Fournisseur d’identité unique : Gestion des profils
La gestion des profils dans les scénarios basés sur des organizations est généralement similaire à celle des autres scénarios d’architecture. Dans nos scénarios d’architecture, nous fournissons des conseils généraux sur B2B Profile Management (gestion des profils C3E), que nous recommandons de consulter en parallèle des directives fournies ici.
Avant de pouvoir gérer les rôles associés à un utilisateur, un compte utilisateur doit exister dans Auth0. Ce principe est vrai même si vous utilisez la capacité de rôle des organizations Auth0 associée à l’adhésion. Cependant, les comptes d’utilisateurs qui sont fournis via le flux de production user invitation peuvent se voir attribuer un rôle automatiquement dans le cadre du processus d’invitation. Pour plus d’informations, consultez Inviter les membres d’une organization. Si vous préenregistrez un utilisateur à l’aide d’un autre mécanisme, vous devez alors stocker les informations relatives au rôle en dehors d’Auth0 et y accéder/les copier par l’intermédiaire de l’extensibilité (p. ex., dans le cadre d’une Règle lors de la première authentification).
Votre application peut être associée à un ensemble spécifique d’attributs utilisateur (par ex., les préférences de l’utilisateur ou les informations d’identification utilisées pour mieux servir le client) pour lesquels vous fournissez une certaine sorte de gestion en libre-service aux utilisateurs. Par ailleurs, vous pouvez également fournir une gestion de profil en libre-service pour les attributs qui sont généralement gérés par le fournisseur d’identité (IdP).
Meilleure pratique
Dans les scénarios de type organisation, les adresses courriel doivent toujours être vérifiées. Par conséquent, vous devez fournir une fonctionnalité de vérification de l’adresse électronique en libre-service pour les situations dans lesquelles l’adresse courriel d’un utilisateur ne peut pas être vérifiée d’une autre manière. Pour en savoir plus, consultez Vérification de l’adresse électronique.
Connexion à la base de données
Auth0 vous offre la possibilité de mettre en place un support de gestion de profil en libre-service via Management API Auth0. Si vous utilisez les organisations Auth0 pour approvisionner des invitation-based user provisioning (utilisateurs basé sur des invitations), vous devrez probablement restreindre les modifications apportées aux champs qui sont généralement détenus par votre locataire Auth0 en tant que fournisseur d’identité (IdP). Par exemple, pour éviter qu’un utilisateur n’utilise une adresse courriel autre que celle à laquelle son invitation a été envoyée, vous devrez restreindre les modifications apportées à celle-ci. La restriction des modifications apportées au champ de l’adresse courriel permettrait d’éviter que des courriels spécifiques aux entreprises ne soient envoyés à des adresses courriel personnelles.
Vous pouvez également envisager de fournir quelques éléments en libre-service aux utilisateurs qui s’authentifient via une connexion à la base de données dans Auth0. Vous pouvez par ailleurs vouloir que les utilisateurs soient en mesure de :
changer leur adresse courriel
changer les numéros de téléphone associés
changer leur nom d’utilisateur
déprovisionner leurs comptes dans le cadre de la conformité réglementaire [comme le Règlement général sur la protection des données (RGPD)]
procéder au changement de leur mot de passe. Pour cela, nous conseillons généralement la méthode de password reset (réinitialisation du mot de passe), qui s’appuiera le plus souvent sur la stratégie de marque propre à l’organisation décrite dans la section Branding: Password Reset Page (Marque : Page de réinitialisation du mot de passe).
La fonctionnalité de libre-service doit généralement être implémentée et hébergée en dehors d’Auth0 et doit être très sécurisée.
Connexion d’entreprise
Étant donné que le fournisseur d’identité (IdP) en amont gère généralement les attributs du profil utilisateur gérés par l’IdP, la gestion des profils peut être relativement inexistante dans ce cas d’utilisation. Toutefois, si vous utilisez des attributs d’utilisateur spécifiques à une application, vous pourriez quand même vouloir fournir des fonctionnalités en libre-service.
En outre, vous voudrez certainement fournir à une organisation un moyen de déprovisionner les utilisateurs de votre locataire Auth0. Auth0 ne communique pas avec un IdP en amont, sauf lorsque la session SSO Auth0 expire. Comme le délai d’expiration d’une session SSO sera probablement trop long pour la plupart des scénarios de suppression d’un utilisateur, l’administrateur d’une organisation doit pouvoir bloquer ou supprimer un utilisateur de manière indépendante.
Connexion sociale
Dans le contexte des connexions au moyen de réseaux sociaux, la gestion des profils suit un schéma similaire à celui associé à une connexion d’entreprise, mais l’IdP en amont est associé au fournisseur du réseau social plutôt qu’à une organisation particulière.
Administration
Dans certains cas, il peut être utile de donner à vos clients l’accès à la gestion des comptes d’utilisateurs associés à leur organisation. C’est souvent le cas pour les scénarios de type help-desk dans lesquels un opérateur de help-desk peut mettre à jour les informations de profil au nom d’un utilisateur ou aider un utilisateur à débloquer un compte.
Auth0 fournit d’emblée le Auth0 Dashboard (Tableau de bord Auth0), qui permet d’assurer la gestion générale d’un locataire Auth0. Cependant, vous ne voudriez pas accorder à un client l’accès à votre Tableau de bord des locataires Auth0, car cela lui permettrait de gérer tous les utilisateurs de toutes les organisations, une situation qui n’est pas souhaitable.
Bien que le Auth0 Tenant Dashboard puisse être utilisé pour gérer les comptes d’utilisateurs, il ne permet pas d’isoler les organizations. Donner à un client l’accès à votre Auth0 Dashboard lui permet de modifier les utilisateurs dans toutes les organisations, ce qui n’est pas souhaitable. Le Auth0 Delegated Admin Dashboard peut être configuré pour assurer l’administration des comptes d’utilisateurs en tenant compte d’Organization-Auth0. Toutefois, il ne peut être utilisé pour gérer les abonnements ou les invitations.
Si vous offrez déjà à vos clients une fonctionnalité de type help-desk, vous pouvez utiliser Management API Auth0 pour gérer les comptes d’utilisateurs dans Auth0. Par exemple, Management API peut être utilisée pour récupérer des membres d’organisations et les organisations auxquelles sont rattachés les utilisateurs. Si vous ne disposez pas encore d’un service d’assistance (help desk), vous devrez mettre en place cette fonctionnalité, le cas échéant.