d’entitéurn:auth0:auth0:{assignedConnectionName}
    Point de terminaison de rappel (URL ACS)https://auth0.auth0.com/login/callback
  2. Définissez le Name Identifier pour qu’il envoie l’adresse de courriel de l’utilisateur.
  3. Fournissez à l’assistance Auth0 les données XML des métadonnées SAML. Vous pouvez soit :
    • partager l’URL XML des métadonnées SAML :
      1. Repérez la section SAML Signing Certificates.
      2. Sélectionnez le menu Actions.
      3. Sélectionnez View IdP metadata, puis Copy Link Address. L’URL aura le format suivant : https://{org}.okta.com/app/{appId}/sso/saml/metadata.
    • télécharger le fichier XML des métadonnées SAML et le joindre au ticket.
Flux d’authentification initiés par l’IdP
Le SSO pour l’Auth0 Dashboard ne prend pas en charge les flux d’authentification initiés par l’IdP. Si vous voulez que les utilisateurs puissent sélectionner une vignette pour se connecter à l’Auth0 Dashboard, vous devez :
  1. Masquer l’application SAML aux utilisateurs.
  2. Créer une Bookmark App pointant vers https://manage.auth0.com/login?connection={assignedConnectionName}. Il s’agit de l’application que les utilisateurs pourront sélectionner pour se connecter.
Assurez-vous d’activer à la fois l’application SAML et la Bookmark App pour le même groupe d’utilisateurs autorisés à utiliser l’application.

OneLogin (SAML)

  1. Créez un connecteur de test SAML (SP) avec les propriétés suivantes (vous devrez peut-être utiliser des valeurs provisoires jusqu’à ce que l’assistance Auth0 puisse vous fournir le nom de la connexion SSO) :
    PropriétéValeur
    ID d’entitéurn:auth0:auth0:{assignedConnectionName}
    Point de terminaison de rappel (URL ACS)https://auth0.auth0.com/login/callback
    URL de connexionhttps://manage.auth0.com/login?connection={assignedConnectionName}
  2. Fournissez à l’assistance Auth0 le fichier XML des métadonnées SAML.

IdP générique (OIDC)

  1. Enregistrez une application (client) auprès de l’IdP avec les propriétés suivantes :
    PropriétéValeur
    URL de rappelhttps://auth0.auth0.com/login/callback
  2. Ajoutez la revendication email à l’ID Token.
  3. Fournissez à l’assistance Auth0 les éléments suivants :
    • ID de l’application (client)
    • URL de l’émetteur ou point de terminaison des métadonnées OIDC (par exemple, https://{idpDomain}/[...]/.well-known/openid-configuration)
L’assistance Auth0 utilisera le flux implicite avec publication de formulaire, s’il est offert. Si votre IdP ne le prend pas en charge, vous devrez lui fournir le Secret client de votre application.

IdP générique (SAML)

  1. L’assistance Auth0 vous fournira le nom de la connexion SSO.
  2. Créez une application SAML avec les propriétés suivantes :
    PropriétéValeur
    ID d’entitéurn:auth0:auth0:{assignedConnectionName}
    URL de rappelhttps://auth0.auth0.com/login/callback
  3. Assurez-vous que les assertions SAML contiennent les revendications suivantes :
    RevendicationIdentifiant de revendicationValeur
    Identifiant de nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierupn ou emailaddress
    Adresse de courrielhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressN/A
    Nomhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameN/A
  4. Fournissez à l’assistance Auth0 l’un des éléments suivants :
    • URL de connexion et certificat de signature
    • Fichier XML de métadonnées SAML

Configurer la connexion SSO

L’équipe de l’assistance Auth0 utilise les données de configuration que vous fournissez pour effectuer la configuration initiale de la connexion SSO. Home Realm Discovery (HRD) n’est pas configuré lors de la configuration initiale.

Tester la connexion SSO

Une fois la configuration initiale de la connexion SSO terminée, l’équipe de l’assistance Auth0 vous demande de tester la connexion SSO afin de vérifier que les données de configuration sont exactes et que les membres du locataire peuvent s’authentifier à l’aide de la connexion SSO comme vous le souhaitez. L’équipe de l’assistance Auth0 vous fournit une URL de connexion directe que vous pouvez utiliser pour déclencher l’authentification pour la nouvelle connexion SSO. Par exemple : https://manage.auth0.com/login?connection={assignedConnectionName}

Imposer le SSO avec Auth0 Teams

Si vous utilisez Auth0 Teams avec votre locataire Enterprise, vous pouvez imposer l’authentification SSO aux locataires qui appartiennent au compte Teams. Pour en savoir plus sur l’administration et la gestion des locataires, consultez Auth0 Teams.
  1. Ouvrez une nouvelle fenêtre de navigateur et saisissez votre compte Teams et son identifiant : https://accounts.auth0.com/teams/{team-identifier}.
    Vous pouvez trouver l’identifiant Teams dans l’URL ou dans les Settings de Teams.
  2. Accédez à la page Security.
  3. Configurez les stratégies de sécurité en sélectionnant Enforce Single Sign On.

