Dépréciations et migrations

Nous migrons actuellement les clients vers de nouveaux comportements pour toutes les dépréciations indiquées ci-dessous. Veuillez les examiner attentivement afin de vous assurer d’avoir pris toutes les mesures nécessaires pour éviter toute interruption de service. Vous pouvez aussi rechercher dans les journaux du locataire les erreurs causées par l’utilisation de fonctionnalités obsolètes. Pour en savoir plus, consultez Rechercher dans les journaux les erreurs liées à la dépréciation. Si vous avez des questions, consultez la Communauté ou créez un billet dans notre Support Center. Pour en savoir plus, vous pouvez aussi consulter le processus de migration.

Sécurité renforcée pour les applications tierces

Obsolète : 23 avril 2026 Fin de vie : 23 octobre 2026 Auth0 introduit des contrôles de sécurité renforcés pour les applications tierces, conformes aux pratiques exemplaires d’OAuth 2.1. À compter de la date de fin de vie, lorsque vous créez une nouvelle application tierce au moyen de POST /api/v2/clients sans préciser third_party_security_mode, Auth0 appliquera automatiquement les contrôles de sécurité renforcés (strict). Ce changement touche uniquement les locataires qui utilisaient des applications tierces avant le 23 avril 2026, et seulement les applications nouvellement créées. Vos applications tierces existantes continueront de fonctionner comme aujourd’hui, sans qu’aucune modification soit nécessaire. Les contrôles renforcés offrent une autorisation explicite de l’API, l’utilisation obligatoire de PKCE et un ensemble de fonctionnalités plus ciblé, conforme à OAuth 2.1 et aux pratiques exemplaires en matière de sécurité. Pour vous préparer à ce changement, consultez Migrer vers la sécurité renforcée pour les applications tierces pour vérifier si vous êtes concerné, configurer les autorisations d’API par défaut et choisir votre approche de migration.

Ancienne gestion des applications activées d’une connexion

Obsolète : 13 janvier 2026 Fin de vie : 13 juillet 2026 Le champ enabled_clients, dans l’objet de connexion du Management API, est obsolète dans les cas suivants :

Récupération de plusieurs connexions à l’aide de (GET - /api/v2/connections).
Récupération d’une connexion à l’aide de (GET - /api/v2/connections/{id}).
Mise à jour d’une connexion à l’aide de (PATCH - /api/v2/connections/{id}).

Comme solution de rechange à cette fonctionnalité obsolète, deux nouveaux points de terminaison du Management API sont offerts :

Pour vous préparer à ce changement et vous assurer que vos intégrations continuent de fonctionner sans problème, consultez Migrer la gestion des applications activées vers des points de terminaison de connexion dédiés pour vérifier si vous êtes touché et migrer vers les nouveaux points de terminaison.

Suites de chiffrement TLS 1.2 faibles

Obsolète : 10 décembre 2025 Fin de vie : 10 juin 2026 Après la date de fin de vie, nous exigerons l’utilisation de suites de chiffrement modernes pour se connecter aux points de terminaison de service et aux applications Web d’Auth0. Nous cesserons de prendre en charge les suites de chiffrement TLS 1.2 qui n’offrent plus un niveau de sécurité suffisant pour protéger les communications réseau. Plus précisément, ce changement aux suites de chiffrement prises en charge s’applique à ce qui suit :

les domaines par défaut des locataires en nuage public et en nuage privé; par exemple, [tenant_name].eu.auth0.com.
- les domaines personnalisés des locataires en nuage public et en nuage privé.
- les applications Web associées au service, comme le Auth0 Dashboard (manage.auth0.com) ou le Marketplace (marketplace.auth0.com).
- le réseau de diffusion de contenu (CDN) d’Auth0. Pour en savoir plus, consultez Auth0 Public Cloud Service Endpoints.

La liste des suites de chiffrement retirées figure ci-dessous. Elle contient le code hexadécimal unique qui identifie chaque suite de chiffrement ainsi que son nom IANA; pour les noms OpenSSL correspondants, suivez les liens vers ciphersuite.info. Suites de chiffrement TLS 1.2 dont le retrait est prévu :

0xC0, 0x09 - TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- 0xC0, 0x0A - TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- 0xC0, 0x23 - TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- 0xC0, 0x24 - TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- 0xC0, 0x13 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- 0xC0, 0x14 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- 0xC0, 0x27 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- 0xC0, 0x28 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- 0x00, 0x9C - TLS_RSA_WITH_AES_128_GCM_SHA256
- 0x00, 0x2F - TLS_RSA_WITH_AES_128_CBC_SHA
- 0x00, 0x9D - TLS_RSA_WITH_AES_256_GCM_SHA384
- 0x00, 0x35 - TLS_RSA_WITH_AES_256_CBC_SHA
- 0x00, 0x3C - TLS_RSA_WITH_AES_128_CBC_SHA256
- 0x00, 0x3D - TLS_RSA_WITH_AES_256_CBC_SHA256

