Passer au contenu principal
La gestion des connexions d’organisation à l’aide de nouveaux points de terminaison et attributs est en accès anticipé dans le cadre de My Organization API and Embeddable UI Components. En utilisant cette fonctionnalité, vous acceptez les conditions applicables de l’essai gratuit énoncées dans le Contrat-cadre d’abonnement d’Okta. Pour en savoir plus sur le cycle de publication des produits d’Auth0, consultez Étapes de publication des produits.
Les organisations Auth0 permettent aux responsables de produits B2B ou d’applications SaaS de créer des architectures multilocataires, de stocker les jetons d’identité de façon appropriée et de réduire au minimum les frictions de connexion pour les utilisateurs finaux.

Configurer l’expérience de connexion de votre application

Votre application peut être configurée dans l’onglet Login Experience pour prendre en charge trois types d’utilisateurs :
  1. Particuliers
  2. Utilisateurs d’entreprise
  3. Les deux
Les applications conçues expressément pour les consommateurs — par exemple Netflix ou Spotify — n’ont probablement pas besoin de la gestion des organisations. En choisissant Particuliers, les utilisateurs se connectent directement à l’application et aucun contexte d’organisation n’est fourni. Les applications B2B ou SaaS — par exemple Slack ou Jira — conviennent davantage à l’option Utilisateurs d’entreprise, afin que les utilisateurs finaux puissent accéder à votre application uniquement dans le contexte d’une Organisation Auth0. Les utilisateurs membres de plusieurs organisations sont redirigés vers le sélecteur d’organisation après le flux de connexion, qui affiche les 20 premières organisations qu’ils ont rejointes.
Choisissez Les deux si votre utilisateur final peut avoir à la fois un compte personnel et un compte professionnel dans votre application. Par exemple, GitHub stocke souvent à la fois des dépôts de code personnels et professionnels. Vous pouvez configurer le type d’utilisateur de votre application dans le (comme décrit ci-dessus) ou au moyen de la . Plus précisément, utilisez le paramètre organization_usage du point de terminaison Mettre à jour une application pour définir le type d’utilisateur approprié. Pour en savoir plus sur ces deux méthodes, consultez Définir le comportement des organisations.

Configurer le flux de connexion pour votre application

Après avoir sélectionné utilisateur d’entreprise ou Les deux, vous pouvez personnaliser davantage l’expérience de vos utilisateurs lorsqu’ils se connectent à votre application. La plupart des organisations devraient choisir Demander les identifiants, puis activer l’authentification d’abord par identifiant. Si vous connaissez déjà l’Organisation à laquelle un utilisateur tente de se connecter, l’option Aucune invite ainsi que le développement personnalisé avec les organisations permettent à votre application de conserver un flux de connexion personnalisé et adapté à votre marque.
Les administrateurs peuvent aussi mieux façonner l’expérience utilisateur en activant le bouton bascule Demander l’Organisation, ce qui oblige les utilisateurs à indiquer l’Organisation à laquelle ils se connectent, soit par le nom de l’Organisation, soit par le courriel de l’Organisation.
Même si vous sélectionnez Demander les identifiants, vous pouvez quand même diriger les utilisateurs vers l’invite de connexion d’une organisation précise, au besoin.
Vous pouvez configurer le flux de connexion de votre application dans le Auth0 Dashboard (comme décrit ci-dessus) ou au moyen de la Management API. Plus précisément, utilisez le paramètre organization_require_behavior du point de terminaison Mettre à jour une application pour définir le flux approprié. Pour en savoir plus sur les deux méthodes, consultez Définir le comportement de l’organisation.

Authentification d’abord par identifiant avec invite de saisie des identifiants

Si votre application d’entreprise utilise la fédération d’entreprise, vous pouvez activer l’authentification d’abord par identifiant avec Home Realm Discovery dans son profil d’authentification. Une fois activée, Home Realm Discovery détecte les adresses de courriel provenant d’un domaine connu et les dirige automatiquement vers la page de connexion Workforce appropriée.
Dans ce flux, une seule connexion de base de données Auth0 peut être utilisée comme solution de rechange lorsque le domaine de courriel d’un utilisateur ne correspond au domaine du (IdP) d’aucune connexion d’entreprise. Les utilisateurs voient l’invite de connexion de votre application plutôt que l’invite de connexion d’une organisation, et les connexions activées pour l’application sont visibles pour l’utilisateur.
Si votre locataire Auth0 dispose d’un Default Directory configuré dans ses paramètres, Auth0 l’utilise comme connexion pour ce flux de connexion, même si Default Directory n’est pas activé pour l’application. Default Directory a priorité sur les connexions activées de l’application.Ce comportement s’applique uniquement au flux Demander les identifiants. Pour le flux Demander l’Organisation ou les scénarios sans invite, vous devez activer Default Directory sur l’application pour qu’Auth0 le sélectionne.
Après qu’un utilisateur a saisi une adresse de courriel, Auth0 la compare aux connexions d’entreprise activées pour cette application et à toutes les connexions d’entreprise activées pour les organisations. Si une correspondance est trouvée, l’utilisateur est dirigé vers l’authentification auprès de l’IdP associé. Si aucune correspondance n’est trouvée, un champ de mot de passe s’affiche.

