Expérience de Connexion universelle

La connexion universelle Auth0 procure la fonctionnalité essentielle d’un serveur d’autorisation : le flux de connexion. Lorsqu’un utilisateur doit prouver son identité pour accéder à votre application, vous pouvez le rediriger vers la connexion universelle et laisser Auth0 gérer le processus d’authentification.

L’expérience de connexion universelle offre une implémentation rationalisée avec des outils de personnalisation faciles à utiliser. Pour une personnalisation avancée, vous pouvez aussi créer des modèles de pages qui permettent de modifier le code des pages de connexion. Cette expérience prend aussi en charge diverses fonctionnalités, telles que la localisation, WebAuthn, l’authentification multifacteur (MFA), les organisations Auth0, et plus encore.

La configuration de la connexion universelle est dynamique et ne nécessite aucune modification au niveau de l’application, car les pages Web hébergées sur le serveur d’authentification centralisé d’Auth0 pilotent le flux de connexion. De plus, le code ne devra pas être mis à jour manuellement pour que vos applications bénéficient des améliorations apportées par Auth0 à la connexion universelle.

Les sections suivantes fournissent plus de détails sur l’expérience de connexion universelle. Pour une comparaison des fonctionnalités entre la connexion universelle et la connexion classique, consultez Connexion universelle par rapport à la Connexion classique.

• Vous pouvez spécifier un modèle Liquid pour toutes les pages du flux de connexion à l’aide des Modèles de page.

• Vous pouvez personnaliser l’image de la page, notamment les couleurs, les polices, les URL de logo personnalisées, etc., à l’aide de l’éditeur sans code de l’Auth0 Dashboard ou avec les points de terminaison image de marque de Management API.

• Vous pouvez configurer l’URL d’icône favorite avec les points de terminaison image de marque de Management API.

• Vous pouvez personnaliser le texte de la page à l’aide de l’Auth0 Dashboard ou de Management API. Pour en savoir plus, consultez Personnaliser les éléments de texte de connexion universelle.

• Vous pouvez personnaliser les invites d’inscription et de connexion par le biais de Management API d’Auth0. Pour en savoir plus, consultez Personnaliser les invites d’inscription et de connexion.

• Vous pouvez utiliser WebAuthn sans mot de passe avec les données biométriques d’un appareil.

• Si vous utilisez des clés de développement pour les fournisseurs sociaux :

  • L’authentification unique (SSO) et l’authentification silencieuse fonctionneront de façon appropriée. Ces dernières ne sont pas prises en charge dans l’expérience de connexion classique.

  • Les utilisateurs reçoivent un avertissement sur la page de connexion mentionnant que le locataire est configuré avec des clés de développement.

• Une touche sera générée pour chaque connexion sociale et d’entreprise.

• Si vous redirigez les utilisateurs directement vers la page /login, ils recevront un code d’erreur, sauf si vous avez configuré une route de connexion par défaut. Pour en savoir plus, consultez Configurer les routes de connexion par défaut. Vous devez toujours rediriger les utilisateurs vers le point de terminaison de demande d’autorisation approprié (par ex, /authorize si vous utilisez OpenID Connect).

• Vous pouvez spécifier le login_hint lors de la redirection vers Auth0 et utiliser ces informations pour populer le champ de connexion de la page de connexion ou d’inscription.

• Les clés d’identification sont disponibles comme méthode d’authentification pour les connexions à la base de données. Comparé aux authentifications traditionnelles (par ex.: nom d’utilisateur/mot de passe), les clés d’identification forment une alternative résistante aux tentatives d’hameçonnage qui offre une expérience de connexion plus facile et sécurisée aux utilisateurs. Pour en savoir plus, consultez Les clés d’identification.

• Vous pouvez demander aux utilisateurs d’accéder directement à la page d’inscription plutôt qu’à la page de connexion en spécifiant le paramètre screen_hint=signup lors de la redirection vers /authorize. Vous pouvez combiner ce paramètre avec prompt=login pour indiquer si vous voulez toujours afficher la page d’authentification ou ignorer la page si une session existante est en cours.

• Si les utilisateurs ont enregistré plusieurs facteurs MFA (par ex, des notifications SMS et poussées), la page MFA de connexion universelle permet à l’utilisateur de choisir son option préférée.

• Vous pouvez utiliser votre voix ou votre courrier électronique comme facteur MFA. Pour en savoir plus, consultez Configuration des notifications SMS et vocales pour l’authentification multifacteur (MFA) et les facteurs MFA.

• Si vous utilisez la trousse SDK Guardian pour créer votre propre application native afin de gérer les notifications poussées, vous pouvez configurer le nom de l’application et les URL pour les télécharger dans l’option Notifications poussées via Gardien Auth0 dans la section Dashboard > Security (Sécurité) > Multi-Factor Auth (Authentification multifacteur).

• Si vous disposez d’une règle qui définit le fournisseur de MFA sur un google-authenticator, vous devez activer ce facteur de mot de passe à usage unique (OTP) dans la section Dashboard > Sécurité > Authentification multifacteur.

