Passer au contenu principal
L’API My Account est offerte en accès anticipé. Pour demander l’accès, communiquez avec votre gestionnaire de compte Auth0 ou avec l’assistance Auth0. Pour en savoir plus sur le cycle de lancement des produits d’Auth0, consultez Étapes de lancement des produits.
L’API My Account d’Auth0 fournit un ensemble de points de terminaison dédiés permettant aux utilisateurs de gérer les informations de leur propre compte. Les clients peuvent utiliser ces API pour créer des expériences libre-service dans leurs applications ou ajouter progressivement des informations à un compte utilisateur. L’API My Account fonctionne dans le contexte de l’utilisateur actuellement connecté et peut être utilisée directement dans les applications destinées aux utilisateurs finaux.
Utiliser le domaine Auth0 ou un domaine personnaliséL’API My Account vous permet d’utiliser votre domaine Auth0 canonique ou votre domaine personnalisé, mais vous devez utiliser le même domaine tout au long du processus, y compris pour :
  • Obtenir un jeton d’accès
  • Définir la valeur audience
  • Appeler le point de terminaison de l’API My Account
Pour en savoir plus, consultez Domaines personnalisés.

Activer l’API My Account

Vous pouvez activer l’API My Account pour votre locataire dans le  :
  1. Accédez à Applications > APIs.
  2. Repérez la bannière MyAccount API.
  3. Sélectionnez Activate.
Par défaut, l’API My Account est créée avec les stratégies d’accès des applications à l’API suivantes :
  • require_client_grant pour les flux utilisateur
  • deny_all pour les flux application (machine à machine)
Pour qu’une application puisse accéder à l’API My Account au nom de l’utilisateur, vous devez créer explicitement un client grant pour cette application, ce qui vous permet de définir les scopes maximums que l’application peut demander. Vous pouvez aussi remplacer la stratégie des flux d’accès utilisateur par allow_all, ce qui permet à n’importe quelle application de votre locataire de demander n’importe quel scope à l’API My Account. Auth0 ne recommande pas d’utiliser allow_all pour les flux d’accès utilisateur, car l’API My Account expose des informations et des opérations sensibles. Vous devriez appliquer le principe du moindre privilège à l’API My Account afin de vous assurer que les applications n’obtiennent que l’accès dont elles ont réellement besoin, ce qui réduit au minimum les risques de sécurité potentiels. Les autorisations finales accordées à l’application sont déterminées par l’intersection des scopes autorisés par la stratégie d’accès des applications à l’API, des autorisations RBAC (Role-Based Access Control) attribuées à l’utilisateur final et du consentement donné par l’utilisateur, s’il y a lieu.
Vous ne pouvez pas mettre à jour la stratégie d’accès des applications à l’API pour l’accès client à l’API My Account, ce qui signifie que vous ne pouvez pas accéder à l’API My Account à l’aide du flux Client Credentials.
Pour en savoir plus sur la gestion des stratégies d’accès des applications à l’API et des client grants qui y sont associés, consultez Accès des applications aux API : Client Grants.

Paramètre de la stratégie par défaut

L’Authentication Assurance pour la API My Account est actuellement en accès anticipé avec une seule option de stratégie. En utilisant cette fonctionnalité, vous acceptez les conditions d’essai gratuit applicables de l’entente-cadre d’abonnement d’Okta. Pour en savoir plus sur le cycle de mise en disponibilité des produits d’Auth0, consultez les étapes de mise en disponibilité des produits. Pour participer au programme, communiquez avec l’assistance Auth0.
La stratégie par défaut fournit une assurance d’authentification intégrée pour la API My Account en exigeant une authentification renforcée. Lorsqu’elle est activée, Auth0 veille automatiquement à ce que les utilisateurs se soient authentifiés récemment et au moyen d’un deuxième facteur. La stratégie impose la 2FA dans une fenêtre de 15 minutes. Auth0 applique cette règle lors de la connexion et à chaque échange de jeton d’actualisation :
  • Si un utilisateur a un facteur MFA inscrit, la 2FA doit être effectuée à la connexion, puis de nouveau lorsque ses jetons ont plus de 15 minutes.
  • Si un utilisateur n’a aucun facteur admissible à l’inscription, Auth0 autorise l’accès initial, mais renvoie une erreur unmet_authentication_requirements lors des échanges de jetons d’actualisation après 15 minutes.
La stratégie par défaut n’est pas compatible avec Classic Login. Activez cette fonctionnalité si votre locataire utilise Universal Login ou un flux intégré pris en charge (Resource Owner Password Flow ou les clés d’accès natives).

Activer la stratégie par défaut

Pour activer la stratégie par défaut pour API My Account :
  1. Accédez à Applications > APIs, puis sélectionnez API My Account.
  2. Sélectionnez l’onglet Settings.
  3. Sous Default Policy, activez Require 2FA.
  4. Sélectionnez Save.
Lorsque la stratégie par défaut est activée pour votre locataire, elle est automatiquement associée chaque fois qu’une nouvelle API My Account est créée.