Authentification d’abord par identifiant avec Demander l’Organisation

Lorsqu’un utilisateur commence le processus d’authentification, Auth0 détermine d’abord l’Organisation (s’il y a lieu), puis repère le bon fournisseur d’identité (IdP) ou la bonne connexion pour l’authentification. L’utilisateur commence par saisir soit son adresse de courriel (par exemple, alice@rockymountainadventures.com), soit le nom de son organisation (par exemple, Rocky Mountain High Adventures). Le contenu de l’écran d’invite dépend du paramètre Login Experience > Type of Users de l’application :
  • utilisateur d’entreprise affiche uniquement l’invite Organisation, et les utilisateurs doivent se connecter à l’aide d’une organisation.
  • Both affiche à la fois les invites Organisation et de compte personnel, et les utilisateurs peuvent se connecter avec l’une ou l’autre.

Détection du domaine de l’organisation (facultatif)

Auth0 prend en charge la détection du domaine de l’organisation, qui peut être utilisée de façon facultative pour détecter l’Organisation de l’utilisateur avant l’exécution de l’authentification d’abord par identifiant. Lorsqu’elle est configurée, la détection du domaine de l’organisation aide Auth0 à détecter automatiquement l’organisation d’un utilisateur ou à restreindre les choix d’organisation lorsque les utilisateurs saisissent leur adresse de courriel. La détection du domaine de l’organisation ne limite pas les personnes qui peuvent s’inscrire ou se connecter. Ensemble, l’authentification d’abord par identifiant et la détection du domaine de l’organisation simplifient les flux de connexion d’entreprise tout en maintenant la clarté et le contrôle dans les environnements comprenant plusieurs organisations. Si un locataire a configuré des domaines d’Organisation vérifiés et qu’aucun paramètre organization n’est fourni, Auth0 tente de déterminer automatiquement l’organisation de l’utilisateur en fonction des domaines vérifiés (qui ne sont pas en attente) :
  • Si exactement une Organisation correspond, Auth0 la sélectionne automatiquement et poursuit le flux d’authentification d’abord par identifiant dans le contexte de cette Organisation.
  • Si plusieurs Organisations partagent le même domaine ou le même nom (par exemple, si AdventureZ et Granite Outpost ont tous deux configuré travelco.com), Auth0 affiche un sélecteur d’Organisation afin que l’utilisateur puisse choisir. Une fois la sélection effectuée, Auth0 poursuit le flux d’authentification d’abord par identifiant.
  • Si aucune correspondance n’est trouvée, Auth0 poursuit l’authentification d’abord par identifiant standard.

Authentification d’abord par identifiant

L’objectif de l’authentification d’abord par identifiant est de déterminer vers quelle connexion ou quel fournisseur d’identité (IdP) acheminer l’utilisateur. Une fois l’organisation (s’il y en a une) déterminée, Auth0 applique l’authentification d’abord par identifiant avec Home Realm Discovery :
  • Si un paramètre connection est fourni, Auth0 l’utilise pour acheminer l’utilisateur vers cette connexion précise.
    • Sinon, Auth0 examine toutes les connexions d’entreprise activées à la fois pour l’application et pour l’organisation (le cas échéant).
Si un IdP correspondant est trouvé en fonction du domaine de courriel de l’utilisateur, Auth0 redirige l’utilisateur vers cet IdP pour l’authentifier. Si aucune correspondance n’est trouvée, ou si le domaine de courriel de l’utilisateur ne correspond à aucun IdP activé, Auth0 se rabat sur la Connexion de base de données Auth0 (si elle est activée pour l’application). Dans ce mode de repli, les utilisateurs voient l’invite de connexion de votre application au lieu de l’invite de connexion d’une organisation, ainsi que toutes les connexions activées pour l’application.
Il existe des cas d’utilisation — par exemple, lorsque plusieurs configurations de base de données sont attribuées à différentes organisations — où Auth0 ne peut pas déterminer à quel IdP le courriel d’un utilisateur est associé. Dans ces cas, sélectionnez Demander l’Organisation comme invite d’initiation de connexion ou envoyez le paramètre organization à Auth0.
Vous pouvez utiliser la Management API pour configurer l’authentification d’abord par identifiant. Plus précisément, utilisez le paramètre identifier_first du point de terminaison Update prompts settings.

Adhésion automatique

Au lieu d’inviter des utilisateurs ou de les ajouter directement à une organisation, vous pouvez vouloir permettre à tout utilisateur capable de s’authentifier auprès d’un IdP fédéré de se voir accorder l’accès à une organisation. Pour ce type de scénario, Auth0 recommande le paramètre Adhésion automatique. L’adhésion automatique est généralement déclenchée en dirigeant un utilisateur vers l’invite de connexion de l’organisation, qui peut transmettre les paramètres connection et organization pour l’utilisateur. Si l’organisation souhaitée par l’utilisateur ne peut pas être déterminée avant la connexion, le flux Demander les identifiants accorde l’adhésion à l’unique organisation pour laquelle l’adhésion automatique est configurée. Cependant, il peut arriver que vous ne puissiez pas déterminer l’organisation souhaitée par un utilisateur avant de l’envoyer se connecter. Dans ce cas, vous pouvez utiliser le flux Demander les identifiants mentionné précédemment, mais notez que l’utilisateur ne se verra accorder l’adhésion à l’organisation que si une seule organisation a cette connexion configurée comme connexion activée pour l’organisation où l’adhésion automatique est activée. Vous pouvez utiliser la Management API pour configurer l’adhésion automatique. Plus précisément, utilisez le paramètre assign_membership_on_login du point de terminaison Modifier une connexion d’organisation.