Passer au contenu principal
Auth0 propose deux façons de mettre en œuvre le contrôle d’accès basé sur les rôles (RBAC), que vous pouvez utiliser à la place du système de contrôle d’accès interne de votre API ou en combinaison avec lui :L’ensemble des fonctionnalités Authorization Core correspond aux fonctionnalités d’Authorization Extension, améliore les performances et l’évolutivité, et fournit un système RBAC plus souple qu’Authorization Extension.À ce stade, les deux mettent en œuvre les fonctionnalités clés de RBAC et vous permettent de restreindre les permissions personnalisées définies pour une API à celles qui ont été attribuées à l’utilisateur en tant qu’autorisations.
Si vous disposez d’une application accessible à tous au sein de votre société, les utilisateurs seront les individus auxquels vous souhaitez accorder l’accès à votre application. Si vous avez un grand nombre d’utilisateurs, la gestion des droits d’accès et des permissions de chacun individuellement peut devenir compliquée. La fonctionnalité groupes facilite cette gestion. Par exemple, vos groupes peuvent refléter les différents services de votre organisation : comptabilité, informatique, ingénierie, assistance, etc. Il est également possible de créer des groupes imbriqués, par exemple en divisant le groupe d’ingénierie en deux groupes imbriqués : outils internes et applications destinées aux clients. La hiérarchie de votre organisation se présente donc comme suit :
  • Société
    • Comptabilité
    • Informatique
    • Ingénierie
      • Outils internes
      • Applications orientées client
    • Soutien
Authorization Extension Corporate Groups Diagram
Vous pouvez ajouter des utilisateurs à vos groupes manuellement ou de manière dynamique en fonction de la/les connexion(s) qu’ils utilisent pour accéder à votre application. Par exemple, si quelqu’un se connecte en utilisant la connexion Entra ID et que son profil indique qu’il fait partie du groupe Marketing, Authorization Extension peut également l’ajouter au groupe Marketing que vous gérez avec l’extension. Enfin, nous avons des permissions et des rôles, qui sont des groupes de permissions. Les groupes de permissions permettent d’attribuer plusieurs permissions simultanément à un utilisateur ou à un groupe.
Authorization Extension Roles Permissions Diagram
Par exemple, si vous voulez accorder des permissions pour :
  • approuver les demandes de voyage,
  • approuver les frais de déplacement.
Plutôt que d’attribuer ces deux autorisations à des groupes/utilisateurs, vous pouvez les regrouper (ainsi qu’avec plusieurs autres) dans un rôle appelé Administrateur de voyages. Vous pouvez ensuite attribuer le rôle d’Administrateur de voyages à des utilisateurs individuels ou à un ou plusieurs groupes.
Authorization Extension Groups Roles Permissions Diagram

Utilisateurs

La section Utilisateurs répertorie tous les utilisateurs actuels de vos applications. Ici, vous pouvez trouver un utilisateur spécifique, voir son profil, modifier ses affiliations de groupe et changer ses rôles.
Dashboard - Extensions - Authorization Dashboard - Users

Groupes

Pour créer et gérer les groupes avec lesquels vous gérerez les paramètres des utilisateurs, cliquez sur Groupes dans Authorization Dashboard. Cliquez sur Créer un groupe pour créer un nouveau groupe destiné à vos utilisateurs. Vous serez invité à fournir un nom pour le groupe, ainsi qu’une description pour ce groupe. Vous pouvez gérer vos utilisateurs et leurs affiliations de groupe de deux manières :
  • Ouvrir le Groupe et gérer les utilisateurs du groupe.
    Dashboard - Extensions - Authorization Extension - Group Membership - Group Management
  • Ouvrir Utilisateurs et gérer l’adhésion de l’utilisateur aux groupes.
    Dashboard - Extensions - Authorization Extension - Group Membership - User Management
Les groupes que vous créerez dépendront des besoins de votre processus d’entreprise. Par exemple, vous pourriez avoir un groupe pour vos utilisateurs en Finance, un groupe pour vos utilisateurs en Informatique, et ainsi de suite. De plus, vous pouvez créer des groupes imbriqués similaires à ce qui suit :
  • Exemple d’entreprise
    • Comptabilité
      • Comptables externes
    • Ressources humaines
    • Finance
      • Support informatique finance
    • Direction
Pour créer des groupes imbriqués, vous devez d’abord créer tous les groupes individuels via le bouton CRÉER sur la page des Groupes de l’Authorization Dashboard. Pour imbriquer les groupes :
  1. Ouvrez le groupe de niveau supérieur (dans l’exemple ci-dessus, il s’agirait du groupe Exemples d’entreprises)
  2. Cliquez sur l’onglet Groupes imbriqués.
  3. Cliquez sur le bouton AJOUTER UN GROUPE IMBRIQUÉ. Une liste de groupes pouvant être ajoutés au groupe principal vous sera présentée. Pour sélectionner un groupe particulier, cochez la case située à gauche du nom. Après chaque sélection, vous serez renvoyé à la page du groupe principal. Continuez ce processus jusqu’à ce que vous ayez inclus tous les Groupes dont vous avez besoin.
Avec des groupes imbriqués, ajouter un utilisateur à un sous-groupe accorde également à l’utilisateur les autorisations accordées aux groupes qui sont parents (et grands-parents) de ce groupe. Par exemple, ajouter un utilisateur au groupe Comptables externes le rend automatiquement membre des groupes Finance et Entreprise. Cependant, l’utilisateur est uniquement membre explicite des Comptables externes. Toutes les autres adhésions sont purement dynamiques et sont calculées au besoin (par exemple, lors du chargement des adhésions de groupe de l’utilisateur). Pour éviter toute confusion, il vous sera présenté à la fois les membres explicites ET les « membres calculés » résultant des groupes imbriqués chaque fois que vous ouvrirez la page d’un groupe spécifique dans Authorization Dashboard.

