Aperçu des différentes façons de vérifier les courriels des utilisateurs avec Auth0
Lorsque vous utilisez une adresse de courriel fournie par un utilisateur, il est important de vérifier que cet utilisateur y a accès. C’est particulièrement vrai chaque fois que vous envoyez un courriel à un utilisateur ou que vous utilisez le courriel comme champ d’indexation pour la recherche. Auth0 ne recommande pas d’utiliser une adresse de courriel comme moyen de valider qu’un utilisateur est bien la personne qu’il prétend être.La vérification du courriel est essentielle pour les applications qui :
utilisent les adresses de courriel comme l’un des principaux moyens d’indexer les utilisateurs
envoient des courriels aux utilisateurs
utilisent les adresses de courriel pour proposer la liaison de comptes
permettent aux utilisateurs de créer des comptes associés à une adresse de courriel
Auth0 offre plusieurs façons d’ajouter la vérification du courriel à votre application, ainsi qu’une extension du Marketplace qui oblige les utilisateurs à vérifier leur courriel avant de se connecter.
Bien que la vérification du courriel réduise le risque de compromission de comptes, elle ne constitue pas une solution parfaite. Votre application pourrait aussi nécessiter d’autres mesures de sécurité.
Il existe plusieurs façons de marquer des adresses courriel comme vérifiées ou non vérifiées. Pour déterminer quelle méthode vous convient le mieux, voici quelques questions à vous poser, seul ou avec votre équipe :
Est-ce que je stocke (ou prévois stocker) des identifiants et des mots de passe dans Auth0 (ou dans une base de données connectée par l’entremise d’Auth0) ?
Ai-je des exigences particulières en matière de vérification du courriel qui m’empêchent d’utiliser le flux intégré de vérification du courriel d’Auth0 ?
Ai-je besoin de définir en lot un grand nombre d’utilisateurs comme ayant un courriel vérifié ?
Ai-je des utilisateurs provenant d’Azure AD, d’ADFS ou d’autres connexions d’entreprise dont le courriel devra être vérifié ?
Si vous stockez des identifiants et des mots de passe dans Auth0 ou si vous utilisez une connexion de base de données personnalisée pour stocker des utilisateurs dans votre propre système, vous pouvez probablement utiliser le flux intégré de vérification du courriel d’Auth0.Si certaines exigences vous empêchent d’utiliser le flux intégré d’Auth0, ou si vous devez définir en lot un grand nombre d’utilisateurs, nous proposons des points de terminaison d’API pour vous aider.Enfin, si vous avez des utilisateurs provenant de connexions d’entreprise, certaines de ces connexions ont des processus particuliers de vérification du courriel. Pour en savoir plus, consultez Prise en charge spéciale de la vérification.
Une façon courante de vérifier les courriels avec Auth0 consiste à envoyer à l’utilisateur un lien de vérification du courriel. Lorsque l’utilisateur clique sur ce lien, l’indicateur email_verified de l’utilisateur est défini sur true.Par défaut, Auth0 envoie aux utilisateurs des liens de vérification lorsqu’ils s’inscrivent.Vous pouvez aussi personnaliser le moment où Auth0 envoie les courriels de vérification. Par exemple, si vous devez vérifier des courriels en lot ou si vous souhaitez reporter la vérification jusqu’à ce que l’utilisateur effectue une action nécessitant un courriel vérifié.Il existe deux façons de contrôler quand l’utilisateur reçoit le courriel de vérification :
Utilisez la tâche de vérification du courriel. Cela déclenche l’envoi par Auth0 du courriel de vérification à l’aide du modèle de vérification du courriel
Créez un ticket de vérification du courriel et envoyez vous-même le courriel, en y incluant le ticket que l’utilisateur doit utiliser pour vérifier son courriel
Les mots de passe à usage unique (OTP) peuvent être envoyés par courriel à chaque nouvel utilisateur au moment de la création du compte afin de s’assurer que chaque utilisateur dispose d’une adresse courriel vérifiée. Comme les liens de vérification du courriel peuvent entraîner une vérification accidentelle par des analyseurs de courriel ou par les utilisateurs eux-mêmes, les OTP garantissent que chaque utilisateur vérifie activement une adresse courriel existante. Pour utiliser les OTP, votre locataire doit avoir Universal Login, Identifiants flexibles et la connexion d’abord avec l’identifiant activés.
Les jetons OTP pour la vérification des identifiants par téléphone et par courriel ont une durée de vie de 900 secondes.
Pour configurer les OTP, accédez à Authentication > Database et sélectionnez la connexion à modifier, puis choisissez Attributes, repérez Email, sélectionnez le bouton de menu, puis activez One-Time Password (OTP).
Vérification personnalisée ou en lot avec la Management API
Cela fonctionne pour les connexions sociales et les connexions de base de données, mais pas pour les connexions d’entreprise. Gardez à l’esprit que le champ email_verified peut être remplacé par le fournisseur d’identité social si les données proviennent de celui-ci.
Dans certains cas, vous pouvez vouloir vérifier le courriel par d’autres moyens. Par exemple, vous pouvez avoir une liste d’utilisateurs à vérifier en lot, ou un autre moyen de vérifier le courriel d’un utilisateur au moyen d’un processus personnalisé que vous avez vous-même créé.Dans ces cas, vous pouvez utiliser le point de terminaison PATCH /api/v2/users pour définir email_verified sur true.
Pour les connexions d’entreprise Azure AD et ADFS, Auth0 prend en charge certains processus personnalisés de vérification du courriel. Cela peut vous aider à vous assurer que les utilisateurs provenant d’autres systèmes ont des adresses courriel vérifiées de manière précise et sécurisée. Pour en savoir plus, consultez Email Verification for Azure AD and ADFS.
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme