Entreprises à employés

Le scénario B2E (Entreprises à employés) implique des applications utilisées par des employés. Il s’agit des applications destinées à des utilisateurs qui agissent généralement pour le compte d’une organisation comme un employeur, une université ou un groupe dont ils sont membres, et non pour leur propre compte.

Ces applications, créées sur mesure par l’organisation, peuvent faire usage du protocole OIDC/OAuth pour externaliser l’authentification, tandis que celles qui ont été achetées utilisent souvent le protocole SAML. Dans les deux cas, l’entreprise voudra généralement utiliser une forme de connexion d’entreprise, comme un fournisseur d’identité SAML, ADFS, Google Workspace, Microsoft Entra ID ou un service d’annuaire tel qu’AD ou OpenLDAP, et moins fréquemment, une base de données personnalisée, pour l’authentification des usagers de l’entreprise.

Plusieurs exigences sont communes aux entreprises qui créent ou intègrent des applications avec Auth0 dans un environnement B2E. Ce guide résumera les exigences les plus courantes pour les applications B2E et expliquera les fonctionnalités d’Auth0 qui aident à répondre à chaque besoin.

La plupart des entreprises disposent déjà d’un référentiel contenant des informations sur tous les employés et les profils utilisateurs. Il peut également contenir des informations sur les partenaires et les sous-traitants. Une exigence commune pour le scénario B2E est donc de permettre à ces utilisateurs de se connecter via des Connexions entreprise Auth0  telles que des fournisseurs SAML2, ADFS, Google Workspace, Microsoft ou un service d’annuaire d’entreprise sur site. Cette solution est favorable aux utilisateurs, car elle leur permet d’éviter de créer un nouveau nom d’utilisateur et un nouveau mot de passe pour chaque application et de plutôt utiliser les mêmes identifiants de connexion pour toutes les applications de leur entreprise.

Elle est particulièrement intéressante pour des questions de sécurité au sein de l’entreprise, car les identifiants de l’utilisateur ne sont exposés qu’à la pile d’identité et non à chaque application. De plus, cette architecture permet à l’entreprise de conserver le contrôle sur l’accès aux applications, car le fournisseur d’identité de l’entreprise offre un point d’arrêt unique. Si un utilisateur quitte l’organisation, les administrateurs peuvent simplement désactiver son compte dans le fournisseur d’identité de l’entreprise, et ledit utilisateur ne pourra plus se connecter à aucune des applications utilisant ce fournisseur d’identité.

Auth0 facilite l’activation de l’ouverture de session via une grande variété de fournisseurs d’entreprise en seulement quelques étapes de configuration simples.

Au cas où vous auriez beaucoup d’utilisateurs, vous pouvez créer des groupes et des rôles pour gérer l’accès et les privilèges. Souvent, ils sont stockés et administrés dans un service d’annuaire.

Auth0 peut obtenir des attributs utilisateur, comme les groupes et les rôles, à partir d’un service d’annuaire ou d’un fournisseur d’identité d’entreprise lors de l’authentification. Vous pouvez ensuite rendre les attributs disponibles via des jetons renvoyés à l’application ou avec Auth0 Management API.

Il arrive qu’un annuaire ou un fournisseur d’identité renvoie des attributs dans un format donné, mais que votre application utilise un autre format. À l’aide des Règlesd’Auth0, vous pouvez mapper et traduire les attributs du profil utilisateur. Vous pouvez même traduire entre OIDC/OAuth, SAML, WS-Fed et LDAP.

Par exemple, vous récupérez des attributs au format d’assertion SAML auprès d’un fournisseur d’identité SAML. Grâce à une règle, vous pouvez ensuite traduire les attributs en demandes personnalisées dans un jeton d’ID pour une application OIDC/OAuth.

Vous pouvez également mapper les attributs SAML au profil utilisateur Auth0 à partir du tableau de bord. Pour ce faire, rendez-vous dans Connexions > Entreprise > Fournisseur d’identité SAMLP, sélectionnez votre connexion SAML et définissez vos mappages d’attributs dans l’onglet Mappages.

Vous pouvez souhaiter enrichir les profils utilisateurs avec des attributs ou des données récupérées d’autres services. Par exemple, vous pourriez recevoir une adresse ou un numéro de téléphone et souhaiter le traduire en une région géographique. Les règles d'Auth0 vous permettent d’écrire de petits extraits de code qui s’exécutent pendant la transaction d’authentification. Cela vous permet d’exécuter une logique ou de faire appel à d’autres services pour obtenir des informations utilisateur, puis d’ajouter des métadonnées utilisateurs au profil utilisateur Auth0 et, éventuellement, aux jetons résultants envoyés à vos applications.

