Gestion des profils (Commerce de détail - B2C)
À un certain moment, vous devrez peut-être modifier les informations stockées dans le profil d’un utilisateur. Le profil d’un utilisateur (également appelé compte d’utilisateur) est stocké dans Auth0 et des modifications aux informations qu’il contient peuvent devoir être apportées pour différentes raisons :
Mises à jour d’informations en libre-service
Mises à jour obligatoires concernant les conditions d’utilisation de votre organisation
Changements liés à la conformité réglementaire
Il est impossible d’accéder directement à un profil utilisateur sur plusieurs locataires Auth0. Si vous déployez plusieurs locataires Auth0 en production, vous devez alors en avoir conscience.
Un fournisseur d’identité renseigne le profil d’un utilisateur à l’aide des données fournies au cours de la procédure de connexion, ce que l’on appelle le profil utilisateur normalisé.
Le profil utilisateur normalisé est mis à jour par le fournisseur d’identités lors de la connexion. Vous pouvez modifier l’ensemble limité d’informations qu’il contient par l’intermédiaire de Management API Auth0. Vous pouvez également utiliser l’extensibilité Auth0, comme Rules (Règles), comme alternative pour remplacer les informations du profil utilisateur normalisé. Pour en savoir plus, consultez Modification des données du profil utilisateur.
Par défaut, un profil utilisateur est créé pour chaque identité d’utilisateur, et il y a un certain nombre de choses à prendre en compte :
Que faire si vous avez besoin de stocker des informations pour personnaliser l’expérience d’un utilisateur?
Que faire si vous devez stocker des informations de l’utilisateur qui ne proviennent pas d’un fournisseur d’identité?
Pourquoi devriez-vous stocker des informations relatives à l’utilisateur qu’un utilisateur ne peut pas modifier?
Que faire si vous devez stocker des informations relatives à l’utilisateur qu’un utilisateur ne peut pas modifier?
Que se passe-t-il si un utilisateur oublie son mot de passe?
Que doit faire un utilisateur s’il souhaite modifier son mot de passe?
Auth0 prévoit le stockage de métadonnées dans le profil d’un utilisateur, ce qui permet de saisir des informations supplémentaires, telles que la langue préférée et/ou l’accessibilité, afin d’améliorer l’expérience de l’utilisateur. Les métadonnées peuvent être utilisées pour stocker à la fois des informations qu’un utilisateur peut modifier et des informations qu’il ne peut pas modifier; ces dernières vous permettent d’associer, par exemple, un profil utilisateur à des enregistrements dans vos systèmes existants sans modifier l’implémentation existante.
Pour les utilisateurs qui oublient leur mot de passe ou qui sont autorisés à changer leur mot de passe via un mécanisme de libre-service existant (ou un mécanisme de libre-service que vous avez planifié), vous pouvez tirer parti de la fonctionnalité de Réinitialisation du mot de passe fournie par Auth0. Celle-ci peut être intégrée à votre implémentation existante et est déjà incorporée à tous les gadgets logiciel d’interface utilisateur Auth0 prêts à l’emploi, y compris Connexion universelle.
Vous voudrez également vous assurer que vous travaillez avec un compte d’utilisateur vérifié à tout moment. Auth0 fournit des mécanismes prêts à l’emploi pour ce cas également. Vous devez également prendre en compte la conformité réglementaire telle que le RGPD, qui a des exigences très spécifiques lorsqu’il s’agit de protéger les citoyens de l’UE contre les violations de la vie privée et des données.
Bien qu’Auth0 ne dispose pas actuellement de portail de gestion de profil centralisé, vous pouvez utiliser Management API Auth0 pour construire votre propre portail ou utiliser une interface utilisateur déjà construite. Consultez notre guide de la communauté Auth0, qui décrit le point de terminaison de Management API. Tous les appels à Management API nécessiteront un jeton d’accès.
La gestion des profils en libre-service peut poser des problèmes de sécurité et de confidentialité des données. Vous pourriez, par exemple, vouloir autoriser un utilisateur à modifier son adresse courriel. Cependant, le faire sans suivre les meilleures pratiques en matière de sécurité pourrait conduire à un blocage du compte de l’utilisateur, à une fuite d’informations personnelles identifiables (Personally Identifiable Information/PII) ou, pire encore, à une faille de sécurité potentielle.