Invite pour le nom de l’organisation sans SSO

Obsolète : 31 octobre 2025 Fin de vie : 1 mai 2026 Les flux de connexion lancés dans le contexte d’applications associées à des utilisateurs d’entreprise (organization_usage=require) et configurées pour demander l’organisation au début du flux de connexion (organization_require_behavior=pre_login_prompt) tiendront compte d’une session authentifiée existante. Auparavant, le service demandait à l’utilisateur le nom de l’organisation, puis celui-ci devait ensuite se connecter. Par exemple, un utilisateur ayant un compte protégé par mot de passe devait ressaisir ses identifiants même si une session authentifiée était valide pour l’organisation sélectionnée. Obsolète : 28 octobre 2025 Fin de vie : 28 avril 2026 Auth0 recommande, lorsque possible, de passer à des URI de rappel HTTPS à l’aide des liens d’application Android et des liens universels d’Apple pour toutes les applications natives qui utilisent le flux de code d’autorisation, afin de renforcer la sécurité et d’atténuer les risques d’usurpation d’application et d’attaques d’hameçonnage. De plus, Auth0 met en place une nouvelle invite de confirmation de connexion pour les requêtes d’authentification qui utilisent des schémas d’URI personnalisés ou des URI de bouclage comme URI de rappel. Cette invite s’affichera dans les cas où une réponse était auparavant renvoyée sans interaction de l’utilisateur. Consultez Migrer vers la confirmation par l’utilisateur final pour les URI de rappel non vérifiables pour en savoir plus.

Validation de l’audience pour l’authentification par JWT à clé privée

Obsolète : 6 octobre 2025 Fin de vie : 8 avril 2025 Lors de la validation des assertions JWT utilisées pour l’authentification des applications clientes, Auth0 appliquera des exigences plus strictes et n’acceptera que l’identifiant d’émetteur d’un locataire, sous forme d’une seule chaîne JSON, dans la revendication aud (audience). La possibilité de fournir une revendication aud selon l’une ou l’autre des approches ci-dessous est obsolète, et le service cessera de les prendre en charge après la date de fin de vie :

Un tableau JSON de chaînes, à condition que l’une des entrées contienne un identifiant d’émetteur valide ou une URL de point de terminaison valide pour le locataire et le point de terminaison correspondants auxquels l’application s’authentifie.
Une seule chaîne JSON représentant une URL de point de terminaison valide pour le locataire et le point de terminaison correspondants auxquels l’application s’authentifie.

Avant la date de fin de vie, les connexions d’entreprise OIDC configurées pour utiliser JWT à clé privée dans les requêtes authentifiées vers le fournisseur d’identité en amont prendront en charge l’utilisation de l’identifiant d’émetteur applicable, représenté sous forme de chaîne JSON dans la revendication « aud » incluse dans les assertions JWT.

Attributs étendus dans les connexions de l’API d’identité Azure Active Directory (v1)

Obsolète : 18 juin 2025 Fin de vie : 1er septembre 2025 En raison de la dépréciation d’Azure AD Graph et de la mise hors service prévue, Auth0 ne prendra plus en charge l’activation des options liées aux attributs étendus dans les connexions Microsoft Azure AD (strategy=waad) configurées pour utiliser l’API d’identité Azure Active Directory (v1). Si vous avez reçu une notification par courriel, un ou plusieurs de vos locataires pourraient avoir une connexion Microsoft Azure AD ciblant l’API d’identité Azure Active Directory (v1), configurée pour récupérer des attributs étendus, et pourraient donc être touchés. Vous devez vérifier les locataires concernés. Pour les connexions qui dépendent de cette fonctionnalité obsolète, vous devez soit :

Mettre à jour les connexions afin qu’elles ciblent Microsoft Identity Platform (v2), de façon à utiliser les points de terminaison Microsoft Graph au lieu d’Azure AD Graph, désormais obsolète, lors de la récupération des informations sur les attributs étendus.
Désactiver toutes les options liées aux attributs étendus.

Bien que la deuxième option ci-dessus vous permette de conserver des connexions ciblant l’API d’identité Azure Active Directory (v1) si les informations étendues ne sont pas nécessaires, la recommandation générale est de cibler Microsoft Identity Platform (v2). Pour en savoir plus, consultez Connectez votre application à Microsoft Azure Active Director. Pour plus d’informations sur cette dépréciation, communiquez avec l’assistance Auth0.

