Configurer Authorization Extension
Auth0 propose deux façons de mettre en œuvre le contrôle d'accès basé sur les rôles (RBAC), que vous pouvez utiliser à la place du système de contrôle d’accès interne de votre API ou en combinaison avec lui :
L’ensemble des fonctionnalités Authorization Core correspond aux fonctionnalités d’Authorization Extension, améliore les performances et l’évolutivité, et fournit un système RBAC plus souple qu’Authorization Extension.
À ce stade, les deux mettent en œuvre les fonctionnalités clés de RBAC et vous permettent de restreindre les permissions personnalisées définies pour une API à celles qui ont été attribuées à l’utilisateur en tant qu’autorisations.
Vous devez configurer le comportement de l’extension lors de l’opération de connexion avant que celle-ci ne puisse mettre en œuvre votre logique d’autorisation. Vos paramètres de configuration seront capturés dans une règle qui s’appliquera pendant l’exécution.
Prérequis
Installer Authorization Extension
Configurer l’extension
Rendez-vous à Auth0 Dashboard > Extensions, puis sélectionnez Auth0 Authorization.
Choisissez Configuration en haut à droite du Authorization Dashboard.
La section Configuration de la règle de la page Configuration s’affiche. Toutes les modifications que vous apporterez dans les sections sous Contenu du jeton, telles celles concernant les groupes, rôles et autorisations, seront appliquées à la règle que vous exporterez une fois cette étape terminée.
ApiKey
La règle utilise l’ApiKey pour communiquer avec l’API Authorization Extension et obtenir la politique. L’ApiKey est stockée en tant que configuration de règle et sera créée automatiquement lorsque la règle sera publiée. Pour effectuer la rotation de l’ApiKey, cliquez sur le bouton Rotation. La configuration de la règle sera mise à jour automatiquement lors de la rotation de l’ApiKey.
Ajouter les informations d’autorisation au jeton émis
Vous pouvez stocker des données d’autorisation telles que des groupes, des rôles ou des autorisations dans le jeton sortant émis par Auth0. Votre application peut alors utiliser ces informations en inspectant le jeton et prendre les mesures appropriées en fonction du contexte d’autorisation actuel de l’utilisateur.
Activez le curseur situé à côté de l’option que vous souhaitez inclure pour ajouter des informations sur les groupes, les rôles ou les autorisations au jeton sortant.
Le stockage d’une trop grande quantité de données dans le jeton peut entraîner des problèmes de performance, voire empêcher l’émission du jeton. Veillez à ne stocker que les données nécessaires. Si vous avez besoin d’une grande quantité de données utilisateur facilement disponibles, envisagez d’utiliser la persistance au lieu d’ajouter les données au jeton.
Fusionner les données d’autorisation provenant de l’IdP
Vous pouvez avoir des utilisateurs qui reçoivent des groupes, rôles ou autorisations de votre fournisseur d’identité (IdP), comme Active Directory. Si vous voulez fusionner ces éléments (afin de les préserver) avec ceux définis dans Authorization Extension, assurez-vous d’activer les options Passthrough (Fonction d’intercommunication) appropriées. Activez le curseur situé à côté des fusions que vous souhaitez activer.
Stocker les informations d’autorisation dans les profils utilisateurs
Si votre contexte d’autorisation est vaste (par exemple, l’utilisateur peut appartenir à de nombreux groupes ou s’être vu accorder de nombreuses autorisations), vous trouverez utile de stocker une partie du contenu d’autorisation dans les profils des utilisateurs. Cela vous permettra de stocker moins d’informations dans le jeton, ce qui signifie que vous rencontrerez probablement moins de problèmes liés aux performances ou même à l’émission du jeton. Persistance est le processus par lequel vous stockez des groupes, rôles et autorisations dans les profils des utilisateurs.
Les données seront stockées dans le champ app_metadata de l’utilisateur, et vous pourrez ensuite utiliser Management API ou Dashboard pour récupérer ces informations après connexion de l’utilisateur.
Enregistrer les modifications dans la règle
Une fois la règle configurée, cliquez sur Publier la règle. Vous allez ainsi créer une règle pour votre locataire, qui s’exécutera après chaque connexion utilisateur.
Afficher la règle
Si vous souhaitez voir la règle que vous avez créée, sélectionnez Auth0 Dashboard > Auth Pipeline > Règles.
Vous pouvez ouvrir la règle pour voir sa configuration exacte.
En savoir plus
- Import and Export Authorization Extension Data (Données d’extension des autorisations d’importation et d’exportation)
- Activer l’accès API à Authorization Extension
- Règles d’utilisation avec Authorization Extension
- Configurer les utilisateurs dans le Tableau de bord des extensions d’autorisation
- Dépannage Authorization Extension
- Migrer vers Extension d’autorisation v2