Configurer l’authentification unique pour Auth0 Dashboard

Vous pouvez configurer Auth0 pour qu’il autorise les membres locataires à utiliser votre propre fournisseur d’identité Enterprise (IdP) pour s’authentifier auprès de Auth0 Dashboard via l’authentification unique (SSO).

Pour configurer l’authentification unique pour le Dashboard, vous devez utiliser Auth0 Support pour ajouter une connexion Enterprise à la RTA (autorité du locataire racine), qui gère les méthodes d’authentification que peut utiliser un membre locataire pour se connecter au Dashboard.

L’ajout de cette connexion SSO n’empêche pas les membres locataires de se connecter à l’aide des méthodes d’authentification existantes (comme courriel/mot de passe, LinkedIn, Microsoft, GitHub ou Google).

Configurer SSO pour le Dashboard permet d’autre part d’activer la SSO pour tous les sites Auth0 publics, par exemple :

• Site web Auth0 (https://auth0.com)

• Communauté Auth0 (https://community.auth0.com)

• Documents Auth0 (https://www.auth0.com/docs)

• Centre d’assistance Auth0 (https://support.auth0.com)

Lorsqu’un utilisateur autorisé veut se connecter au Dashboard, il saisit l’adresse courriel d’un domaine enregistré (par exemple user@example.com) dans la page Connexion universelle Auth0, puis est redirigé vers votre IdP pour finaliser l’authentification.

Avant toute configuration de la SSO pour le Dashboard, veuillez réfléchir à ce qui suit :

• La SSO ne peut pas se limiter à des locataires spécifiques.

• La SSO ne prend pas en charge les flux d’authentification initiés par IdP.

• Les invitations de membres locataires ne peuvent ni être automatisées, ni être envoyées en masse avec Auth0 Management API.

• L’accès des membres locataires ne peut pas être géré par vos appartenances au groupe IdP.

• La MFA ne peut pas être appliquée à tous les membres d’un locataire.

Lorsque vous ajoutez votre IdP en tant que connexion disponible pour les membres locataires, tous les utilisateurs de votre répertoire IdP peuvent accéder au Dashboard, mais seuls les membres locataires qui ont été invités par un locataire donné peuvent accéder à celui-ci.

Lorsque les utilisateurs tentent d’accéder à un locataire dans le Dashboard sans invitation, le système refuse l’opération. Si les utilisateurs n’appartiennent à aucun locataire, le système les invite à remplir leur profil utilisateur et à créer un nouveau locataire d’essai. La création d’un nouveau locataire d’essai ne l’associe pas à votre plan Enterprise.

Si un membre locataire a été invité (et donc a accès) à un locataire du Dashboard en utilisant une autre identité que celle créée sur la nouvelle connexion, il pourra toujours se servir de cette identité pour accéder au locataire (techniquement en tout cas).

Vous devrez décider si vous voulez supprimer son ancienne identité, ou la garder comme potentielle méthode d’authentification alternative.

Configurer SSO pour le Dashboard nécessite une série d’étapes partagées entre vous et Auth0 Support.

Ouvrez un ticket auprès de l’équipe Auth0 Support pour partager vos données de configuration IdP pour qu’elles puissent configurer SSO. Donnez les informations suivantes lorsque vous envoyez votre ticket :

• Le ou les domaines de messagerie que vous souhaitez associer à la configuration SSO

• Le nom de l’IdP

• Le protocole d’authentification

• Autres informations spécifiques à IdP

D’autres étapes de configuration sont nécessaires, selon l’IdP et le protocole d’authentification que vous souhaitez utiliser :

1. Créez une Partie de confiance dotée des propriétés suivantes :

   Propriété	Valeurs
   ID entité	urn:auth0:auth0:{assignedConnectionName}
   Point de terminaison de rappel	https://auth0.auth0.com/login/callback

2. Ajoutez une description de demande pour chacune des demandes suivantes :

   Demande	Identifiant de la demande	Valeur
   Identifiant du nom	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	E-Mail-Addresses ou User-Principal-Name
   Adresse courriel	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	N/A
   Nom	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	N/A

3. Activez les point de terminaison SAML 2.0.

4. Communiquez les informations suivantes à Auth0 Support :

   • Point de terminaison de la connexion (par exemple : https://{yourServer}/adfs/ls)

   • Certificat de signature, ou fichier XML de métadonnées SAML

1. Créez une nouvelle inscription App.

2. Définissez le type de URI de redirection sur Web, et sa valeur sur https://auth0.auth0.com/login/callback.

3. Sélectionnez Inscrire.

4. Activez l’octroi implicite pour le jeton d’ID.

5. Ajoutez la demande de courriel au jeton d’ID.

6. Communiquez les informations suivantes à Auth0 Support :

   • L’ID de l’application (client)

   • Le point de terminaison des métadonnées OIDC (par exemple, https://login. microsoftonline.com/{yourAzureAdTenantId}/v2.0/.well-known/openid-configuratio)

1. Créez une nouvelle application Enterprise.

2. Configurez l’authentification unique pour SAML avec les propriétés suivantes (vous aurez peut-être besoin d’utiliser des valeurs d’espaces réservés jusqu’à ce que Auth0 Support vous communique le nom de la connexion SSO) :

   Propriété	Valeur
   Identifiant (ID entité)	urn:auth0:auth0:{assignedConnectionName}
   URL (ACS) de réponse	https://auth0.auth0.com/login/callback
   URL de connexion	https://manage.auth0.com/login?connection={assignedConnectionName}

3. Ne modifiez pas la section Attributes & Attributs et demandes, notamment Email, Unique User Identifier et éventuellement name -  ; laissez les suggestions Azure.