• Vous pouvez utiliser WebAuthn pour MFA.

• En utilisant Actions vous personnalisez vos flux MFA afin de proposer aux utilisateurs un facteur spécifique ou une série de facteurs. Vous pouvez également exploiter les métadonnées des utilisateurs, comme leurs rôles ou leur appartenance à une organisation, afin de créer des expériences plus personnalisées. Pour en savoir plus, consultez Personnaliser la sélection MFA dans la connexion universelle.

• L’expérience de connexion universelle redirige les utilisateurs vers le parcours de connexion par défaut lorsqu’elle réussit et traite les cas d’erreur dans le cadre du flux de connexion universelle. L’URL de redirection figurant dans le modèle de courriel sera ignorée. Notez que vous devez fournir une URI de connexion à l’application située sous l’onglet Dashboard > Applications > ApplicationsParamètres pour que les URL de redirection fonctionnent.

• Si la connexion à la base de données est réglée sur Exiger un nom d’utilisateur, le flux de réinitialisation du mot de passe invite l’utilisateur à fournir son nom d’utilisateur et envoie un courriel de réinitialisation du mot de passe à l’adresse courriel associée. Pour en savoir plus, consultez Ajout d’un nom d’utilisateur pour les connexions à la base de données.

• En utilisant Actions, vous pouvez intégrer un défi secondaire dans vos flux de réinitialisation de mot de passe. Plus particulièrement, le déclenchement du post-challenge vous permet de proposer aux utilisateurs un défi supplémentaire après leur première étape (généralement un lien contenu dans un courriel de réinitialisation de mot de passe), avant qu’ils ne créent leur nouveau mot de passe. Grâce à ce déclencheur, vous pouvez rediriger les utilisateurs vers un site externe, un vérificateur tiers par exemple, ou les confronter à un facteur MFA supplémentaire. Les utilisateurs doivent relever correctement ce deuxième défi pour pouvoir mettre à jour leur mot de passe.

  • Remarque : vous pouvez personnaliser les invites MFA affichées aux utilisateurs pendant le processus de réinitialisation de mot de passe. Pour en savoir plus, consultez Personnaliser les invites de texte de connexion universelle.

Lorsque vous utilisez des connexions de base de données personnalisées :

• Le flux de réinitialisation de mot de passe fonctionnera correctement même si le script de changement de mot de passe renvoie des erreurs.

• Les erreurs renvoyées dans ValidationErrors ou WrongUsernameOrPasswordError seront affichées sur les pages correspondantes. Pour en savoir plus, consultez Dépannage des bases de données personnalisées.

Lorsqu’un utilisateur clique sur le lien de vérification de l’adresse de courriel, il est renvoyé vers une page qui confirme la vérification de son adresse de courriel. Si l’itinéraire de connexion par défaut est configuré, les utilisateurs pourront cliquer sur un bouton et être redirigés vers celui-ci.

Les pages de connexion universelle utilisent l’attribut de remplissage automatique pour les champs de mot de passe.

Sur les pages d’inscription et de réinitialisation du mot de passe, le autocomplete est réglé sur "new-password". Cela permet au gestionnaire de mots de passe de demander à l’utilisateur de générer un mot de passe sécurisé et aléatoire. L’utilisateur doit donner son consentement explicite pour enregistrer le mot de passe dans le gestionnaire de mots de passe.

Sur la page de connexion, le autocomplete est réglé sur "current-password". La page de connexion renseigne automatiquement le mot de passe s’il est disponible dans le gestionnaire de mots de passe du navigateur.

Notez que la désactivation du remplissage automatique du mot de passe n’augmente pas la sécurité :

• Les utilisateurs doivent donner leur consentement pour enregistrer le mot de passe dans le gestionnaire de mots de passe du navigateur.

• Une fois le mot de passe enregistré dans le gestionnaire de mots de passe, les utilisateurs ayant accès à l’ordinateur peuvent accéder au gestionnaire de mots de passe et obtenir le mot de passe, qu’il soit renseigné automatiquement ou non sur l’écran de connexion. Si les utilisateurs sont connectés au navigateur, ils sont invités à saisir leur mot de passe avant de pouvoir consulter les mots de passe enregistrés. Autrement, tout le monde peut les voir.

• Dans Safari, les utilisateurs sont invités à saisir leur mot de passe Mac ou à utiliser Touch ID avant que le mot de passe ne soit complété.

Pour apprendre à configurer votre application pour utiliser la Connexion Universelle, consultez nos Guides de démarrage rapides. Choisissez l’approche qui correspond le mieux à vos technologies, et les exemples de démarrage rapide vous guideront à travers l’implémentation.

• Configuration des itinéraires de connexion par défaut
• Configuration des notifications SMS et vocales pour l’authentification multifacteur (MFA)
• Facteurs d’authentification multifacteur (MFA)
• Vérifier les appels d’API
• Vérifier les problèmes de connexion et de déconnexion
• Dépannage des problèmes d’authentification multifacteur (MFA)