Vous pouvez également utiliser l'Auth0 Dashboard pour gérer certains aspects du profil d’un utilisateur. La gestion du profil d’un utilisateur au moyen d’Auth0 Dashboard est davantage une fourniture administrative et ne doit pas être utilisée pour la gestion de profil en libre-service dans un environnement de production. Cependant, l’interface fournie par le Dashboard peut être très utile lors du développement, car elle offre un moyen simple et rapide de manipuler les informations de profil d’un utilisateur.
Métadonnées
Outre les informations du profil utilisateur normalisé, des métadonnées peuvent être stockées dans un profil utilisateur Auth0. Les métadonnées permettent de stocker des informations qui ne proviennent pas d’un fournisseur d’identité ou de stocker des informations qui remplacent celles fournies par un fournisseur d’identité.
Meilleure pratique
L’utilisation des métadonnées devrait suivre les Meilleures pratiques de stockage de données utilisateur d’Auth0. Le stockage des métadonnées n’est pas conçu pour être un stockage de données à usage général, et vous devriez toujours utiliser votre propre installation de stockage externe lorsque c’est possible. La taille et complexité des métadonnées doivent également être limitées à un minimum, et Management API Auth0 dispose d’un ensemble de directives strictes en ce qui concerne la mise à jour et/ou la suppression des métadonnées associées à un utilisateur.
Vous pouvez manipuler les métadonnées via Management API d’Auth0 et l’Authentication API Auth0. Comme pour la gestion du profil utilisateur normalisé, les appels à Management API pour la manipulation des métadonnées nécessitent l’utilisation d’un jeton d’accès.
Les appels à Management API sont soumis à une politique de limite anti-attaques Auth0. Vous devez prendre cela en compte. Pour vous aider, Auth0 conseille généralement l’utilisation de la Trousse SDK Auth0 qui convient à votre environnement de développement plutôt que d’appeler nos API directement.
Métadonnées de l’utilisateur
Les métadonnées d’utilisateur (également appelées user_metadata) sont des informations qui peuvent être stockées dans un profil utilisateur et qu’un utilisateur peut lire et mettre à jour dans le cadre d’une gestion de profil en libre-service. Les métadonnées de cette nature peuvent être quelque chose comme la salutation d’un utilisateur, ou la langue préférée d’un utilisateur, qui peut être utilisée pour personnaliser les courriels envoyés par Auth0.
Meilleure pratique
Stockez toutes les informations que vous souhaitez utiliser pour personnaliser les courriels Auth0 dans les métadonnées et de préférence dans les user_metadata si l’utilisateur est autorisé à les modifier, comme les informations utilisées pour déterminer la langue d’un courriel.
Métadonnées d’application
Les métadonnées d’application (également appelées app_metadata) sont, quant à elles, des informations qui peuvent être stockées avec un profil utilisateur mais qui ne peuvent être lues ou mises à jour qu’avec une autorisation appropriée; les app_metadata ne sont pas directement accessibles par un utilisateur. Ce type de métadonnées peuvent prendre la forme d’un drapeau indiquant que la dernière version des conditions d’utilisation valides a été acceptée par l’utilisateur, et éventuellement d’une date indiquant le moment où l’utilisateur les a acceptées.
Réinitialisation du mot de passe
Pour les utilisateurs qui oublient leur mot de passe ou qui sont autorisés à modifier leur mot de passe via un mécanisme de libre-service existant, Auth0 fournit une fonctionnalité de Réinitialisation du mot de passe. Vous pouvez l’intégrer à votre implémentation existante et elle est déjà incorporée dans les gadgets logiciel d’interface utilisateur Auth0 prêts à l’emploi, inclus dans Connexion universelle.
La modification et réinitialisation du mot de passe ne sont prises en charge que pour les types de Database Connection (Connexion à une base de données Auth0.
La connexion universelle Auth0 fournit un support UX intégré pour la réinitialisation du mot de passe en utilisant la fonctionnalité Authentication API Auth0. Vous pouvez également utiliser la Auth0 Authentication API, par le biais de l’une des trousses SDK Auth0 correspondant à votre environnement de développement. Les modèles de courriels utilisés pendant le processus de réinitialisation du mot de passe peuvent également être entièrement personnalisés, que vous utilisiez des gadgets logiciel d’interface utilisateur Auth0 prêts à l’emploi ou des connexions universelles personnalisées.
En revanche, vous pouvez utiliser Management API d’Auth0 pour modifier directement le mot de passe d’une identité d’utilisateur définie à l’aide d’un type de connexion de base de données. Vous pouvez utiliser Management API d’Auth0 dans le cadre de l’implémentation d’une gestion de profil en libre-service, ainsi que dans le cadre de la personnalisation de la page Changer le mot de passe.
