Flux de connexion pour les organizations

Les Organizations d’Auth0 permettent aux responsables de produits C3E ou d’applications SaaS de créer des architectures multilocataire, de stocker des jetons d’ID de manière appropriée et de minimiser les frictions de connexion de l’utilisateur final.

Votre application Auth0 peut être configurée dans l’onglet Organizations pour prendre en charge trois types d’utilisateurs : les particuliers, les utilisateurs professionnels ou les deux.

Les applications conçues explicitement pour les consommateurs - par exemple, Netflix ou Spotify - n’ont probablement pas besoin d’être gérées par une Organization. En choisissant Particuliers, les utilisateurs se connectent directement à l’application et le contexte de l’Organization n’est pas fourni.

Les applications B2B (entreprise-entreprise) ou SaaS (par exemple, Slack ou Jira) sont mieux servies par des Utilisateurs professionnels, de sorte que les utilisateurs finaux ne peuvent accéder à votre application que dans le contexte d’une organization Auth0. Les utilisateurs de plusieurs organizations sont dirigés vers le sélecteur d’organizations après le flux de connexion, lequel affiche les 20 premières organizations qu’ils ont rejointes.

Choisissez Both (les deux) si votre utilisateur final peut avoir un compte personnel et un compte professionnel avec votre application. Par exemple, Github stocke souvent des référentiels de code personnels et professionnels.

Vous pouvez configurer le type d’utilisateur de votre application via Auth0 Dashboard (tel que décrit ci-dessus) ou Management API. Plus précisément, utilisez le paramètre organization_usage du point de terminaison Mettre un client à jour pour définir le type d’utilisateur approprié. Pour plus d’informations sur les deux méthodes, consultez Définir le comportement de l’organization.

Après avoir sélectionné Business Users (Utilisateurs professionnels) ou Both (les deux), vous pouvez personnaliser davantage l’expérience de vos utilisateurs lorsqu’ils se connectent à votre application.

La plupart des organizations devraient choisir Prompt for Credentials (Inviter à fournir des identifiants), puis activer l’Authentification Identifier First. Si vous connaissez déjà l’organization avec laquelle un utilisateur tente de se connecter, l’option No Prompt (Aucune invite) et Développement personnalisé avec les Organizations permettent à votre application de conserver un flux de connexion personnalisé et associé à une marque. Les administrateurs peuvent encore améliorer l’expérience de l’utilisateur final en activant l’option Prompt for Organization (Invite concernant l’organization), qui demande aux utilisateurs d’identifier l’organization à laquelle ils se connectent.

Vous pouvez configurer le flux de connexion pour votre application via Auth0 Dashboard (tel que décrit ci-dessus) ou Management API. Plus précisément, utilisez le paramètre organization_require_behavior du point de terminaison Mettre à jour un client pour définir le flux approprié. Pour plus d’informations sur les deux méthodes, consultez Définir le comportement de l’organization.

Si votre application d’entreprise utilise Fédération d’entreprise, vous pouvez activer l’Authentification Identifier First avec découverte du domaine d’accueil dans son profil d’authentification. Une fois activée, la découverte du domaine d’accueil détecte les adresses courriel provenant d’un domaine connu et les envoie automatiquement à la connexion du personnel appropriée.

Dans ce flux, une seule connexion par base de données Auth0 peut être utilisée comme solution de repli lorsque le domaine de messagerie d’un utilisateur ne correspond pas au domaine du fournisseur d’identité (IdP) d’une connexion d’entreprise. Les utilisateurs voient l’invite de connexion de votre application s’afficher au lieu de l’invite de connexion de l’organization, et les connexions activées pour l’application sont visibles pour l’utilisateur.

Après qu’un utilisateur a fourni une adresse courriel, Auth0 la compare aux connexions d’entreprise activées pour cette application et à toutes les connexions d’entreprise activées pour les organizations. Si une correspondance est trouvée, l’utilisateur est invité à s’authentifier auprès de l’IdP associé. Si aucune correspondance n’est trouvée, un champ de mot de passe s’affiche.

Vous pouvez utiliser Management API pour configurer Identifier First. Plus précisément, utilisez le paramètre identifier_first du point de terminaison Update prompts settings (Mise à jour des paramètres des invites).

Au lieu d’inviter ou d’assigner directement des utilisateurs à une organization, vous pouvez vouloir permettre à tout utilisateur capable de s’authentifier avec un IdP fédéré d’obtenir l’accès à une Organization. Pour ces scénarios, Auth0 recommande le paramètre Abonnement automatique.

L’abonnement automatique est généralement déclenché par l’instruction donnée à un utilisateur de se connecter à l’aide de l’invite de connexion de l’organization, qui peut transmettre les paramètres de connexion et d’organization au nom de l’utilisateur. Si l’organization souhaitée par l’utilisateur ne peut être déterminée avant la connexion, le flux d’invite à fournir des identifiants accorde l’abonnement à la seule organization pour laquelle l’abonnement automatique est configuré.

Toutefois, il peut arriver que vous ne puissiez pas déterminer l’organisation souhaitée par un utilisateur avant de l’envoyer se connecter. Dans ce cas, vous pouvez utiliser le flux de l’invite à fournir des identifiants susmentionné, mais notez que l’utilisateur ne se verra accorder l’adhésion à l’organisation que si une et une seule organisation a cette connexion définie en tant que connexion activée pour l’organisation avec l’abonnement automatique activée.

Vous pouvez utiliser Management API pour configurer l’abonnement automatique. Plus précisément, utilisez le paramètre assign_membership_on_login du point de terminaison Modifier la connexion d’une organisation.