Extension Real-Time Webtask Logs

Obsolète : 18 juin 2025 Fin de vie : 16 septembre 2025 L’extension Real-time Webtask Logs est obsolète et sa fin de vie (EOL) est prévue après le 16 septembre 2025. En guise de remplacement, la fonctionnalité journaux en temps réel des Actions est offerte directement dans l’Auth0 Dashboard. L’extension ne sera plus offerte pour les nouvelles installations, mais les locataires ayant déjà installé l’extension conserveront l’accès jusqu’à la date de fin de vie prévue.

Supprimer l’accès à certaines propriétés de requête d’événement dans Actions

Obsolète : 18 juin 2025 Fin de vie : 16 septembre 2025 Auth0 restreindra l’accès à certains noms de propriétés supplémentaires dans les objets event.request.query et event.request.body lors de l’exécution des Actions pour les déclencheurs post-login et credentials-exchange. Seuls les locataires identifiés comme utilisant Actions pour faire référence à des propriétés de requête visées par ces restrictions conserveront l’accès jusqu’au 16 septembre 2025. Le service restreindra les noms de propriétés suivants dans les objets liés à la requête :

auth_session
authn_response
client_secret
client_assertion
refresh_token

Plusieurs Actions pour les déclencheurs de fournisseurs de téléphone et de courriel personnalisés

Obsolète : 16 juin 2025 Fin de vie : 16 décembre 2025 Auth0 fixe à une seule Action le nombre maximal d’Actions associées aux déclencheurs suivants :

custom-phone-provider
custom-email-provider

Cette limitation s’applique au point de terminaison Create an Action de la Management API (POST - /api/v2/actions/actions). Une fois cette nouvelle limite en vigueur pour un locataire donné, toute tentative de créer plusieurs actions pour ces déclencheurs échouera.

Flux de déblocage par courriel non personnalisable de la protection contre les attaques par force brute

Obsolète : 9 juin 2025 Fin de vie : 9 décembre 2025 Une version mise à jour du flux de déblocage par courriel pour la protection contre les attaques par force brute est offerte. Elle prend en charge la personnalisation et la localisation via Universal Login, et améliore l’expérience lorsque des analyseurs de sécurité des courriels traitent le courriel de déblocage.

Champ `fromSandbox` dans les réponses d’erreur de l’Authentication API

Obsolète : 11 juin 2025 Fin de vie : 11 décembre 2025 Les réponses d’erreur de l’Authentication API ne renverront plus le champ fromSandbox pour les flux nécessitant l’invocation d’un script personnalisé de base de données. Par exemple, une réponse d’erreur d’API dans le contexte d’un flux d’inscription d’un utilisateur final pour une connexion de base de données personnalisée ne renverra plus ce champ. Obsolète : 13 mai 2025 Fin de vie : 13 novembre 2025 Lorsque vous mettez à jour l’hôte, le port ou le nom d’utilisateur d’un fournisseur de courriel SMTP au moyen d’une requête PATCH vers le point de terminaison /api/v2/emails/provider, vous devrez peut-être préciser un mot de passe pour le champ credentials.smtp_pass. L’objet credentials d’un fournisseur de courriel SMTP prend en charge les champs suivants :

credentials.smtp_pass : mot de passe du fournisseur de courriel SMTP
credentials.smtp_host : hôte du fournisseur de courriel SMTP
credentials.smtp_port : port du fournisseur de courriel SMTP
credentials.smtp_user : nom d’utilisateur du fournisseur de courriel SMTP

Auth0 exige une valeur explicite pour le champ credentials.smtp_pass dans les cas suivants :

Lorsque vous mettez à jour les champs credentials.smtp_host, credentials.smtp_port ou credentials.smtp_user d’un fournisseur de courriel SMTP avec une valeur différente de la valeur existante, ou lorsque vous ne mettez à jour qu’un sous-ensemble de ces trois champs.

Auth0 n’exige pas de valeur explicite pour le champ credentials.smtp_pass dans les cas suivants :

Lorsque vous mettez à jour un fournisseur de courriel SMTP et que le corps de la requête inclut les mêmes valeurs que les valeurs existantes pour les champs credentials.smtp_host, credentials.smtp_port et credentials.smtp_user.