Vérification de compte
Vous devez travailler avec un compte d’utilisateur vérifié en permanence en utilisant les mécanismes proposés par Auth0. Vous devez également prendre en compte la réglementation en vigueur, comme le RGPD, qui a des exigences très spécifiques en matière de protection des citoyens de l’UE contre les violations de la vie privée et des données.
Auth0 propose des fonctionnalités prêtes à l’emploi pour envoyer un courriel de vérification à l’adresse courriel d’un utilisateur pour vérifier son compte. Par défaut, Auth0 envoie automatiquement des courriels de vérification à toutes les identités de connexion à une base de données créées dans le cadre d’une inscription en libre-service. Toutefois, Auth0 fournit d’autre part un point de terminaison Management API pour que vous puissiez envoyer des courriels de vérification au cas où la confirmation d’adresse de courriel n’est pas effectuée par un réseau social lors de l’inscription d’un utilisateur.
Blocage d’utilisateurs
Leblocage d’accès d’utilisateur dans Auth0 permet d’empêcher que des utilisateurs se connectent à des applications sous certaines conditions. Par défaut, l’Auth0 Dashboard fournit un mécanisme prêt à l’emploi qui permet aux administrateurs de bloquer et de débloquer l’accès des utilisateurs à toutes les applications, et vous pouvez implémenter cette fonctionnalité à l’aide de la Auth0 Management API. Vous pouvez aussi profiter de l’extensibilité Auth0 pour désactiver l’accès des utilisateurs à certaines applications et disposer d’un contrôle d’accès très détaillé.
De plus, Management API d’Auth0 vous donne la possibilité de débloquer les utilisateurs désactivés suite à la saisie d’identifiants incorrects.
Association de comptes d’utilisateurs
Par défaut, un profil utilisateur (compte d’utilisateur) est créé pour chaque identité d’utilisateur. Si vous activez des connexions depuis plusieurs fournisseurs d’identité (via Facebook ou l’authentification sociale de Google ainsi que l’authentification par nom d’utilisateur et mot de passe Auth0), chaque connexion disposera d’un profil utilisateur distinct. Vous pouvez utiliser la fonctionnalité Auth0 pour associer des comptes d’utilisateurs pour créer un profil pour un utilisateur, regroupant toutes ses identités associées.
Associer des comptes a pour conséquence de fusionner les profils utilisateurs par paires : un compte principal et un compte secondaire doivent être spécifiés dans le processus d’association. Le nombre de comptes pouvant être associés va toutefois au-delà d’une seule paire. Par exemple, vous pouvez utiliser comme compte principal un compte avec lequel plusieurs comptes ont déjà été fusionnés et lui associer un compte secondaire supplémentaire. Cela signifie qu’un compte d’utilisateur peut être associé à plusieurs identités, ce qui présente un certain nombre d’avantages :
Les utilisateurs peuvent se connecter en utilisant plusieurs identités sans créer un profil distinct pour chacune d’entre elles.
Les utilisateurs enregistrés peuvent utiliser de nouvelles identités de connexion tout en continuant à utiliser leur profil existant.
Les utilisateurs peuvent conserver leur profil, quelle que soit l’identité qu’ils utilisent pour se connecter.
Les utilisateurs peuvent s’associer avec un compte contenant davantage d’informations d’identité afin de fournir un profil plus complet.
Vos applications peuvent récupérer des données de profil utilisateur spécifiques à la connexion.
Clôture
Il se peut que votre application doive prendre en charge la demande d’un utilisateur de supprimer son compte (par exemple, pour répondre aux exigences du RGPD). Vous pouvez implémenter une telle fonctionnalité, ainsi qu’un certain nombre d’autres fonctionnalités liées au profil, à l’aide de Management API. Management API vous permet de récupérer les informations stockées sur un utilisateur et de les mettre à jour si nécessaire.
Auth0 est capable de prendre en charge diverses exigences liées à la protection de la vie privée, notamment l’affichage de liens vers des avis de consentement lors de l’inscription et la protection des données pour prendre en charge les droits des utilisateurs à consulter et à corriger les données que vous avez collectées à leur sujet.
RGPD et d’autres directives sur la protection de la vie privée exigent que les utilisateurs aient le droit de consulter et de corriger les données détenues à leur sujet. Ils disposent également d’un « droit à l’oubli ». Vous pouvez utiliser Management API pour répondre à ces directives et satisfaire à vos obligations légales.
Guide de planification de projet
Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées.
B2C IAM Project Planning Guide