Configurer Token Vault

Une fois qu’un utilisateur s’authentifie auprès d’un fournisseur externe pris en charge et autorise la connexion, votre application peut accéder à Token Vault pour échanger un jeton Auth0 contre le jeton d’accès d’un fournisseur externe. Pour configurer Token Vault, vous devez :

Configurer les comptes connectés pour Token Vault pour une connexion sociale ou d’entreprise prise en charge.
Configurer votre application avec le type d’octroi Token Vault.
Configurer l’échange de jetons pour votre application :
- Échange de jeton d’actualisation
- Échange de jeton d’accès

Si vous avez déjà défini votre stratégie MFA sur Always dans l’Auth0 Dashboard, vous devez la définir sur Never pour récupérer un jeton d’accès à partir de Token Vault. Sinon, vous recevrez une erreur. Pour en savoir plus sur les différentes stratégies MFA, consultez Activer la MFA dans l’Auth0 Dashboard.Si vous devez déclencher des vérifications MFA pour des flux interactifs, activez Customize MFA Factors using Actions lorsque vous configurez la MFA pour votre locataire. Vous pouvez ensuite utiliser une Action pour déclencher une vérification MFA en fonction de la propriété event.transaction.protocol. Pour en savoir plus, consultez Personnaliser la sélection MFA pour Universal Login.

Configurer les comptes connectés pour Token Vault

Les comptes connectés pour Token Vault gèrent un profil utilisateur Auth0 unifié lié à plusieurs comptes externes. Votre application récupère ensuite les identifiants stockés dans Token Vault pour interagir avec des API externes au nom de l’utilisateur.

Si votre application utilise des Organisations, configurez la connexion, puis authentifiez l’utilisateur au sein de l’organisation cible avant d’amorcer le flux des comptes connectés. Le compte connecté et les jetons stockés restent associés au profil Auth0 de l’utilisateur.

Vous pouvez configurer les comptes connectés pour les connexions sociales et d’entreprise prises en charge. Pour en savoir plus, consultez Configurer les comptes connectés.

Configurer l’application

Configurez votre application avec le type d’octroi Token Vault à l’aide de ou de . Seuls certains types d’applications peuvent utiliser le type d’octroi Token Vault :

L’application doit être une application de première partie, c.-à-d. que la propriété is_first_party doit être définie sur true.
L’application doit être une application confidentielle avec un mécanisme d’authentification valide, c.-à-d. que la propriété token_endpoint_auth_method ne doit pas être définie sur none.
L’application doit être conforme à OIDC, c.-à-d. que la propriété oidc_conformant doit être définie sur true.

Auth0 Dashboard
Management API

Accédez à Applications > Applications.
Sélectionnez l’application que vous voulez configurer.
Sous Advanced Settings > Grant Types, sélectionnez le type d’octroi Token Vault.
Sélectionnez Save Changes.

Pour activer Token Vault pour une application, effectuez un appel PATCH vers le point de terminaison Update a Client afin d’ajouter le type d’octroi urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token à l’objet JSON de l’application :

curl --location --request PATCH 'https://{yourDomain}/api/v2/clients/{clientId}' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_ACCESS_TOKEN>' \
  --data '{
    "grant_types": [
      "authorization_code",
      "refresh_token",
      "urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token"
    ]
  }'

Configurer l’échange de jetons

Pour appeler les API d’un fournisseur externe, votre application doit échanger un jeton Auth0 valide contre un jeton d’accès de ce fournisseur externe stocké dans Token Vault. Le type de jeton Auth0 utilisé pour l’échange dépend de votre type d’application et de votre cas d’utilisation. Pour en savoir plus, consultez Échanges de jetons pris en charge.

Configurer l’échange du jeton d’actualisation

Pour utiliser l’échange du jeton d’actualisation avec Token Vault, vous devez configurer votre application avec les types d’octroi suivants :

Code d’autorisation : permet à votre application d’effectuer la connexion initiale de l’utilisateur, au cours de laquelle elle échange un code d’autorisation temporaire contre un jeton d’accès Auth0, un jeton d’actualisation et un jeton d’identité.
Jeton d’actualisation : permet à votre application d’utiliser un jeton d’actualisation Auth0 de longue durée pour demander un nouveau jeton d’accès Auth0 sans que l’utilisateur ait à se reconnecter.
Token Vault : permet à votre application d’échanger un jeton d’actualisation Auth0 contre le jeton d’accès d’un fournisseur externe stocké dans Token Vault.

Auth0 Dashboard
Management API

Pour configurer votre application pour l’échange du jeton d’actualisation :

Accédez à Applications > Applications.
Sélectionnez l’application que vous souhaitez configurer.
Sous Advanced Settings > Grant Types, sélectionnez les types d’octroi Refresh Token, Authorization Code et Token Vault.
Sélectionnez Save Changes.

Pour configurer votre application pour l’échange du jeton d’actualisation, effectuez un appel PATCH au point de terminaison Update a Client afin d’ajouter les types d’octroi refresh_token, authorization_code, et urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token à l’objet JSON de l’application :

curl --location --request PATCH 'https://{yourDomain}/api/v2/clients/{clientId}' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_ACCESS_TOKEN>' \
  --data '{
    "grant_types": [
      "authorization_code",
      "refresh_token",
      "urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token"
    ]
  }'

Configurer l’échange de jetons d’accès

Pour utiliser l’échange de jetons d’accès avec Token Vault, vous devez :

Configurer votre SPA avec le type d’octroi authorization_code.
Créer une API backend pour laquelle la SPA peut demander un jeton d’accès Auth0 en la définissant comme audience.
Créer un client API personnalisé lié à l’API backend avec le type d’octroi Token Vault activé.

