Intégrations d’actions pour les partenaires

Les partenaires tels que vous utilisent les intégrations d’actions pour créer des solutions sans code qui relient leurs produits aux workflows d’Auth0. Les intégrations d’actions permettent aux clients Auth0 de mettre en œuvre des solutions telles que la vérification d’identité ou la gestion du consentement sans écrire de code. Vous écrivez l’intégration d’actions; ensuite, les clients la font glisser et la déposent dans leur flux de production.

Les intégrations d’actions sont des fonctions autonomes qui s’exécutent à des points choisis au sein de la plateforme Auth0. Écrites en JavaScript, la source de ces intégrations est fermée, ce qui signifie que les clients ne peuvent pas en modifier le code.

La création d’une intégration d’actions comprend la planification, la construction et les tests. Avant de mettre une intégration d’actions à la disposition des clients dans la Auth0 Marketplace, Auth0 commence par l’examiner. Pour plus d’informations sur Auth0 Marketplace, consultez Partenaires Marketplace.

Déterminez le cas d’utilisation auquel votre intégration d’actions s’adressera. Quel problème résoudra-t-elle pour les clients? Comment résoudra-t-elle le problème? Pour de plus amples renseignements, consultez Définir un cas d’utilisation d’intégration.

Les intégrations d’actions consistent en une seule Action. Les possibilités d’une action sont déterminées par son emplacement dans l’environnement d’exécution d’Auth0, à savoir son flux d’action. Les flux d’actions possibles sont :

• Le flux de connexion s’exécute de manière synchrone une fois qu’un utilisateur s’est inscrit ou s’est connecté avec succès. Les événements de connexion comprennent les flux interactifs (comme le nom d’utilisateur, le mot de passe ou la connexion fédérée) et les flux non interactifs (comme les vérifications de la session et les échanges de jetons d’actualisation). Pour en savoir plus sur ce flux, consulter Flux de connexion.

• Le flux de communication entre machines s’exécute de manière synchrone lorsqu’une application demande un jeton d’accès à l’aide de l’autorisation des identifiants du client. Pour en savoir plus sur ce flux, consultez Flux de communication entre machines.

• Le flux Pré-enregistrement de l’utilisateur s’exécute de manière synchrone avant que Auth0 n’ajoute un utilisateur à une base de données ou à une connexion sans mot de passe. Ce flux ne s’exécute pas pour les connexions fédérées telles que les connexions d’entreprise ou par les médias sociaux. Pour en savoir plus sur ce flux, consulter Flux Pré-enregistrement de l’utilisateur.

• Le flux postérieur à l’enregistrement d’utilisateurs s’exécute de manière asynchrone après que Auth0 ait ajouté un utilisateur à une base de données ou à une connexion sans mot de passe. Ce flux ne s’exécute pas pour les connexions fédérées telles que les connexions d’entreprise ou par les médias sociaux. Pour en savoir plus sur ce flux, consulter Flux postérieur à l’enregistrement d’utilisateurs.

• Le flux Post-modification du mot de passe s’exécute de manière asynchrone après que le client a modifié un mot de passe pour un utilisateur d’une connexion à la base de données. Ce flux ne s’exécute pas pour les modifications de mot de passe sur d’autres types de connexions. Pour en savoir plus sur ce flux, consultez Flux post-modification du mot de passe.

• Le fluxEnvoi de message téléphonique émet un SMS en tant qu’élément d’un fournisseur d’AMF personnalisé. Pour en savoir plus sur les fournisseurs de MFA personnalisée, consultez Personnaliser les messages texte et vocaux de l’authentification multifacteur (MFA). Pour en savoir plus sur ce flux, consultez Flux d’envoi de message téléphonique.

Pour en savoir plus sur les flux d’actions, consultez Explorer les flux et les déclencheurs. Si vous devez rediriger les utilisateurs vers un point de terminaison lors de la connexion, consultez Actions de redirection pour les partenaires.

Une fois que vous avez décidé quel flux correspond au cas d’utilisation de votre intégration d’actions, construisez votre action dans un locataire de test. Pour obtenir des instructions, consulter Écrivez votre première action. Cette action sera la base de votre code d’intégration d’actions.

De plus, vous pouvez utiliser nos modèles d’intégration d’action pour vous aider à concevoir votre intégration.

• Modèle d’intégration de l’action après la connexion

• Modèle d’intégration de l’action machine à machine

• Modèle d’intégration de l’action avant l’enregistrement des utilisateurs

• Modèle d’intégration de l’action après l’enregistrement des utilisateurs

• Modèle d’intégration de l’action après un changement de mot de passe

• Modèle d’intégration de l’action pour l’envoi d’un SMS

Pour savoir comment créer une intégration d’actions sécurisée et stable, consultez Directives de codage d’actions. Suivez également ces directives propres aux intégrations d’actions :

• Lors de la création de votre action dans un locataire test, utilisez des secrets pour toutes les valeurs qu’un client doit fournir (telles que les identifiants, les noms de locataires et les seuils). Lorsque vous soumettez votre intégration d’actions, Auth0 demande quels champs doivent être chiffrés au repos (pour rester secrets) et lesquels peuvent être des champs de texte modifiables.

• Utilisez un indicateur de configuration du mode de débogage/test pour la journalisation afin de vous aider à effectuer la configuration ou le dépannage. Les intégrations d’action devraient rarement produire des journaux pour toutes les exécutions.

• Écrivez des noms secrets dans ALL_CAPS_SNAKE_CASE pour faciliter la vérification.

• La source des intégrations d’actions est fermée, ce qui signifie que les clients ne peuvent ni voir ni modifier le code. Toute entrée propre au client nécessaire au contrôle de l’intégration d’actions doit être secrète ou provenir de la configuration.

Étant donné que les évaluateurs Auth0 n’ont pas accès à votre service, vous devez tester votre action avant de la soumettre pour examen. Testez manuellement les exécutions réussies et les cas limites. Veuillez inclure ces vérifications :

• L’action échoue-t-elle silencieusement ou bloque-t-elle une exécution ultérieure?

• Comment fonctionne l’action si une requête HTTP échoue?

• Quels messages d’erreur, le cas échéant, sont exposés aux utilisateurs?

• Quelles informations sont consignées?

• L’action peut-elle être contournée ou usurpée?

Au cours du processus de soumission, Auth0 demande une couverture de test unitaire pour le chemin de réussite. Auth0 fournit tout l’outillage et les exemples nécessaires pour rendre cela aussi simple que possible.

Une fois que vous avez écrit et testé minutieusement votre intégration d’actions, soumettez-la à Auth0 pour évaluation : envoyez une demande de service Auth0 Marketplace. Lorsque l’évaluation initiale est réussie, l’intégration est soumise à un contrôle de conformité en matière de sécurité.

Une fois qu’Auth0 a fini d’évaluer votre intégration d’actions, nous vous informerons si cette dernière a réussi les évaluations et répond aux délais de publication.