Passer au contenu principal
Pour utiliser les fonctionnalités de l’authentification par canal d’appui initiée par le client (CIBA), vous devez disposer d’un Plan Entreprise ou un module d’extension approprié. Référez-vous à Tarification Auth0
Le flux d’authentification par canal d’appui initiée par le client (CIBA) est un flux d’authentification et d’autorisation découplé, défini par la OpenID Foundation. Vous pouvez utiliser le flux CIBA dans des flux de travail asynchrones où l’appareil initiant la demande CIBA (l’appareil de consommation) est différent de l’appareil utilisé par l’utilisateur pour s’authentifier (l’appareil d’authentification). Pour configurer l’authentification CIBA dans Aut0, vous devez :

Prérequis

Avant de configurer l’authentification CIBA pour votre application, assurez-vous de définir une méthode d’authentification pour votre application. Vous pouvez utiliser toute méthode d’authentification, incluant l’authentification mTLS, par clé privée , et , pour le flux CIBA. Pour définir la méthode d’authentification pour votre application, consultez Paramètres des identifiants.

Configurer le type d’autorisation CIBA pour votre application

Vous pouvez configurer le type d’autorisation CIBA pour votre application dans le Auth0 Dashboard ou la Management API. Certaines restrictions s’appliquent aux types de clients pouvant utiliser le type d’autorisation CIBA. Vous pouvez utiliser le type d’autorisation CIBA uniquement si :
  • Le client est un client de première partie, p. ex. la propriété is_first_party est true.
  • Le client est confidentiel avec un mécanisme d’authentification, c’est-à-dire que la propriété token_endpoint_auth_method ne doit pas être définie sur none.
  • Le protocole client doit être conforme à la norme OIDC, c’est-à-dire que la propriété oidc_conformant doit être définie sur true. Il s’agit du comportement par défaut pour tous les nouveaux clients.
Une fois que vous activez le type d’autorisation CIBA, les paramètres de configuration des canaux de notification disponibles pour votre application deviendront visibles.
Pour configurer CIBA pour votre application avec le Auth0 Dashboard:
  1. Rendez-vous à Applications > Applications dans le Auth0 Dashboard.
  2. Créez une application puis activez l’Authentification par canal d’appui initiée par le client (CIBA) sous l’onglet Types d’autorisation:
  1. Cliquez sur Enregistrer les modifications.

Activer les canaux de notification pour votre application

Pour utiliser les fonctionnalités de l’authentification par canal d’appui initiée par le client (CIBA), vous devez disposer d’un Plan Entreprise ou d’un module d’extension approprié. Consulte Tarification Auth0 pour plus de détails.
Une fois que vous avez activé le type d’autorisation CIBA pour votre application, vous pouvez configurer les canaux de notification activés pour le flux CIBA. Si vous avez activé plusieurs canaux de notification, CIBA utilise la valeur du paramètre requested_expiry pour déterminer lequel utiliser. Le paramètre requested_expiry détermine la durée de validité maximale, en secondes, de la session CIBA :
  • Notifications poussées mobiles : Si vous réglez votre requested_expiry à une valeur de 300 secondes ou moins, CIBA utilise le canal de notification poussée mobile, s’il est activé.
  • Notifications par courriel: Si vous définissez votre requested_expiry sur une valeur comprise entre 301 et 259200 secondes (72 heures), CIBA utilise le canal de notification par courriel s’il est activé.
Pour configurer le canal de notification de votre application avec le Auth0 Dashboard :
  • Rendez-vous à Applications > Applications.
  • Dans les paramètres de votre application, rendez-vous à la section Authentification par canal d’appui initiée par le client (CIBA) et sélectionnez le ou les canaux de notification à activer.