4. Communiquez à Auth0 Support les données XML des métadonnées SAML. Vous avez le choix entre ce qui suit :

   • Partager l’URL des métadonnées de la fédération des applications (par exemple, https://login.microsoftonline.com/{azureAdTenantId}/federationmetadata /2007-06/federationmetadata.xml?appid={appId}).

   • Télécharger le document XML des métadonnées de la fédération et le joindre au ticket.

Auth0 prend en charge la configuration de SSO pour le Dashboard avec un IdP SAML Google, mais nous recommandons de diriger les utilisateurs vers une méthode d’authentification de type Google.

Lorsque qu’un utiisateur se connecte à l’IdP Google SAML, Auth0 lui crée une nouvelle identité utilisateur (autre que son identité d’utilisateur Google existante), ce qui pourrait prêter à confusion.

Si vous souhaitez configurer SSO pour le Dashboard avec un IdP Google SAML, lisez IdP générique (SAML) pour des instructions.

1. Créez une application SAML avec les propriétés suivantes (vous aurez peut-être besoin d’utiliser des valeurs d’espaces réservés jusqu’à ce que Auth0 Support vous communique le nom de la connexion SSO) :

   Propriété	Valeur
   ID entité	urn:auth0:auth0:{assignedConnectionName}
   Point de terminaison de rappel (URL ACS)	https://auth0.auth0.com/login/callback

2. Définissez le Name Identifier (Identifiant de nom) pour qu’il envoie l’adresse courriel de l’utilisateur.

3. Communiquez à Auth0 Support les données XML des métadonnées SAML. Vous avez le choix entre ce qui suit :

   • Partager l’URL XML des métadonnées SAML :

     1. Localisez la section Certificats de signature SAML.

     2. Sélectionnez le menu Actions.

     3. Sélectionnez Afficher les métadonnées IdP, puis sélectionnez Copier l’adresse du lien. Elle aura le format suivant : https://{org}.okta.com/app/{appId}/sso/saml/metadata.

   • Télécharger le fichier XML des métadonnées de la fédération et le joindre au ticket.

La SSO pour le Dashboard ne prend pas en charge les flux d’authentification initiés par IdP. Si vous voulez que les utilisateurs puissent sélectionner un chiclet pour se connecter au Dashboard, vous devez :

1. Masquer l’application SAML aux utilisateurs.

2. Créer une application Bookmark qui pointe sur https://manage.auth0.com/login?connection={assignedConnectionName}. Il s’agit de l’application que les utilisateurs pourront sélectionner pour se connecter.

Veillez à activer à la fois l’application SAML et l’application Bookmark pour que le même ensemble d’utilisateurs puisse utiliser l’application.

1. Créez un connecteur de test SAML (SP) doté des propriétés suivantes (vous devrez peut-être utiliser des valeurs d’espaces réservés jusqu’à ce que Auth0 Support vous communique le nom de la connexion SSO) :

   Propriété	Valeur
   ID entité	urn:auth0:auth0:{assignedConnectionName}
   Point de terminaison de rappel (URL ACS)	https://auth0.auth0.com/login/callback
   URL de connexion	https://manage.auth0.com/login?connection={assignedConnectionName}

2. Transmettez à Auth0 Support le fichier XML des métadonnées SAML.

1. Enregistrez une application (client) avec l’IdP et les propriétés suivantes :

   Propriété	Valeur
   URL de rappel	https://auth0.auth0.com/login/callback

2. Ajoutez la demande de courriel au jeton d’ID.

3. Transmettez à Auth0 Support ce qui suit :

   • ID Application (client)

   • URL de l’émetteur ou point de terminaison de métadonnées OIDC (p. ex., https://{idpDomain}/[...]/.well-known/openid-configuration)

1. Auth0 Support vous fournira le nom de la connexion SSO.

2. Créez une application SAML avec les propriétés suivantes :

   Propriété	Valeur
   ID entité	urn:auth0:auth0:{assignedConnectionName}
   Point de terminaison de rappel	https://auth0.auth0.com/login/callback

3. Veillez à ce que les assertions SAML contiennent les demandes suivantes :

   Demande	Identifiant de la demande	Valeur
   Identifiant du nom	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	upn ou emailaddress
   Adresse courriel	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	N/A
   Nom	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	N/A

4. Transmettez à Auth0 Support l’un des deux éléments suivants :

   • URL et certificat de connexion

   • Fichier XML de métadonnées SAML

L’équipe Auth0 Support utilise les données de configuration que vous avez fournies pour terminer l’installation de la connexion SSO.

