Applications de première et de tierce partie

Les applications peuvent être classées en tant que première partie ou tierce partie, ce qui fait référence à la propriété de l’application. La principale différence concerne les personnes qui ont un accès administratif à votre domaine Auth0.

Les applications de première partie sont celles qui sont contrôlées par l’organisation ou la personne qui possède le domaine Auth0. Par exemple, supposons que vous ayez créé une API Contoso et une application qui se connecte à contoso.com et utilise l’API Contoso. Vous enregistrerez l’API et l’application sous le même domaine Auth0, et l’application sera une application de première partie. Par défaut, toutes les applications créées via le Auth0 Dashboard sont des applications tierces.

Les applications tierces sont contrôlées par une personne qui ne devrait probablement pas avoir d’accès administratif à votre domaine Auth0. Les applications tierces permettent à des parties externes ou à des partenaires d’accéder en toute sécurité à des ressources protégées derrière votre API. Prenons l’exemple de Facebook. Supposons que vous ayez créé une application pour obtenir l’ID et le secret client afin de l’intégrer à votre service. Cette application est considérée comme une tierce partie car elle n’appartient pas à Facebook mais à une tierce partie qui souhaite s’intégrer aux API et aux services de Facebook.

Toutes les applications créées par l’intermédiaire de Enregistrement dynamique des clients seront des applications tierces. Les applications tierces ne peuvent pas être créées à l’aide du Dashboard, mais doivent l’être par l’intermédiaire de l’Auth0 Management API en définissant is_first_party sur false.

Les applications tierces présentent les caractéristiques uniques suivantes :

• Consentement de l’utilisateur : Vous devez exiger le consentement de l’utilisateur lorsque vous utilisez des API, car n’importe qui peut créer une application. Le fait d’exiger le consentement de l’utilisateur améliore la sécurité.

• Jetons d’ID: Les jetons d’ID générés pour les applications tierces ne contiennent que des informations minimales sur le profil utilisateur.

• Connexions : Vous ne pouvez utiliser que des connexions au niveau du locataire ou du domaine. Pour plus d’informations, consultez Activer les applications tierces.

• Mise à jour de la propriété d’une application
• Vérification du caractère confidentiel ou public d’une application
• User Consent and Third-Party Applications (Consentement de l’utilisateur et applications tierces)