Mappages de groupes

Les mappages de groupes vous permettent d’ajouter dynamiquement des utilisateurs à différents groupes en fonction de leurs connexions. Essentiellement, en utilisant la connexion et les informations sur les groupes données par le fournisseur d’identité (), vous pouvez dynamiquement faire de l’utilisateur un membre du groupe pour lequel vous avez créé le mappage adéquat. Supposons, par exemple, que vos utilisateurs se connectent à l’aide de leurs identifiants Active Directory (AD). Dans le cadre de leur identité, Active Directory (AD) permet aux utilisateurs d’avoir des informations de groupe associées (sur le plan « Administratif » et « Marketing », par exemple). Vous pouvez ensuite configurer les mappages de groupes pour examiner le profil d’un utilisateur s’il se connecte au moyen de la connexion Active Directory. Lorsque l’extension réalise que la personne fait partie du groupe « Administratif », elle fera automatiquement de l’utilisateur un membre du groupe Admin de votre entreprise.
Dashboard - Extensions - Authorization Extensions Dashboard - Group Mapping

Rôles

Les rôles que vous créerez dépendront de l’accès à certaines autorisations dans votre application. Par exemple, supposons que vous ayez une application qui permet aux employés de saisir leurs dépenses. Vous souhaitez que tous les employés puissent soumettre leurs dépenses, mais que certains usagers du service Finance disposent de davantage d’actions de type administrateur, comme la capacité à approuver ou refuser les dépenses. Ces actions peuvent être mappées à des autorisations puis attribuées à un certain rôle. Vous pouvez créer différents types de rôles, tels que : Administrateurs des dépenses, Responsable des dépenses et Utilisateur des dépenses pour votre outil de gestion des dépenses.
Dashboard - Extensions - Authorization Extensions Dashboard - Permissions
Pour ajouter un rôle, cliquez sur le bouton CRÉER UN RÔLE dans la section Rôles du Dashboard. Ensuite, choisissez l’application à laquelle ce Rôle s’applique (comme l’outil de gestion des dépenses), puis ajoutez un nom pour le rôle (comme Administrateurs des dépenses) et une description du rôle. Enfin, sélectionnez les autorisations que vous souhaitez accorder à ce rôle. Si vous n’avez pas encore créé vos autorisations, vous pouvez les ajouter plus tard à un rôle existant.
Dashboard - Extensions - Authorization Extensions Dashboard - Add Role to User
Une fois que vous avez créé un Rôle, vous pouvez l’ajouter à un utilisateur afin qu’il puisse bénéficier des Autorisations associées. Pour ajouter un rôle à un utilisateur, trouvez l’utilisateur dans la section Utilisateurs puis cliquez sur l’onglet Rôles. Ensuite, cliquez sur AJOUTER UN RÔLE À L’UTILISATEUR pour choisir quels rôles vous souhaitez attribuer à un utilisateur, puis cliquez sur ENREGISTRER.

Autorisations

Les autorisations sont les actions ou fonctions qui peuvent être ajoutées aux Rôles. En utilisant l’exemple précédent d’une application relative aux Dépenses, examinons les rôles possibles et comment ils peuvent être associés à certaines autorisations :
  • Rôle : Utilisateur des dépenses
    • Autorisations :
      • Consulter ses propres dépenses
      • Ajouter une nouvelle dépense
  • Rôle : Administrateurs des dépenses
    • Autorisations :
      • Approuver les dépenses
      • Afficher toutes les dépenses des utilisateurs
      • Supprimer les dépenses
      • Ajouter une nouvelle dépense
Pour créer une nouvelle autorisation, allez dans la section Autorisations du Tableau de bord des extensions d’autorisation.
Dashboard - Extensions - Authorization Extensions Dashboard - Permissions
Ensuite, cliquez sur le bouton CRÉER UNE AUTORISATION . Enfin, saisissez le nom de l’autorisation, la description et sélectionnez l’application à laquelle cette autorisation s’applique.
Dashboard - Extensions - Authorization Extensions Dashboard - Create Permissions
Une fois que vous avez créé vos autorisations, vous pouvez les associer à des rôles.

En savoir plus

I