Pagination par décalage sans restriction dans la Management API des connexions

Obsolète : 29 avril 2025 Fin de vie : 27 octobre 2025 La pagination par décalage offerte par le point de terminaison obtenir toutes les connexions de la Management API ne permettra plus de récupérer un résultat paginé au-delà des 1000 premières connexions. Par exemple, le service renverra une réponse d’erreur si page=30&per_page=50 ou page=15&per_page=100 sont utilisés. Dans les deux cas, le produit du nombre d’enregistrements demandés par page et de l’indice de page demandé plus un (pour tenir compte du fait que l’indice de page commence à zéro) fait en sorte que la requête dépasse les 1000 premières connexions. Comme indiqué ci-dessus, avec une taille de page de 50, le dernier indice de page que vous pouvez demander sans erreur est 19 (page=19&per_page=50), et avec la taille de page maximale de 100, vous pouvez demander jusqu’à l’indice de page 9 (page=9&per_page=100). Les cas qui dépassent la limite déclenchent l’erreur même si le locataire associé à la requête compte moins de 1000 connexions.

Environnements d’exécution pour l’extensibilité de Node.js 12 et 16

Obsolète: 10 février 2025 Fin de vie: 15 août 2025 Les environnements d’exécution pour l’extensibilité de Node.js 12 et 16 deviendront progressivement indisponibles dans l’ensemble des locataires Auth0. Une fois retirés, toutes les intégrations d’extensibilité, comme Actions, Rules, Hooks, les connexions de base de données personnalisées et les connexions sociales personnalisées, devront s’exécuter sur Node 22. Pour consulter les ressources techniques pertinentes pour migrer vers Node 22, lisez Migrer de Node 12 et 16 à Node 18 et Migrer de Node 18 à Node 22.

Nouveaux scopes de la Management API requis pour les options de connexion

Obsolète : 24 octobre 2024 Fin de vie : 8 juillet 2025 Les requêtes vers les points de terminaison suivants de la Management API nécessiteront le scope read:connections_options pour voir le champ options :

Les requêtes vers les points de terminaison suivants de la Management API nécessiteront le scope update:connections_options pour modifier le champ options :

Connexions > Mettre à jour une connexion

Dépréciations de Rules et Hooks

Obsolète : 16 mai 2023 Transition en lecture seule : 18 novembre 2024 Fin de vie : 18 novembre 2026 Après le 18 novembre 2026, Rules et Hooks ne seront plus exécutés et seront supprimés. Le 18 novembre 2024, les Rules et Hooks actifs continueront d’être exécutés, mais passeront en mode lecture seule. Auth0 a reporté à une date ultérieure le retrait des fonctionnalités Rules et Hooks. Les Rules et Hooks en lecture seule peuvent être activés et désactivés, et leurs valeurs de configuration respectives ou leurs secrets peuvent être modifiés, mais leur code source ne peut pas être modifié dans l’Auth0 Dashboard ou au moyen de la Management API, y compris avec des outils CI/CD comme Terraform et Auth0 Deploy CLI. Si vous ne pouvez pas migrer vers Actions avant la transition en lecture seule, assurez-vous que tout flux CI/CD automatisé configuré pour déployer des changements de configuration du locataire ne tente pas d’effectuer des opérations de gestion non prises en charge sur Rules et Hooks. Pour en savoir plus, consultez Migrer de Rules vers Actions et Migrer de Hooks vers Actions. Obsolète : 23 août 2024 Fin de vie : 31 juillet 2025 Auth0 supprimera la possibilité d’utiliser l’ancienne interface non conforme pour . La nouvelle version conforme aux WCAG garantit que les utilisateurs finaux, y compris ceux qui s’appuient sur des technologies d’assistance, peuvent accéder au produit ou service d’un client et interagir avec celui-ci. Consultez notre documentation sur l’accessibilité d’Universal Login pour en savoir plus.

​Sécurité renforcée pour les applications tierces

​Ancienne gestion des applications activées d’une connexion

​Suites de chiffrement TLS 1.2 faibles

​Invite pour le nom de l’organisation sans SSO

​Connexion non confirmée avec des redirections vers des URI de rappel non vérifiables

​Validation de l’audience pour l’authentification par JWT à clé privée

​Attributs étendus dans les connexions de l’API d’identité Azure Active Directory (v1)

​Extension Real-Time Webtask Logs

​Supprimer l’accès à certaines propriétés de requête d’événement dans Actions

​Plusieurs Actions pour les déclencheurs de fournisseurs de téléphone et de courriel personnalisés

​Flux de déblocage par courriel non personnalisable de la protection contre les attaques par force brute

​Champ fromSandbox dans les réponses d’erreur de l’Authentication API

​Autoriser l’omission du mot de passe lors de modifications liées à l’hôte du fournisseur de courriel SMTP

​Pagination par décalage sans restriction dans la Management API des connexions

​Environnements d’exécution pour l’extensibilité de Node.js 12 et 16

​Nouveaux scopes de la Management API requis pour les options de connexion

​Dépréciations de Rules et Hooks

​Activer l’interface conforme aux WCAG 2.2 AA pour Universal Login

​Pour en savoir plus