Passer au contenu principal
La liste de contrôle d’accès (ACL) du locataire vous permet de gérer le trafic vers vos services Auth0 au moyen de règles configurables. Elle vous aide à protéger votre locataire et à préserver vos limites de débit contre les menaces potentielles, comme les attaques par déni de service (DoS), et garantit que seuls les utilisateurs légitimes peuvent accéder à vos applications.

Fonctionnement

Lorsque votre locataire ou reçoit une requête, ACL du locataire traite cette requête, puis détermine comment y répondre selon les règles que vous avez configurées. Par exemple, si vous adoptez les protocoles Model Context Protocol (MCP) au sein de votre locataire, vous pouvez utiliser le scope dcr pour atténuer des risques comme l’enregistrement non autorisé d’applications ou les tentatives d’hameçonnage au moyen de noms d’application trompeurs. Pour en savoir plus, consultez Références.

Rules

Les Rules constituent les éléments de base de la fonctionnalité ACL du locataire. Une règle se compose des éléments suivants :
  • Signal : Le signal est un élément d’information permettant l’identification fourni par la requête entrante, comme l’adresse IP, la géolocalisation ou l’agent utilisateur.
  • Condition : La condition correspond à la combinaison d’un opérateur (comme match) et d’un ensemble de valeurs (comme une liste d’adresses IP).
  • Action : L’action est la directive que votre règle exécute si les critères sont remplis, par exemple autoriser, bloquer ou rediriger.
  • Scope : Le scope indique à quels ensembles de points de terminaison la règle s’applique, notamment l’Authentication API, la Management API ou l’ensemble de votre locataire.
  • Priorité : La priorité définit l’ordre d’exécution de la règle par rapport aux autres règles.

Importance de la priorité

Il est important de déterminer la bonne priorité pour vos règles, car une logique d’exécution stricte doit être respectée :
  • Ordre d’évaluation : ACL du locataire évalue les règles par ordre numérique, en commençant par les valeurs les plus faibles. Par exemple, une règle dont la priorité est 1 s’exécute avant une règle de priorité 2, et une règle de priorité 3 s’exécute avant une règle de priorité 4.
  • Arrêt après correspondance : Si les conditions d’une règle sont remplies, ACL du locataire exécute immédiatement l’action de la règle et n’évalue pas les règles ni les listes suivantes.​
  • Exception du mode de surveillance : Si les conditions d’une règle sont remplies, mais qu’elle est en mode de surveillance, ACL du locataire n’exécute aucune action et passe à la règle suivante.
Une attribution soignée des priorités vous permet de créer des politiques de contrôle d’accès granulaires adaptées précisément à vos besoins.

Mode de surveillance

Lorsqu’une règle est en mode de surveillance, ACL du locataire l’évalue comme d’habitude et génère un événement dans le journal du locataire, mais n’exécute pas l’action de la règle et n’interrompt pas l’évaluation des règles et des listes suivantes. Le mode de surveillance est la meilleure façon de tester l’incidence de votre règle ACL du locataire sur le trafic entrant sans perturber votre configuration ACL du locataire actuelle. Vous pouvez activer ou désactiver le mode de surveillance d’une règle en mettant à jour l’objet action. Pour en savoir plus, consultez Configurer Rules.

Journalisation

Un événement de journalisation (acls_summary) est créé toutes les 10 minutes pour chaque règle ACL du locataire, avec des détails sur la façon dont cette règle affecte le trafic.
acls_summary
object

Restrictions et limites

  • Les clients disposant d’un forfait Enterprise peuvent créer 1 ACL de locataire.
  • Les clients disposant d’un forfait Enterprise avec le module complémentaire Attack Protection peuvent créer jusqu’à 10 ACL de locataire.
  • Chaque ACL de locataire peut inclure jusqu’à 20 entrées par identifiant source (comme IPv4, CIDR, etc.).
  • L’identifiant User Agent n’est pas pris en charge lorsque vous utilisez des domaines personnalisés autogérés.
  • L’en-tête auth0-fowarded-for n’est pas pris en charge.

Pour en savoir plus