Paramètres fictifs d'URL de sous-domaine

Vous pouvez utiliser divers paramètres fictifs pour agir comme des saisies de texte dynamiques dans vos URL.

Une URL contenant un paramètre fictif {organization_name} ne sera évaluée que lorsque toutes les conditions suivantes seront remplies :

• L’application a organization_usage de défini pour allow ou require

• Une transaction a été réalisée dans le contexte d’une organization (par exemple, initiation d’une transaction d’autorisation avec le paramètre d’organization : /authorize?organization=org_bVss9Do3994SIbiH&…)

Les URL contenant le paramètre fictif {organization_name} seront évaluées en plus des URL à correspondance exacte (https://app.exampleco.com) et des URL avec des caractères de remplacement (https://*.exampleco.com). Vous ne devez pas vous fier à un ordre spécifique d’évaluation des URL.

Évitez d’enregistrer des URL avec des caractères de remplacement et des paramètres fictifs d’organization dans le même champ de configuration pour une application, car cela pourrait entraîner un comportement indésirable et rendre le dépannage difficile. À titre d’exemple, considérons une application avec deux URL de rappel autorisées : https://*.exampleco.com et https://{organization_name}.exampleco.com. Un redirect_uri avec la valeur de https://company-a.exampleco.com serait considéré comme valide même s’il n’y avait aucune organization portant le nom company-a enregistrée dans votre locataire; cela est dû à l’évaluation du paramètre fictif à caractère de remplacement.

Les paramètres fictifs à caractère de remplacement dans les sous-domaines ne doivent pas être utilisés dans les applications de production. Auth0 recommande les URL avec le paramètre fictif {organization_name}, le cas échéant.

Gérez ces paramètres dans Dashboard > Applications > Applications dans les champs suivants :

• URL de rappel autorisées : Liste des URL vers lesquelles Auth0 est autorisé à rediriger les utilisateurs après leur authentification.

• URL de déconnexion autorisées : Liste des URL vers lesquelles vous pouvez rediriger les utilisateurs après leur déconnexion d’Auth0.

• Origines Web autorisées : Liste des URL d’où peut provenir une demande d’autorisation utilisant l’Authentification cross-origin, le Flux de l’appareil et web_message comme mode de réponse.

• Origines autorisées (CORS) : Liste des URL qui seront autorisées à effectuer des requêtes à partir de JavaScript vers l’API Auth0 (généralement utilisé avec CORS).

Évitez d’utiliser des paramètres fictifs à caractère de remplacement pour les sous-domaines dans les rappels des applications de production et les origines autorisées, car cela peut rendre votre application vulnérable aux attaques.

Vous pouvez utiliser le symbole étoile (*) comme caractère de remplacement pour les sous-domaines, mais il doit être utilisé conformément aux règles suivantes pour fonctionner correctement :

• Le protocole de l’URL doit être http ou https. Les protocoles tels que com.example.app et service:jmx:rmi ne fonctionneront pas.

• Le caractère de remplacement doit être situé dans un sous-domaine du composant de nom d’hôte. https://*.com ne fonctionnera pas.

• Le caractère de remplacement doit être situé dans le sous-domaine le plus éloigné du domaine source. https://sub.*.example.com ne fonctionnera pas.

• L’URL ne doit pas contenir plus d’un caractère de remplacement. https://*.*.example.com ne fonctionnera pas.

• Un caractère de remplacement peut être préfixé et/ou suffixé par des caractères de nom d’hôte valides supplémentaires. https://prefix-*-suffix.example.com fonctionnera.

• Une URL avec un caractère de remplacement valide ne correspondra pas à une URL à plus d’un niveau de sous-domaine à la place du caractère de remplacement. https://*.example.com ne fonctionnera pas avec https://sub1.sub2.example.com.

Vous pouvez utiliser {organization_name} comme espace réservé pour spécifier dynamiquement le nom d’une organization enregistrée dans une URL (https://{organization_name}.exampleco.com). Les URL comportant l’espace réservé {organization_name} ne doivent être utilisées que sur des domaines que vous contrôlez entièrement (par ex. https://{organization_name}.exampleco.com où vous contrôlez le domaine exampleco.com).

Gérez ces paramètres dans Dashboard > Applications > Applications dans les champs suivants :

• URL de rappel autorisées : Liste des URL vers lesquelles Auth0 est autorisé à rediriger les utilisateurs après leur authentification.

• Origines autorisées (CORS) : Liste des URL qui seront autorisées à effectuer des requêtes à partir de JavaScript vers l’API Auth0 (généralement utilisé avec CORS).

Les restrictions suivantes s’appliquent lors de l’utilisation du paramètre fictif {organization_name} :

• Le protocole de l’URL doit être http: ou https:. com.example.app://{organization_name}.exampleco.com ne fonctionnera pas.

• Le paramètre fictif doit être situé dans un sous-domaine au sein du composant de nom d’hôte. https://{organization_name} ou https://exampleco.com/{organization_name} ne fonctionneront pas.

• Le paramètre fictif doit être situé dans le sous-domaine le plus éloigné du domaine source. https://sub.{organization_name}.exampleco.com ne fonctionnera pas.

• L’URL ne doit pas contenir plus d’un paramètre fictif. https://{organization_name}.{organization_name}.exampleco.com ne fonctionnera pas.

• Un paramètre fictif ne doit pas être préfixé ni suffixé par des caractères de nom d’hôte valides supplémentaires. https://prefix-{organization_name}-suffix.exampleco.com ne fonctionnera pas.

• Un paramètre fictif ne doit pas être utilisé conjointement avec un caractère générique dans l’URL. https://{organization_name}.*.exampleco.com ne fonctionnera pas.

• Applications confidentielles et publiques
• Applications de première et de tierce partie
• Activer les applications tierces