Applications dans Auth0

Le terme application ou app dans Auth0 n’implique pas de caractéristiques d’implémentation particulières. Par exemple, il peut s’agir d’une application native qui s’exécute sur un appareil mobile, d’une application à page unique qui s’exécute sur un navigateur ou d’une application Web ordinaire qui s’exécute sur un serveur.

Auth0 classe les applications en fonction de ces caractéristiques  :

• Type d’application: Pour ajouter l’authentification à votre application, vous devez l’enregistrer dans Auth0 Dashboard et sélectionner l’un des types d’application suivants :

  • Application Web ordinaire : applications Web traditionnelles qui exécutent la plupart de leur logique d’application sur le serveur (comme Express.js ou ASP.NET). Pour savoir comment configurer une application Web ordinaire, consultez Enregistrer des applications Web classiques.

  • Application Web à page unique (SPA): Applications JavaScript qui exécutent la majeure partie de la logique de leur interface utilisateur dans un navigateur Web, communiquant avec un serveur Web principalement à l’aide d’API (comme AngularJS + Node.js ou React). Pour savoir comment configurer une application Web à page unique, lisez Enregistrer des applications Web à page unique.

  • Applications natives : Applications pour mobiles ou ordinateurs de bureau qui s’exécutent en code natif sur un appareil (iOS ou Android, par exemple). Pour savoir comment configurer une application native, lisez Enregistrer des applications natives.

  • Application de machine à machine (M2M): Applications non interactives, telles que des outils en ligne de commande, des démons, des dispositifs IoT ou des services fonctionnant sur votre système dorsal. Généralement, vous utilisez cette option si vous avez un service qui nécessite l’accès à une API. Pour savoir comment configurer une application native, consultez Enregistrer des applications machines à machines.

• Sécurité des identifiants : Selon la spécification OAuth 2.0, les applications peuvent être classées comme publiques ou confidentielles. Les applications confidentielles peuvent conserver les identifiants en toute sécurité, ce qui n’est pas le cas des applications publiques. Pour en savoir plus, lisez Applications confidentielles et publiques.

• Propriété : La classification d’une application en tant qu’application première partie ou tierce partie dépend de la propriété et du contrôle de l’application. Les applications première partie sont contrôlées par l’organization ou la personne qui possède le domaine Auth0. Les applications tierce partie permettent à des parties externes ou des partenaires d’accéder en toute sécurité à des ressources protégées derrière votre API. Pour en savoir plus, lisez Applications de première et de tierce parties.

Vous enregistrez les applications dans Dashboard > Applications > Applications. Outre la configuration d’applications dans le Dashboard, vous pouvez aussi en configurer par programmation, comme décrit dans la spécification Enregistrement dynamique du client OpenID Connect (OIDC) 1.0 .

Vous avez la possibilité de configurer un système plus complexe qui permet aux utilisateurs de se connecter différemment pour différentes applications. Pour en savoir plus, lisez Meilleures pratiques en matière d’applications multi-locataires et Créer plusieurs locataires.

Par défaut, Auth0 active toutes les connexions associées à votre locataire lorsque vous créez une nouvelle application. Pour changer cela, mettez à jour les connexions de l’application dans les Paramètres de l’application dans le Dashboard.

Vous pouvez surveiller les applications et effectuer des tests bout-à-bout à l’aide de vos propres tests. Auth0 stocke les données du journal, notamment les actions d’administration du Dashboard, les authentifications réussies et échouées des utilisateurs, ainsi que les demandes de changement de mot de passe. Vous pouvez utiliser le streaming de journal dans Auth0 Marketplace pour exporter vos données de journalisation et utiliser des outils tels que Sumo Logic, Splunk ou Mixpanel pour analyser et stocker vos données de journalisation.

Vous pouvez supprimer une application à partir du Dashboard ou Management API.

Un secret client n’est connu que de votre application et du serveur d’autorisation. Il protège vos ressources en n’accordant des jetons qu’aux demandeurs autorisés.

Protégez les secrets de vos clients et ne les incluez jamais dans des applications mobiles ou basées sur un navigateur. Si le secret de votre client est compromis, vous devez passer à un nouveau secret et mettre à jour toutes les applications autorisées avec le nouveau secret client.

Auth0 fournit de nombreux types ou flux d’authentification et d’autorisation, et vous permet d’indiquer quels types d’autorisation sont appropriés en fonction de la propriété grant_types de votre application enregistrée auprès d’Auth0. Pour en savoir plus, lisez Types d’autorisation d’application.

• Paramètres d’application
• Applications confidentielles et publiques
• Applications de première et de tierce partie
• Types d’autorisation d’application
• Paramètres fictifs d'URL de sous-domaine
• Enregistrement dynamique d'applications