Domaines personnalisés
Overview
Principaux concepts
Configurez les services Auth0 pour les utiliser avec vos domaines personnalisés.
Effectuez le processus de vérification de votre domaine personnalisé via Auth0 Dashboard.
Passez en revue le tableau des fonctionnalités applicables aux domaines personnalisés.
Apprenez comment les domaines personnalisés fonctionnent avec les URI et les demandes de jetons.
Décidez si vous allez gérer vos certificats ou si vous voulez qu’Auth0 les gère pour vous.
Vous pouvez utiliser votre propre nom de domaine (également connu sous le nom de CNAME ou adresse URL personnalisée) sur les pages d’authentification. Un domaine personnalisé vous permet d’unifier l’expérience de connexion avec votre propre marque et vos produits. Vos utilisateurs voient une URL qui affiche votre marque, par exemple login.YOUR_DOMAIN.com au lieu de YOUR_DOMAIN.auth0.com. Le domaine personnalisé dans Auth0 est comme un « masque » pour l’URL de votre domaine de locataire.
Vous pouvez configurer votre domaine personnalisé lorsque vous créez votre locataire ou vous pouvez ajouter un domaine personnalisé à une implémentation existante avec des modifications mineures du code et de la configuration.
Avantages de l’utilisation d’un domaine personnalisé
Avec un domaine personnalisé, vos utilisateurs ont la certitude de fournir leurs informations d’identification à la bonne personne. L’authentification se fait dans le contexte de votre marque, ce qui vous aide à la fidéliser. Les utilisateurs ne sont pas redirigés vers un site tiers qui rompt avec le contexte de la marque. Cela permet d’éviter que les utilisateurs ne se demandent s’ils sont toujours en train d’effectuer une transaction ou une opération avec vous.
Le fait de regrouper vos services d’authentification en un seul endroit rend l’architecture de votre application plus facile à maintenir. Les applications n’obtiennent que l’accès dont elles ont besoin et les services d’authentification s’adaptent facilement. L’utilisation d’un domaine personnalisé présente d’autres avantages sur le plan de la sécurité :
Certains navigateurs, par défaut, rendent difficile la communication dans une iFrame si vous n’avez pas de domaine partagé.
Il est plus difficile de pirater votre domaine si vous disposez d’une adresse URL personnalisée, car le pirate doit créer une adresse URL personnalisée pour imiter la vôtre. Par exemple, avec un domaine personnalisé, vous pouvez utiliser votre propre certificat pour obtenir une validation étendue, ce qui rend l’hameçonnage plus difficile.
Fonctionnement
Vous configurez un domaine personnalisé dans l’onglet Auth0 Dashboard > Branding (Image de marque) > Custom Domains (Domaines personnalisés) dans l’Auth0 Dashboard. Ajoutez votre domaine personnalisé, choisissez votre type de certification et suivez les instructions. Vous effectuerez une procédure de vérification pour votre domaine qui varie selon que vous utilisez un certificat géré par Auth0 ou un certificat autogéré. Lorsque vous créez un CNAME, vous devez le déclarer à Auth0 afin que ce dernier puisse le vérifier et utiliser le domaine personnalisé. Après avoir configuré et vérifié le domaine personnalisé, vous devez configurer les fonctionnalités d’Auth0 pour utiliser le nouveau domaine personnalisé.
Pour configurer un domaine personnalisé gratuit, les locataires d’Auth0 doivent avoir une carte de crédit valide dans leur dossier à des fins de vérification et de prévention de la fraude. La carte de crédit ne sera pas débitée.
Auth0 vous recommande de créer votre domaine personnalisé pendant la phase de développement (avant de passer à la production) afin de vous assurer que vous avez géré le CNAME correctement. Par exemple, vous pouvez créer un CNAME qui établit une correspondance entre login.YOUR_DOMAIN.com et YOUR_DOMAIN.auth0.com.
Auth0 ne fournit pas de liste statique d’adresses IP car celles-ci sont susceptibles de changer. Nous vous recommandons d’ajouter votre domaine personnalisé à la Liste d’autorisations.
Vous pouvez mettre à jour un locataire existant pour utiliser un domaine personnalisé. Vos intégrations existantes utilisant YOUR_DOMAIN.auth0.com continueront de fonctionner. Après la modification, vos utilisateurs doivent se reconnecter car les sessions existantes ne seront plus valides. En outre, les utilisateurs peuvent avoir besoin de supprimer le témoin du navigateur associé à votre domaine personnalisé si des erreurs se produisent lors de la connexion. Si vous utilisez un Lock intégré ou une trousse SDK, vous pouvez choisir d’utiliser le paramètre de domaine standard ou un domaine personnalisé.
Votre domaine personnalisé doit respecter les meilleures pratiques HTTP. Si l’ordre des champs n’est pas correct, vous risquez d’envoyer des en-têtes en doublon. Voir Routage de la syntaxe des messages HTTP/1.1 RFC 7230 - Ordre des champs pour de plus amples renseignements.
