Passer au contenu principal
Cette section explique comment configurer l’environnement de test de bout en bout pour la Resource App. En configurant votre locataire Auth0 comme serveur d’autorisation de la Resource App, votre application SaaS peut commencer à accepter les requêtes ID-JAG entrantes sans nécessiter de modification du code. Votre API SaaS peut ainsi générer des jetons d’accès en réponse à ces requêtes, ce qui permet aux agents d’IA et aux autres applications d’utiliser votre API en toute transparence.
Ce guide suppose que vous utilisez Okta comme fournisseur d’identité d’entreprise (IdP) et que vous disposez d’un accès administratif à un locataire Okta que vous pouvez utiliser pour les tests. Si ce n’est pas le cas, consultez Créer et configurer votre locataire Okta.
Pour configurer votre environnement de test de bout en bout pour la Resource App :
  • Configurez et enregistrez votre Resource App : cela comprend la configuration de votre locataire Auth0 et l’enregistrement de votre application SaaS en tant que Resource App auprès d’Okta. Pour en savoir plus, consultez Configuration de la Resource App.
  • Configurez la Requesting App pour tester le flux de bout en bout : cela comprend l’enregistrement d’une Requesting App de test dans votre locataire Auth0 et la mise à jour d’Okta pour l’associer à votre Resource App. Pour en savoir plus, consultez Configuration de la Requesting App.
  • Configurez la façon dont votre locataire Auth0 établit une fédération avec le fournisseur d’identité d’entreprise (IdP) de votre client : dans notre environnement de test, le fournisseur d’identité d’entreprise (IdP) sera votre locataire de test Okta, représentant l’un de vos clients d’entreprise. Pour en savoir plus, consultez Fédération avec le fournisseur d’identité d’entreprise (IdP) et configuration de l’Organisation.
  • Gérez Cross App Access dans Okta : configurez les connexions agent-à-application et application-à-application dans la console d’administration Okta. Pour en savoir plus, consultez Gérer Cross App Access dans Okta.
L’image suivante illustre les responsabilités des différents profils dans un flux XAA prêt pour la production :

Créez et configurez votre locataire Okta

Pour configurer votre environnement de test de bout en bout pour la Resource App, vous devez créer et configurer votre locataire Okta pour Cross App Access.
  • Sur le site pour développeurs d’Okta, inscrivez-vous au forfait Okta Integrator Free Plan. Une fois votre inscription terminée, vous devriez être redirigé vers votre nouveau locataire Okta.
  • Dans la console d’administration Okta, accédez à Settings > Features. Dans la section Early access features, activez Cross App Access.

Configuration de l’application ressource

Pour configurer votre application ressource, vous devez :

Créer l’API dans Auth0

Si vous avez déjà créé une API personnalisée dans votre locataire Auth0, vous pouvez ignorer cette section.
Dans l’Auth0 Dashboard, enregistrez une API personnalisée pour représenter votre API SaaS dans votre locataire Auth0.
Après avoir créé l’API, vous pouvez également définir son audience comme Audience par défaut pour votre locataire Auth0 dans les Paramètres du locataire. Vous pouvez aussi utiliser les politiques d’accès aux API pour les applications pour contrôler de façon granulaire quelles applications ont accès à votre API et pour quels scopes.

Créer l’application ressource dans Auth0

Si votre locataire Auth0 a déjà une ou plusieurs applications prêtes à se connecter à votre application SaaS, vous pouvez ignorer cette section.
Dans Auth0 Dashboard, créez une application, par exemple une application Web classique, une SPA ou une application native, qui sert d’interface principale permettant aux utilisateurs finaux d’accéder aux fonctionnalités de votre application SaaS.

