Vérifier les courriels à l’aide d’Auth0
Lorsque vous utilisez une adresse courriel fournie par un utilisateur, il est important de vérifier que l’utilisateur a accès à cette adresse. C’est le cas chaque fois que vous envoyez un courriel à un utilisateur ou que vous utilisez le courriel comme index de recherche. Auth0 ne recommande pas l’utilisation d’une adresse courriel comme moyen de valider l’identité d’un utilisateur.
La vérification de l’adresse de courriel est cruciale pour les applications qui :
utilisent les adresses courriel comme l’un des principaux moyens d’indexer les utilisateurs;
envoient des courriels aux utilisateurs;
utilisent les adresses courriel pour recommander l’association de comptes;
permettent aux utilisateurs de créer des comptes associés à une adresse courriel.
Auth0 propose plusieurs façons d’ajouter la vérification par courriel à votre application, ainsi qu’une extension Marketplace qui oblige les utilisateurs à confirmer leur courriel avant de se connecter.
Bien que la vérification de l’adresse courriel réduise le risque de compromission des comptes, il ne s’agit pas d’une solution parfaite. Votre application peut également nécessiter d’autres mesures de sécurité.
Choisir la bonne approche
Il existe plusieurs manières de marquer les courriels comme vérifiés ou non vérifiés. Pour déterminer la méthode qui vous convient le mieux, voici quelques questions à vous poser ou à poser à votre équipe :
Est-ce que je stocke (ou prévois de stocker) des identifiants et des mots de passe dans Auth0 (ou dans une base de données connectée via Auth0)?
Ai-je des exigences particulières en matière de vérification d’adresse de courriel qui m’empêchent d’utiliser le flux de vérification d’adresse de courriel intégré à Auth0?
Dois-je configurer en masse un grand nombre d’utilisateurs pour la vérification des courriels?
Les utilisateurs provenant d’Entra ID, d’ADFS ou d’autres connexions d’entreprise ont-ils besoin que leurs courriels soient vérifiés?
Si vous stockez des identifiants et des mots de passe dans Auth0 ou si vous utilisez une connexion à une base de données personnalisée pour stocker des utilisateurs dans votre propre système, vous pouvez alors utiliser le flux de vérification par courriel intégré.
Si vous avez des exigences qui vous empêchent d’utiliser le flux intégré d’Auth0 ou si vous avez besoin de configurer en masse un grand nombre d’utilisateurs, nous avons des points de terminaison d’API pour vous aider.
Pour finir, si vos utilisateurs proviennent de connexions d’entreprise, certaines de ces connexions disposent de flux de vérification de l’adresse de courriel spécifiques. Pour en savoir plus, consultez Soutien à la vérification spéciale.
Liens de vérification par courriel
Un moyen courant d’effectuer la vérification par courriel avec Auth0 est d’envoyer un lien de vérification à l’utilisateur. Lorsque l’utilisateur clique sur le lien, l’indicateur email_verified prend la valeur true.
Par défaut, Auth0 envoie des liens de vérification par courriel aux utilisateurs lors de leur inscription.
Vous pouvez également personnaliser à quel moment Auth0 envoie des courriels de vérification. Par exemple, si vous devez vérifier des courriels en masse ou si vous souhaitez retarder la vérification jusqu’à ce que l’utilisateur effectue une action qui nécessite une vérification de l’adresse de courriel.
Vous pouvez contrôler le moment où l’utilisateur reçoit le courriel de vérification de deux manières différentes :
Faites appel à la fonction de vérification par courriel. Cela permet à Auth0 d’envoyer le courriel de vérification à l’aide du modèle de courriel de vérification.
Créez un billet de vérification par courriel et envoyez le courriel vous-même, en y incluant le ticket que l’utilisateur doit utiliser pour effectuer la vérification par courriel.
Mots de passe à usage unique
Les mots de passe à usage unique peuvent être envoyés par courriel à chaque nouvel utilisateur au moment de la création du compte afin de s’assurer que chaque utilisateur dispose d’un courriel vérifié. Étant donné que les liens de vérification par courriel peuvent donner lieu à des vérifications accidentelles par des scanneurs de courriels ou par les utilisateurs eux-mêmes, les mots de passe à usage unique assurent que chaque utilisateur effectue expressément la vérification d’une adresse courriel existante. Pour utiliser les mots de passe à usage unique, votre locataire doit avoir activé la connexion universelle, les identifiants flexibles et la connexion Identifier-First.
Pour configurer les mots de passe à usage unique, rendez-vous dans Authentication (Authentification) > Database (Base de données) et sélectionnez la connexion à modifier, puis sélectionnez Attributes (Attributs), localisez Email (Courriel), cliquez sur le bouton de menu, et activez One-Time Password [OTP] (Mot de passe à usage unique).
Vérification personnalisée ou en masse avec Management API
Cela fonctionne pour les connexions sociales et de base de données, mais pas pour les connexions d’entreprise. N’oubliez pas que le champ email_verified peut être remplacé par le fournisseur d’identité sociale si les données proviennent de ce dernier.
Dans certains cas, il est possible de vérifier l’adresse de courriel par d’autres moyens. Par exemple, vous disposez d’une liste d’utilisateurs à vérifier en masse ou vous avez d’autres moyens de vérifier l’adresse de courriel d’un utilisateur par le biais d’un flux de travail personnalisé que vous avez créé vous-même.
Dans ces cas, vous pouvez utiliser le point de terminaison PATCH /api/v2/userspour définir email_verified à true.
Prise en charge de la vérification spéciale
Pour les connexions d’entreprise Entra ID et ADFS, Auth0 prend en charge certains flux de vérification de l’adresse de courriel personnalisés. Cela permet de s’assurer que les utilisateurs provenant d’autres systèmes ont vérifié leurs courriels de manière précise et sécurisée. Pour en savoir plus, consultez Vérification par courriel pour Microsoft Entra ID et ADFS.