Règles pour les politiques d’autorisation
La date de fin de vie (EOL) des Règles et des Appels sera le 18 novembre 2026. Ils ne sont plus disponibles pour les nouveaux locataires créés à partir du 16 octobre 2023. Les locataires actuels ayant des hooks actifs conserveront l’accès aux produit Hooks jusqu’à la fin de leur durée de vie.
Nous vous conseillons vivement d’utiliser les Actions pour étendre Auth0. Avec les Actions, vous avez accès à des informations de type enrichies, à une documentation intégrée et à des packages npm publics, et vous pouvez connecter des intégrations externes qui optimisent votre expérience d’extensibilité globale. Pour en savoir plus sur ce que les Actions proposent, consultez Comprendre comment fonctionnent Auth0 Actions.
Pour vous aider dans votre migration, nous proposons des guides qui vous aideront à migrer des Règles vers les Actions et à migrer des Hooks vers les Actions. Nous avons également une page dédiée à la Migration vers les Actions qui met en évidence les comparaisons de fonctionnalités, une démo des Actions et d’autres ressources pour vous aider dans votre parcours de migration.
Pour en savoir plus sur l’obsolescence des Règles et des Appels, consultez notre article de blog : Preparing for Rules and Hooks End of Life (Préparation à la fin de vie des règles et des crochets).
Vous pouvez ajouter des règles à la politique d’autorisation préconfigurée afin d’exercer un contrôle supplémentaire sur l’autorisation ou le refus d’accès de l’utilisateur. Une règle contient un code personnalisé qui prend une décision d’autorisation basée sur une logique. Lorsqu’elle est combinée à d’autres règles, elle permet de définir ce qu’il se passe dans différents contextes.
Les règles peuvent restreindre l’accès en fonction de n’importe quelle combinaison d’attributs stockés pour les utilisateurs, tels que le service de l’utilisateur, l’heure de la journée, l’emplacement ou tout autre attribut d’utilisateur ou d’API (comme le nom d’utilisateur, l’habilitation de sécurité ou le nom de l’API).
Par exemple, si vous utilisez des règles pour fournir un contrôle d’accès précis à une organisation à but non lucratif, vous pouvez autoriser uniquement les employés W2 travaillant dans le département Recherche et développement du bureau de New Delhi à accéder à une application.
Pour des exemples d’implémentations de règles avec des politiques d’autorisation, consultez Exemples de cas d’utilisation : Règles avec autorisation.
Règles dans le processus d’autorisation
En fonction de leur ordre d’exécution, les règles peuvent modifier le résultat de la décision d’autorisation avant que les autorisations ne soient ajoutées au jeton d’accès. Le processus de base avec des règles injectées est le suivant :
L’utilisateur tente de s’authentifier auprès de l’application.
Auth0 transmet la demande au fournisseur d’identité sélectionné.
Une fois que le fournisseur d’identité a confirmé que les identifiants de l’utilisateur sont valides, toutes les règles créées s’exécutent dans l’ordre dans lequel elles ont été configurées dans le Dashboard.
En supposant qu’aucune règle n’ait restreint l’accès de l’utilisateur, celui-ci est autorisé à accéder à l’application.