Domaines personnalisés et authentification
Les fonctions d’authentification Auth0 suivantes prennent en charge l’utilisation de domaines personnalisés.
| Fonctionnalité ou flux | Détails |
|---|---|
| Connexion universelle | Pour une expérience utilisateur transparente et sécurisée |
| MFA | Tous les facteurs |
| Guardian | Trousse Android SDK/Swift SDK/Gadget logiciel MFA version 1.3.3/Guardian.js version 1.3.0 ou ultérieure |
| Courriels | Liens inclus dans les courriels; utilisez votre domaine personnalisé |
| Connexions | Base de données, réseau social, Google Workspace, Entra ID, ADFS, AD/LDAP |
| Lock (Verrouiller) | Version 11 avec authentification inter-origines |
| Sans mot de passe | Avec connexion universelle (le lien est envoyé par courriel à l’aide du domaine personnalisé si l’option est activée dans Dashboard (Tableau de bord) > Tenant Settings (Paramètres du locataire) > Domaines personnalisés.) |
| SAML | Connexions et applications |
| WS-Federation | Auth0 en tant que fournisseur d’identité à l’aide du module complémentaire WS-Fed |
| Flux conformes OAuth 2.0/à l’OIDC | Utilisation des points de terminaison /authorize et /oauth/token |
Domaines et URI personnalisés
Auth0 utilise certains points de terminaison de métadonnées pour l’interopérabilité et la configuration de fournisseurs d’identité et d’applications tiers. Lorsque les métadonnées contiennent des URI qui renvoient à Auth0, l’URL peut être soit le sous-domaine Auth0, soit votre domaine personnalisé, selon le nom d’hôte que vous avez utilisé pour demander les métadonnées. Par exemple :
| If you use (Si vous utilisez) | Reference Inside Metadata (Référence à l’intérieur des métadonnées) |
|---|---|
https://travel0.auth0.com/.well-known/... |
https://travel0.auth0.com/... |
https://travel0.auth0.com/samlp/metadata/... |
https://travel0.auth0.com/... |
https://login.travel0.com/samlp/metadata/... |
https://login.travel0.com/... |
Pour en savoir plus, consultez Rediriger les utilisateurs après la connexion.
Cette flexibilité s’applique aux scénarios d’authentification suivants :
Domaines personnalisés et demandes de jetons
Auth0 émet des jetons avec la demande iss pour le domaine que vous avez utilisé avec la demande de jeton. Par exemple :
| Si vous utilisez | Valeur de demande pour iss |
|---|---|
https://travel0.auth0.com/authorize...https://travel0.auth0.com/oauth/token... |
https://travel0.auth0.com/ |
https://login.travel0.com/authorize...https://login.travel0.com/oauth/token... |
https://login.travel0.com/ |
Si vous obtenez un jeton d’accès à Management API à l’aide d’un flux d’autorisation avec votre domaine personnalisé, vous devez appeler Management API à l’aide du domaine personnalisé ou votre jeton sera considéré comme non valide. La demande iss du jeton est indépendante d'audience. Les valeurs d'audience restent les mêmes pour les jetons obtenus à l’aide d’un domaine personnalisé. Pour en savoir plus sur les jetons, consultez Jetons d’accès à Management API.
Options de gestion des certificats
Certificats gérés par Auth0
Auth0 peut gérer les certificats pour votre domaine personnalisé et gérer directement l’établissement de liaison SSL. Vous ajoutez un enregistrement CNAME sur le domaine, Auth0 valide l’enregistrement et génère le certificat sur les serveurs Auth0. Le certificat est renouvelé automatiquement tous les trois mois. Une fois vérifié, configurez vos fonctionnalités Auth0 pour commencer à utiliser votre domaine personnalisé. Pour en savoir plus, veuillez consulter Configurer des domaines personnalisés avec des certificats gérés par Auth0.
Certificats autogérés
Vous pouvez obtenir et gérer vos propres certificats dans les domaines personnalisés. Dans ce cas, vous êtes responsable de la gestion des certificats SSL et de la mise en place et de la gestion d’un proxy inverse pour envoyer du contenu à Auth0. Auth0 négocie SSL avec le proxy et non directement avec le client utilisateur. Le proxy, à son tour, négocie le SSL avec l’utilisateur final. Pour empêcher quelqu’un d’essayer d’utiliser votre compte Auth0 à partir d’un domaine qui ne vous appartient pas, Auth0 doit valider que le domaine vous appartient : vous devez fournir à Auth0 une en-tête (cname-api-key) à valider. Vous devez être abonné à Auth0 Enterprise pour utiliser cette option.
Auth0 fournit des instructions pour configurer un proxy inverse pour les fournisseurs suivants :