Vérification de l’adresse de courriel pour Entra ID et ADFS
Le profil de l’utilisateur Auth0 a un champ email_verified, qui peut être défini de différentes manières selon le type de connexion. Pour se connecter à la base de données, les utilisateurs doivent suivre un processus de validation de leur adresse courriel afin qu’elle soit vérifiée. Pour les connexions fédérées, les fournisseurs d’identité peuvent renvoyer le champ email_verified en fonction de leurs propres critères.
Entra ID et ADFS ne peut pas garantir que les courriels qu’ils renvoient ont été vérifiés :
Dans ADFS, l’administrateur ADFS peut configurer n’importe quelle adresse courriel qu’il souhaite.
Dans Entra ID, en fonction de la configuration du locataire Entra ID, les adresses courriel renvoyées par Entra ID peuvent correspondre ou non aux boîtes courriel Office. Auth0 ne peut pas savoir si c’est le cas ou non.
Cependant, si vous êtes familier avec la configuration et la gestion d’un Entra ID ou d’un ADFS, vous pouvez choisir de faire confiance à la vérification des adresses courriel de ces comptes.
Pour répondre à ces deux besoins, les connexions Entra ID et ADFS ont une propriété Email Verification (Vérification de l’adresse courriel) avec deux valeurs :
Toujours définir
email_verifiedsurtrueToujours définir
email_verifiedsurfalse
La connexion Microsoft Entra ID dispose également d’une propriété Use Common Endpoint (Utiliser un point de terminaison commun). Lorsqu’elle est activée, l’utilisateur peut s’authentifier auprès de n’importe quel locataire Microsoft Entra ID. Étant donné qu’il n’est pas possible de faire confiance au fait qu’un locataire Microsoft Entra ID renverra des adresses courriel vérifiées, la propriété Email Verification (Vérification de l’adresse courriel ) devra être définie sur Always set (Toujours définir)email_verified to (sur) false.
Lorsque la propriété est définie sur Always set (Toujours définir) email_verified to (sur) false, les utilisateurs obtiendront email_verified défini sur false la prochaine fois qu’ils se connecteront, à moins que le paramètre synchroniser les attributs du profil utilisateur à chaque connexion soit désactivé.
Paramètre de migration de vérification des adresses courriel Entra ID/ADFS
Dans les versions précédentes, Auth0 définissait le champ email_verified sur true dans les connexions Entra ID et ADFS. Si vous utilisiez des connexions Entra ID et ADFS dans le passé, vous disposerez d’un paramètre de locataire qui remplacera le paramètre de connexion pour la Email Verification (Vérification de l’adresse courriel) et conservera le comportement précédent.
Vous pouvez trouver le nouveau paramètre de locataire dans Auth0 Dashboard > Paramètres > Avancés. Repérez la section Migrations, puis recherchez Default to (Par défaut au) réglage Email Verification (Vérification du courriel) pour les connexions Microsoft Entra ID/ADFS.
Ce paramètre n’est disponible que si :
le locataire est plus ancien que la date à laquelle la migration a été lancée;
le locataire a une ou plusieurs connexions ADFS ou Azure AD actives.
Lorsque ce réglage est désactivé, email_verified sera toujours true pour les connexions Entra ID/ADFS. Lorsqu’il est activé, il utilisera le paramètre Email Verification (Vérification de l’adresse courriel) au niveau de la connexion.
Flux de vérification des adresses courriel pour les connexions Entra ID/ADFS
Si votre application nécessite que les adresses courriel des utilisateurs d’une connexion Entra ID/ADFS soient toujours vérifiées, vous pouvez activer l’option Enable email verification flow during login for Entra ID and ADFS connections (Activer le flux de vérification des adresses courriel lors de la connexion pour les connexions Entra ID et ADFS) dans la section du locataire Advanced Settings (Réglages avancés).
Une fois que l’utilisateur s’est authentifié pour la première fois avec une adresse courriel non vérifiée, Auth0 demandera à l’utilisateur de vérifier son adresse courriel en saisissant un code à usage unique qui sera envoyé à son compte de messagerie :
Si l’utilisateur réussit cette étape, le champ email_verified sera défini sur true et les utilisateurs ne seront plus invités à vérifier leur adresse courriel, sauf si Entra ID ou ADFS renvoie une adresse courriel différente pour l’utilisateur.
Ce nouvel écran affiche l’expérience de connexion universelle, même si vous utilisez la connexion classique. Pour savoir comment le personnaliser, consultez Personnaliser les pages de connexion universelle.
Pour savoir comment personnaliser le courriel envoyé aux utilisateurs, veuillez consulter Courriels de vérification avec Auth0.
Lorsque Entra ID ne renvoie pas de demande email, Auth0 associe le UserPrincipalName d’Azure comme courriel. Il n’y a aucune garantie que la valeur UserPrincipalName soit une boîte aux lettres, donc Auth0 n’affichera pas l’invite de vérification de courriel et l’utilisateur aura le champ email_verified défini sur false.