Enregistrez l’application de ressource dans Okta

Vous devez enregistrer votre application SaaS dans l’Okta Integration Network (OIN) pour qu’elle soit considérée comme une application de ressource valide. Pour enregistrer votre application SaaS en tant qu’application de ressource dans Okta, vous avez deux options :
  • Pour effectuer un test rapidement, nous vous recommandons d’utiliser l’application Todo0, déjà enregistrée dans l’OIN. Dans la console d’administration Okta, accédez à Applications > Applications > Browse App Catalog et recherchez Todo0. Sélectionnez-la, puis ajoutez l’intégration.
  • Vous pouvez aussi demander l’enregistrement d’une nouvelle application dans l’OIN à partir de votre locataire Okta. Pour en savoir plus, consultez Submission process for SSO and SCIM integrations. Pour accélérer le processus d’enregistrement, communiquez avec votre représentant Auth0 ou Okta.
Dans un environnement de production, vos clients d’entreprise installeront votre application SaaS à partir du catalogue OIN lorsqu’ils configureront leur IdP.
De plus, vous devez fournir à Okta l’URL de l’émetteur de votre locataire Auth0, associée à votre application de ressource. Les applications requérantes utilisent l’URL de l’émetteur pour demander à se connecter à votre application de ressource. Pour en savoir plus, consultez Test the end-to-end XAA flow.

Configuration de l’application requérante

Dans un environnement de production, vous configurez chaque application requérante une seule fois pour établir sa connexion avec votre application ressource.
Pour configurer votre application requérante, vous devez :

Créer l’application demandeuse dans Auth0

Pour tester l’environnement de bout en bout, créez et enregistrez une application qui joue le rôle d’application demandeuse. L’application doit être une application confidentielle capable de stocker des secrets client, comme une application Web. Pour créer une application représentant l’application demandeuse dans votre locataire Auth0 :
  • Accédez à Applications > Applications et sélectionnez Create Application.
  • Saisissez un nom, puis sélectionnez Regular Web Application.
  • Une fois l’application créée, faites défiler la page jusqu’à Settings et activez le bouton bascule Cross App Access.
Une fois votre application créée et configurée, vous devez fournir à Okta le client_id de l’application ainsi que l’URL d’émetteur de votre locataire Auth0. Cela permet d’établir la connexion entre l’application demandeuse, identifiée par le client_id, et l’application de ressources, identifiée par l’URL d’émetteur. Pour en savoir plus, consultez Tester le flux XAA de bout en bout.

Enregistrer l’application demandeuse dans Okta

Dans un environnement de production, le développeur de l’application demandeuse enregistre celle-ci dans l’Okta Integration Network (OIN). Les clients d’entreprise installeront l’application demandeuse à partir du catalogue OIN lors de la configuration de leur IdP.
Vous devez enregistrer l’application dans l’Okta Integration Network (OIN) pour qu’elle soit considérée comme une application demandeuse XAA valide lorsque vous utilisez Okta comme IdP d’entreprise. Pour enregistrer l’application demandeuse dans Okta, vous avez deux options :
  • Pour une configuration de test rapide, nous vous recommandons d’utiliser l’application Agent0, déjà enregistrée dans l’OIN. Dans la console d’administration Okta, accédez à Applications > Applications > Browse App Catalog et recherchez Agent0. Sélectionnez-la, puis ajoutez l’intégration.
  • Vous pouvez aussi demander l’enregistrement d’une nouvelle application dans l’OIN. Pour en savoir plus, consultez Submission process for SSO and SCIM integrations. Pour accélérer le processus d’enregistrement, communiquez avec votre représentant Auth0 ou Okta.
Comme l’application demandeuse sert à authentifier les employés de l’entreprise avec Okta, vous devez configurer la stratégie de connexion de l’application dans Okta.
  1. Accédez à Applications > Applications et sélectionnez l’application (p. ex. Agent0).
  2. Sous Sign On, sélectionnez Edit et ajoutez l’URL de rappel de l’application demandeuse dans le champ Redirect URI. Ajustez la valeur de Redirect URI selon l’application de test que vous souhaitez utiliser. Pour en savoir plus, consultez Tester le flux XAA de bout en bout.
  3. Sélectionnez Save.
Enfin, autorisez votre utilisateur de test à ouvrir une session dans l’application demandeuse dans Okta. Dans la console d’administration Okta :
  1. Accédez à Applications et sélectionnez l’application (p. ex. Agent0).
  2. Sélectionnez Assign > Assign to People et choisissez votre utilisateur de test.
  3. Sélectionnez Save.