Si vous avez plusieurs applications internes, vous pouvez mettre sur pied l’ authentification unique (SSO) pour que les utilisateurs n’aient à se connecter qu’une seule fois.

Auth0 prend en charge l’intégration avec des applications qui externalisent l’authentification en utilisant des protocoles d’identité standard de l’industrie :

• OIDC/OAuth

• SAML2

• WS-Fed

Après quelques configurations, toutes vos applications peuvent tirer parti de votre fournisseur d’identité d’entreprise. Dans cette configuration, Auth0 est l’intermédiaire entre vos applications et les fournisseurs d’identité de l’entreprise.

Maintenant, lorsqu’un utilisateur se connecte à une application, il peut accéder à d’autres applications intégrées avec Auth0 sans avoir à se connecter à nouveau. Cela sera possible jusqu’à ce que leur session SSO expire. Vous devez configurer la durée de la session SSO dans Auth0 pour respecter les politiques de sécurité.

Dans Auth0, vous pouvez également intégrer des applications que vous avez achetées pour bénéficier de l’authentification unique (SSO). Auth0 propose des intégrations modélisées pour des applications telles que :

• Salesforce

• Zendesk

• Slack

• New Relic

L’image de marque est une partie importante de toute application. Votre logo, vos couleurs et vos styles doivent être cohérents dans toutes les parties de l’application. Vous pouvez personnaliser les pages de connexion, d’inscription et d’erreur affichées par Auth0 afin qu’elles correspondent à votre application. Ajoutez votre propre logo, texte et couleurs. Il existe également une prise en charge I18N/L10N pour les déploiements à l’échelle mondiale. Les courriels de vérification ou de réinitialisation de mot de passe  sont également personnalisables.

Les écrans de connexion doivent sembler provenir du nom de domaine de marque de votre application. Vous pouvez définir un nom de domaine personnalisé pour l’écran de connexion affiché par Auth0 afin d’assurer la cohérence de l’ensemble.

Les applications internes ou destinées aux employés traitent souvent du contenu sensible Authentification multifacteur (MFA) permet de protéger vos données et vos applications. Auth0 propose une variété de méthodes pour mettre en œuvre l’authentification multi-facteurs (MFA). En outre, pour plus de flexibilité, vous pouvez utiliser des règles pour l’activer uniquement pour les applications ou les groupes d’utilisateurs qui en ont besoin.

Avez-vous besoin d’analyser des journaux ou de les stocker à long terme? Auth0 fournit des extensions pour exporter des journaux vers des outils externes  pour l’analyse et la conservation. Vous pouvez également récupérer les données de journal à l’aide de management API.

Les entreprises utilisent les données des journaux à des fins multiples, à l’instar des rapports d’audit. Auth0 capture une variété de données dans des fichiers journaux, susceptibles d’être utiles pour vos rapports d’audit. Les journaux contiennent des informations sur les utilisateurs authentifiés, le fournisseur d’identité utilisé et les moments où des changements administratifs significatifs sont effectués dans Auth0 Dashboard.

Chaque événement de journal a un type d’événement. Vous pouvez utiliser les types d’événements comme filtres lors de la requête relative aux données de journal avec Management API, ou lors de l’exportation des journaux vers des outils d’analyse de journaux.

Surveiller les infrastructures et les services dont dépendent vos applications est essentiel. Auth0 propose une page Statut d’Auth0 à laquelle vous pouvez vous abonner

Auth0 fournit un nombre substantiel d’efforts pour minimiser les pannes, mais s’il y a une interruption de service, cela apparaîtra sur la page de statut. Pour appuyer les exigences de documentation de l’analyse des causes profondes après une interruption, Auth0 effectue une analyse interne et publie les résultats dans l’avis d’interruption une fois l’analyse terminée.

Les hackers constituent un aspect malheureux de la vie moderne sur Internet. Les hackers essaient constamment de trouver un moyen d’accéder aux applications. Par exemple, ils peuvent essayer de se connecter en utilisant des mots de passe courants. Ou ils peuvent utiliser des identifiants volés ailleurs, espérant que les utilisateurs aient réutilisé les mêmes mots de passe sur d’autres sites.

La protection contre les attaques d’Auth0 détecte ces situations pour les connexions à la base de données Auth0 et propose des options sur la façon de répondre. Activez la protection contre les attaques et configurez les options de réponse afin de pouvoir réagir de manière appropriée si un tel événement se produit.

Gérez-vous une grande partie du code de votre application dans Github? Vous pouvez déployer le code pour les Actions, les Règles, les Hooks ou l’accès à une base de données personnalisée à partir de là à l’aide de l’extension de déploiement GitHubd’Auth0.

Si vous disposez d’un pipeline complet d’intégration continue/déploiement continu, utilisez l’outil Auth0 Deploy CLI pour une plus grande flexibilité.