Configurez votre SPA

Configurez votre SPA avec le type d’octroi authorization_code. Cela permet à la SPA de demander au serveur d’autorisation Auth0 un jeton d’accès Auth0 avec le scope de l’API backend.

Auth0 Dashboard
Management API

Pour configurer votre SPA avec le type d’octroi authorization_code :

Accédez à Applications > Applications.
Sélectionnez l’application que vous souhaitez configurer.
Sous Advanced Settings > Grant Types, sélectionnez le type d’octroi Authorization Code.
Sélectionnez Save Changes.

Pour configurer votre SPA, effectuez un appel PATCH au point de terminaison Mettre à jour une application pour ajouter le type d’octroi authorization_code à l’objet JSON de l’application :

curl --request PATCH 'https://{yourDomain}/api/v2/clients/{clientId}' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>' \
  --data '{
    "grant_types": [
      "authorization_code"
    ]
  }'

Créer une API backend

Créez une API backend avec un identifiant unique et les scopes voulus, qui servira à effectuer l’échange du jeton d’accès avec le serveur d’autorisation Auth0.

Auth0 Dashboard
Management API

Pour créer une API backend dans l’Auth0 Dashboard :

Accédez à Applications > APIs, puis cliquez sur Create API.
Pour créer votre API, suivez les instructions dans Register APIs. Remarque : Une fois l’identifiant de votre API défini, vous ne pouvez plus le modifier.
Cliquez sur Create.
Une fois votre API créée, vous devez lui ajouter des scopes. Accédez à l’onglet Permissions. Sous Add a Permission, ajoutez vos scopes.

Pour créer une API backend à l’aide de la Management API, envoyez une requête POST au point de terminaison /resource-servers :

curl --request POST 'https://{yourDomain}/api/v2/resource-servers' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>' \
  --data '{
    "name": "My API Resource Server",
    "identifier": "https://my-api.example.com",
    "scopes": [
      {
        "value": "read:calendar",
        "description": "Read calendar events"
      },
      {
        "value": "write:calendar",
        "description": "Write calendar events"
      }
    ]
  }'

Créer un client API personnalisé

Pour l’échange de jeton d’accès, vous devez créer un client API personnalisé lié à l’API backend. La SPA pourra demander un jeton d’accès pour l’API backend en la spécifiant comme audience dans la requête d’autorisation envoyée au serveur d’autorisation Auth0. Le client API personnalisé a le même identifiant que votre API backend, et le type d’octroi Token Vault y est activé. Lorsque l’API backend effectue l’échange de jeton d’accès, elle s’authentifie en transmettant les informations d’identification du client API personnalisé au serveur d’autorisation Auth0, ce qui prouve qu’il s’agit bien de la même entité que celle enregistrée dans l’Auth0 Dashboard.

Auth0 Dashboard
Management API

Pour créer un client API personnalisé dans l’Auth0 Dashboard :

Accédez à Applications > APIs et sélectionnez votre API backend.
Sélectionnez Add Application et entrez un nom d’application.
Cliquez sur Add. Une fois l’application créée, cliquez sur Configure Application et faites défiler jusqu’à Application Properties. Le champ Application Type doit indiquer Custom API Client.
Sous Advanced Settings > Grant Types, le type d’octroi Token Vault devrait déjà être activé pour le client API personnalisé.

L’exemple de code suivant crée un client API personnalisé avec le même identifiant que votre API backend et ajoute le type d’octroi Token Vault :

curl --request POST 'https://{yourDomain}/api/v2/clients' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>' \
  --data '{
    "name": "Custom API Client",
    "app_type": "resource_server",
    "resource_server_identifier": "https://my-api.example.com",
    "grant_types": [
      "urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token"
    ]
  }'

Paramètre	Description
`name`	Nom de votre client API personnalisé.
`app_type`	Le type d’application de votre client API personnalisé. Pour enregistrer le client comme serveur de ressources, définissez-le à `resource_server`.
`resource_server_identifier`	L’identifiant unique de votre client API personnalisé. Définissez-le sur l’audience de votre API backend, c.-à-d. `https://my-api.example.com.`
`grant_types`	Les types d’octroi activés pour votre client API personnalisé. Définissez-le sur le type d’octroi Token Vault : `urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token`.

Une fois le client API personnalisé créé avec succès, l’utilisateur sera redirigé vers ce client plutôt que vers la SPA après la connexion.

​Configurer les comptes connectés pour Token Vault

​Configurer l’application

​Configurer l’échange de jetons

​Configurer l’échange du jeton d’actualisation

​Configurer l’échange de jetons d’accès

​Configurez votre SPA

​Créer une API backend

​Créer un client API personnalisé

Configurer les comptes connectés pour Token Vault

Configurer l’application

Configurer l’échange de jetons

Configurer l’échange du jeton d’actualisation

Configurer l’échange de jetons d’accès

Configurez votre SPA

Créer une API backend

Créer un client API personnalisé