Passer au contenu principal

La disponibilité varie selon le forfait Auth0

Cette fonctionnalité est offerte avec les forfaits B2B Professional, Enterprise et Enterprise Premium. Pour en savoir plus, consultez Tarification.
Le Client Credentials Flow est utilisé par une application pour obtenir des pour elle-même plutôt que pour un utilisateur. Cela est utile dans les cas d’utilisation machine à machine, comme les bots, les CLI, les processus backend ou les démons, ou toute application qui consomme des API pour son propre compte. Même si les utilisateurs finaux ne sont pas impliqués, le Client Credentials Flow doit tout de même être limité par organisation afin de s’assurer que seules les applications autorisées peuvent accéder aux données de chaque organisation.
Pour limiter chaque requête à une organisation donnée, incluez la revendication org_id correspondante dans les jetons machine à machine. Les serveurs d’API doivent tenir compte de cette revendication et l’appliquer lors de l’autorisation de l’accès aux ressources et aux données de l’API. Pour en savoir plus, consultez Utiliser les jetons et les organisations.
L’accès machine à machine pour les organisations vous permet de définir les organisations auxquelles une application donnée peut accéder pour chaque API à l’aide du Client Credentials Flow. Pour en savoir plus, consultez les rubriques suivantes :
Lire…Pour en savoir plus…
Configurer votre application pour l’accès M2MLes paramètres généraux de l’application permettant de contrôler l’accès M2M aux organisations pour chaque API de votre locataire.
Autoriser l’accès M2MComment accorder à une application l’accès à une ou plusieurs organisations précises.
Révoquer l’accès M2MComment révoquer une autorisation permettant à une application d’accéder à une ou plusieurs organisations précises.
Auditer l’accès M2MComment vérifier l’accès M2M actuellement configuré pour chaque application et organisation dans votre locataire.
Prenons l’exemple de notre entreprise fictive Travel0 pour illustrer deux cas d’utilisation pertinents.

Ouvrir les API aux applications tierces

À l’aide des organisations Auth0 et de la , Travel0 offre un portail libre-service où les clients peuvent créer et gérer leur propre organisation. Travel0 veut permettre aux clients de créer facilement des robots pour aider les utilisateurs finaux à trouver et à acheter des aventures. Par conséquent, dans ce portail, Travel0 permet aux clients d’enregistrer leurs applications (p. ex. les robots) afin d’utiliser l’API Travel0 en leur propre nom au moyen d’un accès machine à machine. Dans ce cas d’utilisation, l’accès entre organisations doit être contrôlé correctement afin que les applications appartenant à une organisation ne puissent accéder qu’aux données de cette organisation par l’intermédiaire de l’API Travel0. L’accès machine à machine pour les organisations vous permet de configurer l’accès Client Credentials pour chaque API en l’associant à une organisation précise. Dans le diagramme suivant, les applications de notre organisation d’exemple, org_X, ne peuvent accéder à l’API Travel0 que dans le contexte d’org_X. Vous pouvez également configurer l’accès d’une même application à plusieurs organisations lorsque des agrégateurs sont utilisés. Avec l’accès M2M pour les organisations, vous contrôlez quelles applications peuvent accéder à une organisation précise au moyen d’un accès machine à machine, API par API.

Isolation des organisations pour les applications internes

Travel0 dispose également de certains processus internes et d’outils CLI qui doivent accéder à l’API Travel0 à l’aide du Client Credentials Flow. Afin d’appliquer une stratégie unifiée de contrôle d’accès à l’API, Travel0 souhaite que les requêtes provenant de ses propres applications soient limitées à une organisation précise, pour garantir que seules les données appropriées sont consultées dans chaque cas.
L’accès machine à machine aux organisations vous permet de configurer une application pour qu’elle puisse accéder à n’importe quelle organisation pour chaque API de votre locataire à l’aide du Client Credentials Flow.