Activer Home Realm Discovery (facultatif)

Si vous utilisez Universal Login ou Classic Login, vous pouvez demander l’activation de HRD afin que la page de connexion reconnaisse le domaine de l’adresse courriel saisie par un membre du locataire, puis le redirige vers la nouvelle connexion SSO.

Quand activer HRD

Si HRD est activé, les membres du locataire qui utilisaient auparavant une identité par courriel et mot de passe (avec un courriel correspondant au domaine HRD configuré) ne pourront plus se connecter via la page de connexion, et HRD n’est compatible qu’avec les identifiants basés sur le courriel. En raison de ce changement de comportement, demandez l’activation de HRD seulement après vous être assuré qu’au moins certains des membres actuels du locataire ont été informés du changement et qu’ils savent qu’ils devront soit :
  • Recevoir une invitation à rejoindre les locataires sous la nouvelle identité
  • Se réinviter eux-mêmes avec la nouvelle identité

Comment contourner HRD

Si un membre du locataire doit se connecter avec son identité par courriel et mot de passe, vous pouvez lui fournir une URL de connexion directe : https://manage.auth0.com/login?connection=auth0 Cette URL contourne HRD et lui permet de se connecter avec son identité par courriel et mot de passe.

Exemple de comportement de connexion avec HRD

Voici un exemple de liste de membres du locataire :
LocataireMembre du locataireConnexionConcerné ?
fabrikam@ususer1@example.comemail/passwordOui
fabrikam@ususer1@gmail.comgoogle-oauth2Non
fabrikam@ususer2@example.comgithubNon
fabrikam@ususer3@acme.comemail/passwordNon
fabrikam@ususer4@example.comemail/passwordOui
fabrikam-dev@ususer5@example.comemail/passwordOui
fabrikam-dev@ususer1@example.comemail/passwordOui
Si nous associons le domaine example.com à la nouvelle connexion, les membres du locataire user1@gmail.com, user2@example.com et user3@acme.com peuvent continuer à se connecter comme auparavant, car ils utilisent soit un fournisseur social, soit une adresse courriel dont le domaine n’est pas associé. À l’inverse, les membres du locataire user1@example.com, user4@example.com et user5@example.com ne peuvent plus se connecter comme auparavant, car leur adresse courriel est associée au domaine configuré pour HRD.

Migrer les membres existants du locataire

La procédure de migration des membres existants du locataire dépend du fait que HRD soit activé ou non.

Comment effectuer la migration lorsque HRD est désactivé

Pour migrer des membres du locataire lorsque HRD est désactivé, vous devez partager l’URL de connexion directe de la nouvelle connexion SSO : https://manage.auth0.com/login?connection={assignedConnectionName}
  1. Créez une nouvelle invitation pour un membre du locataire pour ce membre du locataire.
  2. Demandez au membre du locataire de :
    1. Se connecter à la nouvelle connexion SSO à l’aide de l’URL de connexion directe avant d’accepter l’invitation.
      S’il se connecte pour la première fois à la nouvelle connexion SSO, il se peut qu’il voie une page de mise à jour du profil (à https://auth.com/profile). Ne remplissez aucun champ et ne sélectionnez pas Suivant. Passez plutôt à l’étape suivante.
    2. Copier et coller l’URL d’invitation reçue dans le courriel d’invitation dans le même navigateur que celui utilisé pour se connecter à la nouvelle connexion SSO. Les utilisateurs ne doivent pas sélectionner Créer un compte.
    3. Accepter l’invitation.
    4. Si l’utilisateur a des invitations pour d’autres locataires, il peut les utiliser à ce moment-là.

Comment migrer avec HRD activé

Pour migrer des membres du locataire avec HRD activé, vous devez suivre des étapes semblables à l’ajout de membres du locataire :
  1. Créez une nouvelle invitation pour un membre du locataire pour ce membre du locataire.
  2. Indiquez au membre du locataire de :
    1. Se déconnecter de l’Auth0 Dashboard (s’il s’est déjà connecté avec une ancienne identité).
      S’il s’agit de la première invitation qu’il accepte, il pourrait voir une page « Create a new tenant » ou « Create a new account ». Ne cliquez pas sur Next. Passez plutôt à l’étape suivante.
    2. Ouvrir le lien d’invitation dans le courriel d’invitation reçu.
    3. Se connecter avec la nouvelle connexion.
    4. Accepter l’invitation.