Hiérarchie des exigences d’authentification

La stratégie par défaut se situe entre la stratégie MFA au niveau du locataire et toute logique MFA que vous définissez dans Actions :
  1. Stratégie MFA du locataire — la stratégie de base appliquée par défaut à l’ensemble des authentifications de votre locataire
  2. stratégie par défaut — remplace la stratégie du locataire spécifiquement pour la API My Account
  3. Actions — toute commande MFA dans Actions a toujours priorité sur les deux

Comportement par défaut de la stratégie

Le comportement dépend du fait que l’utilisateur dispose ou non d’un second facteur pouvant être inscrit. Utilisateurs ayant un facteur MFA déjà configuré Pour les utilisateurs ayant déjà configuré TOTP, le courriel ou un autre facteur pris en charge :
  1. À la connexion, Auth0 demande à l’utilisateur de confirmer son identité à l’aide de son facteur configuré avant d’émettre des jetons.
  2. Le jeton d’actualisation consigne la méthode d’authentification et l’horodatage (AMR).
  3. Lors d’un échange de jeton d’actualisation dans les 15 minutes suivant la dernière vérification, Auth0 émet un nouveau jeton d’accès sans nouvelle vérification.
  4. Lors d’un échange de jeton d’actualisation après 15 minutes, Auth0 demande de nouveau à l’utilisateur de confirmer son identité avant d’émettre des jetons.
Utilisateurs sans facteur MFA déjà configuré Pour les utilisateurs n’ayant ni courriel vérifié ni facteur configuré :
  1. À la connexion, Auth0 autorise l’accès sans second facteur.
  2. Lors d’un échange de jeton d’actualisation dans les 15 minutes, Auth0 émet un nouveau jeton d’accès sans vérification.
  3. Lors d’un échange de jeton d’actualisation après 15 minutes, Auth0 renvoie une erreur unmet_authentication_requirements.
Lorsque unmet_authentication_requirements est renvoyée lors d’un échange de jeton d’actualisation, le jeton ne peut pas être actualisé. Votre application doit redémarrer l’ensemble du flux d’authentification pour obtenir de nouveaux jetons.La même erreur est renvoyée lors d’une connexion silencieuse (prompt=none) lorsque l’utilisateur ne peut pas satisfaire à la stratégie après 15 minutes.

Obtenir un jeton d’accès

Vous pouvez obtenir un pour l’API My Account de la même manière que pour l’une de vos propres API.
Si vous avez besoin d’un niveau d’assurance de l’authentification supérieur à la stratégie par défaut — par exemple, pour exiger un facteur précis ou pour appliquer des exigences uniquement à certaines opérations — vous pouvez utiliser l’authentification renforcée avec les Actions afin de définir une logique MFA personnalisée. Notez que les Actions remplacent toujours la stratégie par défaut.
Si vous utilisez , consultez les articles suivants : Si vous utilisez l’authentification intégrée, consultez les articles suivants :

Audience

L’ de l’API My Account est https://{yourDomain}/me/.

Scope

L’API My Account prend en charge les scopes suivants :
ScopeDescription
create:me:authentication_methodsPermet à l’utilisateur d’inscrire une nouvelle méthode d’authentification.
read:me:authentication_methodsPermet à l’utilisateur de consulter les méthodes d’authentification existantes.
update:me:authentication_methodsPermet à l’utilisateur de modifier les méthodes d’authentification existantes.
delete:me:authentication_methodsPermet à l’utilisateur de modifier les méthodes d’authentification existantes.
read:me:factorsPermet à l’utilisateur de consulter les facteurs d’authentification qu’il peut inscrire.
Pour les Connected Accounts with Token Vault, l’API My Account prend en charge les scopes suivants :
ScopeDescription
create:me:connected_accountsPermet à l’utilisateur de connecter un nouveau compte à son profil.
read:me:connected_accountsPermet à l’utilisateur de consulter les comptes connectés existants associés à son profil.
delete:me:connected_accountsPermet à l’utilisateur de supprimer un compte connecté de son profil.

Exemples

Universal Login avec le flux avec code d’autorisation

Étape 1 : Demander un code d’autorisation
Étape 2 : Échanger le code contre un jeton d’accès

Connexion intégrée à l’aide de clés d’accès natives

Étape 1 : Demander le défi de connexion
Étape 2 : Authentification d’un utilisateur existant

Requêtes inter-origines

Si vous comptez appeler l’API My Account directement depuis une application web exécutée dans le navigateur (comme une application monopage) sur un domaine différent de celui de votre locataire Auth0, vous serez confronté aux politiques de sécurité du navigateur appelées partage de ressources entre origines multiples (CORS). Par défaut, les navigateurs bloquent ces requêtes inter-origines. Pour permettre à votre application d’effectuer correctement des requêtes vers l’API, vous devez ajouter le domaine de votre application (son « origine ») à la configuration de votre application :
  1. Accédez à Auth0 Dashboard > Applications. Sélectionnez l’application à afficher.
  2. Dans Cross-Origin Authentication, activez l’option Allow Cross-Origin Authentication.
  3. Repérez Allowed Origins (CORS), puis saisissez l’URL d’origine de votre application.
  4. Sélectionnez Save.
Pour en savoir plus, consultez Configurer le partage de ressources entre origines multiples.
Si vous n’avez pas besoin d’utiliser CORS pour votre application, assurez-vous que l’option Allow Cross-Origin Authentication est désactivée. L’ajout de l’URL de votre application à cette liste indique à Auth0 de faire confiance aux requêtes provenant de cette origine, ce qui permet à votre application côté client d’accéder à l’API.