Fédération avec l’IdP d’entreprise et la configuration de l’organisation

Dans un environnement de production, vous configurez une seule fois chacun de vos clients d’entreprise afin de le fédérer avec votre locataire Auth0. Auth0 ajoutera la prise en charge du SSO en libre-service dans de futures versions, ce qui vous permettra de déléguer la configuration XAA à vos clients d’entreprise lors de la configuration du SSO.
Vous devez fédérer votre locataire Auth0, qui fait office de serveur d’autorisation pour votre application de ressources, avec le locataire Okta de votre client d’entreprise. Cette fédération établit une relation de confiance cryptographique, ce qui permet à votre application de valider et d’accepter les assertions signées (ID-JAG) émises par l’IdP du client. Pour tester le flux XAA de bout en bout pour plusieurs clients d’entreprise connectés à votre application de ressources, vous pouvez répéter les étapes de cette section pour plusieurs connexions Okta Workforce Enterprise dans votre locataire Auth0. Chaque connexion correspond à un locataire de test Okta distinct, chaque locataire représentant un client d’entreprise différent.

Configurer une connexion Okta Workforce Enterprise

Utilisez le client_id et le client_secret de votre application ressource pour créer une connexion Okta Workforce Enterprise dans votre locataire Auth0. Lors de la création de la connexion Okta Workforce Enterprise, activez le rôle Cross App Access - Resource Application. Cela permet à votre application ressource d’accepter les ID-JAG émis par l’IdP d’entreprise associé à cette connexion, en l’occurrence votre locataire Okta.
Après avoir créé la connexion Okta Workforce Enterprise, copiez l’URL de rappel fournie par Auth0 dans les paramètres de la connexion. Vous en aurez besoin pour configurer les stratégies de connexion de l’application ressource dans votre locataire Okta. Dans la console d’administration Okta :
  1. Accédez à Applications > Applications et sélectionnez l’application (p. ex. Todo0).
  2. Dans les paramètres Sign On, sélectionnez Edit et ajoutez l’URL de rappel dans le champ Redirect URI.
  3. Sélectionnez Save.
Pour tester la connexion Okta Workforce Enterprise, créez un utilisateur de test et accordez-lui l’autorisation de se connecter à l’application requérante. Dans la console d’administration Okta :
  • Accédez à Applications et sélectionnez l’application (p. ex. Agent0).
  • Sélectionnez Assign > Assign to People et choisissez votre utilisateur de test.
  • Sélectionnez Save.
Dans le Auth0 Dashboard :
  • Accédez à Authentication > Enterprise > Okta Workforce :
    • Sélectionnez la connexion Okta Workforce Enterprise que vous avez créée, puis l’onglet Applications. Ensuite, activez l’application requérante que vous avez créée pour cette connexion.
    • Revenez à la liste des connexions Okta Workforce. Sélectionnez les trois points à droite de votre connexion, puis Try. Vous serez redirigé vers votre locataire Okta pour vous authentifier et terminer la connexion avec votre utilisateur de test.

Configurer une Organisation

Au besoin, si vous souhaitez qu’un client d’entreprise utilise les Organisations, créez une Organisation et activez la connexion Okta Workforce Enterprise pour cette Organisation. Cela associe automatiquement les jetons d’accès générés avec XAA, dans le contexte de cette connexion, à l’org_id correspondant si l’utilisateur cible est membre de l’Organisation.
Vous pouvez aussi configurer le comportement des Organisations de l’application demandeuse afin de déterminer si leur utilisation est requise ou autorisée. Nous vous recommandons de commencer vos tests avec Both, ce qui permet aux utilisateurs d’ouvrir une session en tant que membres d’une Organisation ou de s’inscrire avec un compte personnel.