Jetons d’accès de fournisseur d’identité
Les fournisseurs d’identités émettent des jetons d’accès tiers après l’authentification des utilisateurs auprès de ce fournisseur. Vous pouvez utiliser les jetons d’accès pour appeler l’API du fournisseur tiers qui les a émis. Par exemple, vous pouvez utiliser un jeton d’accès émis après qu’un utilisateur s’est authentifié avec Facebook pour appeler l’API graphique de Facebook.
Pour les utilisateurs individuels, les jetons de fournisseur d’identité sont disponibles dans le tableau identities (identités) de l’objet user (utilisateur) sous l’élément correspondant à la connexion particulière. Pour accéder en toute sécurité aux jetons d’un utilisateur spécifique, il est nécessaire de disposer d’un jeton d’accès à Management API incluant la permission read:user_idp_tokens. Vous pouvez ensuite effectuer un appel HTTP GET vers le Obtenir un point de terminaison utilisateur pour récupérer les jetons.
Pour les utilisateurs administrateurs de connexions d’entreprise configurées via un flux de consentement OAuth 2.0, les jetons de fournisseur d’identité sont disponibles dans l’objet connection (connexion). Pour accéder en toute sécurité aux jetons pour une connexion, vous avez besoin d’un jeton d’accès à Management API qui comprend la permission read:connections. Vous pouvez ensuite effectuer un appel HTTP GET au point de terminaison Obtenir un point de terminaison de connexion pour récupérer les jetons.
Le contenu des jetons d’accès tiers varie en fonction du fournisseur d’identités émetteur. Les jetons étant créés et gérés par un tiers (comme Facebook, GitHub, etc.), la période de validité des jetons tiers varie en fonction de l’émetteur. Si vous pensez que ces jetons ont été compromis, vous devez les révoquer ou les réinitialiser auprès du tiers qui les a émis.
Renouveler les jetons tiers
Aucune méthode standard ne permet de renouveler les jetons d’accès de fournisseurs d’identité par l’intermédiaire d’Auth0. Le mécanisme de renouvellement des jetons d’accès de fournisseurs d’identités varie pour chaque fournisseur. Pour certains fournisseurs d’identité, Auth0 peut stocker également un jeton d’actualisation que vous pouvez utiliser pour obtenir un nouveau jeton d’accès pour le fournisseur d’identité. Voici une liste de quelques-uns des fournisseurs d’identités :
BitBucket
Google OAuth 2.0 (passez le paramètre
access_type=hors ligne, ainsi que le paramètreconnection_scopeavec les permissions requises, lors de l’appel du point de terminaison Auth0/autorize)Tout autre fournisseur d’identités OAuth 2.0
SharePoint
Microsoft Entra AD
Vous pouvez récupérer les jetons d’actualisation de la même manière que vous récupérez les jetons d’accès. Consultez les directives ci-dessus pour plus d’informations.
Validation des jetons tiers
Généralement, si vous avez reçu un jeton d’accès d’un fournisseur d’identité, vous n’avez généralement pas besoin de le valider. Vous pouvez le transmettre à l’émetteur, qui se chargera du reste.