HRD n’est pas configurée lors de l’installation initiale.

Une fois l’installation initiale de SSO réalisée, l’équipe Auth0 Support va vous faire tester la connexion SSO pour valider les données de configuration et vérifier que les membres locataires peuvent s’authentifier sur la connexion SSO de la manière que vous souhaitez.

L’équipe Auth0 Support vous fournit une URL de connexion directe que vous pouvez utiliser pour demander l’authentification des nouvelles connexions SSO. Par exemple :

https://manage.auth0.com/login?connection={assignedConnectionName}

Si vous utilisez Auth0 Teams avec votre locataire Enterprise, vous pouvez imposer l’authentification SSO aux locataires qui appartiennent au compte Teams. Pour en savoir plus sur l’administration et la gestion des locataires, lisez Auth0 Teams.

1. Ouvrez une nouvelle fenêtre du navigateur et saisissez l’identifiant de votre compte Teams : https://accounts.auth0.com/teams/{team-identifier}.

   Vous trouverez l’identifiant Teams dans l’URL ou dans les Paramètres de Teams.

2. Naviguez vers la page Sécurité.

3. Configurez les politiques de sécurité en sélectionnant Imposer la connexion unique.

Si vous utilisez Universal Login (Connexion universelle) ou Classic Login (Connexion classique), vous pouvez demander à activer HRD afin que la page de connexion reconnaisse le domaine de l’adresse courriel que saisit le membre locataire, puis dirige celui-ci vers la nouvelle connexion SSO.

Si HRD est activée, les membres locataires qui ont précédemment utilisé une identité courriel/mot de passe (avec une adresse électronique correspondant au domaine HRD configuré) ne pourront pas se connecter via la page de connexion.

En raison de ce changement de comportement, ne demandez l’activation de HRD qu’après que certains membres locataires soient conscients de ce changement et qu’ils :

• reçoivent une invitation à rejoindre les locataires sous leur nouvelle identité, ou

• ont besoin de se ré-inviter sous leur nouvelle identité.

Si un membre locataire a besoin de se connecter avec son identité courriel/mot de passe, vous pouvez lui donner une URL de connexion directe :

https://manage.auth0.com/login?connection=auth0

Cette URL ignorera HRD et permettra au membre de se connecter avec son identité courriel/mot de passe.

Voici un exemple d’une liste de membres locataires :

Si nous associons le domaine example.com à la nouvelle connexion, les membres locataires user1@gmail.com, user2@example.com et user3@acme.com peuvent se connecter comme auparavant, car ils utilisent soit un réseau social, soit une adresse électronique avec domaine non associé.

Inversement, les membres locataires user1@example.com, user4@example.com et user5@example.com ne peuvent pas se connecter comme ils le faisaient auparavant car leurs adresses électroniques sont associées au domaine configuré pour HRD.

La procédure de migration de membres locataires existants dépend de l’activation de HRD.

Pour migrer des membres locataires avec la HRD désactivée, vous devez partager l’URL de connexion directe pour la nouvelle connexion SSO :

https://manage.auth0.com/login?connection={assignedConnectionName}

1. Créez une invitation de membre locataire pour le membre locataire.

2. Indiquez au membre locataire d’effectuer ce qui suit :

   1. Se connecter à la nouvelle connexion SSO en utilisant l’URL de connexion directe avant d’accepter l’invitation.

      S’il s’agit de la première fois que vous vous connectez à la nouvelle connexion SSO, il est possible qu’une page d’enrichissement de profil s’affiche (à l’adresse https://auth.com/profile). Ne remplissez aucun champ et sélectionnez Next (Suivant). Suivez plutôt la prochaine étape.

   2. Copier et coller l’URL d’invitation reçue dans le courriel d’invitation dans le même navigateur auquel il s’est connecté sur la nouvelle connexion SSO. Les utilisateurs ne doivent pas sélectionner Créer un compte.

   3. Accepter l’invitation.

   4. Si l’utilisateur a des invitations pour d’autres locataires, il peut les utiliser pour le moment.

Pour migrer des membres locataires avec la HDR activée, vous devez effectuer des étapes similaires à l’ajout de membres locataires :

1. Créez une invitation de membre locataire pour le membre locataire.

2. Indiquez au membre locataire d’effectuer ce qui suit :

   1. Se déconnecter du Dashboard (s’il s’était connecté avec une ancienne identité).

      S’il s’agit de la première invitation que vous acceptez, vous pouvez voir une page « Create a new tenant » (Créer un nouveau locataire) ou « Create a new account » (Créer un nouveau compte). Ne sélectionnez pas Next (Suivant). Suivez plutôt la prochaine étape.

   2. Suivre le lien d’invitation inclus dans le courriel d’invitation qu’il a reçu.

   3. Se connecter à la nouvelle connexion.

   4. Accepter l’invitation.