Configurer le canal de notification

Une fois que vous avez activé le ou les canaux de notification pour votre application client, configurez le canal de notification pour le flux CIBA :

Configurer les notifications mobiles poussées

Pour envoyer des notifications mobile poussées avec CIBA, vous pouvez utiliser :
  • L’app Auth0 Guardian
  • Une application personnalisée intégrée avec la trousse SDK Auth0 Guardian
Vous pouvez sélectionner quelle application utiliser lors de l’activation des notifications Auth0 Guardian poussées. Si vous souhaitez utiliser une application personnalisée, vous devez l’intégrer à la trousse SDK Auth0 Guardian. Cela permet à l’utilisateur autorisant d’approuver les défis de notification poussées initiés par le flux CIBA dans votre application personnalisée. Pour configurer les notifications mobile poussées, assurez-vous de :

Activer les notifications Auth0 Guardian poussées

Utilisez le Auth0 Dashboard pour activer le facteur Notification Auth0 Guardian poussée pour votre locataire. Dans le Auth0 Dashboard :
  • Sélectionnez Sécurité > Authentification multifactorielle
  • Activez la notification poussée à l’aide d’Auth0 Guardian. Cela peut nécessiter certains paramètres de configuration MFA. Pour en savoir plus, consultez Configurer les notifications poussées pour la MFA.
  • Pour la valeur de App de notification poussée, sélectionnez votre app.
  • Cliquez sur Enregistrer.

Inscrivez l’utilisateur autorisé dans les notifications MFA à l’aide des notifications poussées

Si l’utilisateur n’est pas inscrit aux notifications MFA poussées, Auth0 utilise les notifications par courriel si elles sont configurées, au lieu de rejeter la requête CIBA.
Pour l’application Auth0 Guardian et/ou une application personnalisée, vous devez inscrire l’utilisateur autorisé aux notifications poussées de MFA. Pour vérifier si l’utilisateur est inscrit dans le , naviguez vers Gestion des utilisateurs > Utilisateurs et cliquez sur l’utilisateur :
Si vous avez défini l’ comme étant toujours requise, il sera demandé aux utilisateurs de s’inscrire à la MFA à leur prochaine connexion. Vous pouvez aussi utiliser les Actions pour demander l’inscription à la MFA.

Configurer les notifications par courriel

Pour utiliser les notifications courriel avec le flux CIBA, vous devez disposer du module d’extension Auth0 pour les Agents IA. Pour en apprendre davantage, consultez Tarification Auth0.
Vous pouvez envoyer des notifications par courriel avec le flux CIBA. Pour configurer les notifications par courriel avec CIBA, assurez-vous de :

Configurez votre fournisseur de messagerie

Bien que vous puissiez utiliser le fournisseur de messagerie intégré d’Auth0 pour tester la livraison des courriels dans vos environnements de développement et de test, vous devez configurer votre propre fournisseur de messagerie pour utiliser les notifications par courriel avec CIBA dans un environnement de production. Pour apprendre comment configurer votre propre fournisseur de messagerie, consultez Personnaliser les courriels.

Configurez votre modèle de courriel

Pour configurer le modèle de courriel d’approbation asynchrone :
  1. Naviguez vers Image de marque > Modèles de courriels.
  2. Pour Modèle, sélectionnez Approbation asynchrone dans le menu déroulant.
  3. Remplissez les autres paramètres du modèle en suivant les instructions Configurer les champs du modèle instructions.

Assurez-vous que l’utilisateur autorisé possède une adresse courriel vérifiée.

Si l’utilisateur ne possède pas d’adresse courriel vérifiée, Auth0 rejette la requête CIBA par courriel.
Pour envoyer une notification par courriel avec CIBA, l’utilisateur autorisé doit disposer d’une adresse courriel vérifiée associée à son compte utilisateur. Pour vérifier que l’utilisateur possède une adresse courriel vérifiée à l’aide de Auth0 Dashboard :
  1. Naviguez vers Gestion des utilisateurs > Utilisateurs et cliquez sur l’utilisateur.
  2. Sous Courriel, l’utilisateur devrait comporter une adresse courriel vérifiée.