Passer au contenu principal
À un certain moment, vous devrez peut-être modifier les informations stockées dans le profil d’un utilisateur. Le profil d’un utilisateur (également appelé compte d’utilisateur) est stocké dans Auth0 et des modifications aux informations qu’il contient peuvent devoir être apportées pour différentes raisons :
  • Mises à jour d’informations en libre-service
  • Mises à jour obligatoires concernant les conditions de votre organisation
  • Modifications dues à la conformité réglementaire
Il est impossible d’accéder directement à un profil utilisateur sur plusieurs locataires Auth0. Si vous déployez plusieurs locataires Auth0 en production, vous devez alors en avoir conscience.
Un fournisseur d’identité rempli le profil de l’utilisateur avec les données fournies lors du processus de connexion, ce que l’on appelle le profil utilisateur normalisé.
Le profil utilisateur normalisé est mis à jour par le fournisseur d’identités lors de la connexion. Vous pouvez modifier l’ensemble limité d’informations qu’il contient par l’intermédiaire de Management API Auth0. Vous pouvez également utiliser l’extensibilité Auth0, comme Rules (Règles), comme alternative pour remplacer les informations du profil utilisateur normalisé. Pour en savoir plus, consultez Modification des données du profil utilisateur.
Par défaut, un profil utilisateur est créé pour chaque identité utilisateur, et plusieurs éléments doivent être pris en compte :
  • Que devez-vous faire si vous devez stocker des informations pour personnaliser l’expérience d’un utilisateur?
  • Que se passe-t-il si vous devez stocker des informations utilisateur qui ne proviennent pas d’un fournisseur d’identité?
  • Pour quelle raison serait-il nécessaire de stocker des informations relatives à l’utilisateur qu’un utilisateur ne peut pas modifier?
  • Que feriez-vous si vous deviez stocker des informations relatives à l’utilisateur qu’un utilisateur ne peut pas modifier?
  • Que se passe-t-il si un utilisateur oublie son mot de passe?
  • Que doit faire un utilisateur s’il désire modifier son mot de passe?
  • Comment donner à un administrateur d’une organisation tierce la capacité de gérer ses utilisateurs?
Auth0 permet le stockage de métadonnées sur le profil d’un utilisateur, ce qui permet de saisir des informations supplémentaires, telles que la préférence en matière de langue et d’accessibilité, afin d’améliorer l’expérience utilisateur. Les métadonnées peuvent être utilisées pour stocker à la fois des informations pouvant être modifiées ou non par un utilisateur; ce dernier vous donne la possibilité d’associer, par exemple, un profil utilisateur à des enregistrements dans vos systèmes existants sans modifier l’implémentation existante. Pour les utilisateurs qui oublient leur mot de passe ou qui sont autorisés à le modifier au moyen d’un mécanisme en libre-service existant (ou un mécanisme en libre-service prévu), vous pouvez tirer parti de la fonctionnalité de réinitialisation du mot de passe fourni par Auth0. Celle-ci peut être intégrée à votre implémentation existante et est déjà intégrée à tous les widgets d’interface utilisateur Auth0 prêts à l’emploi, y compris la connexion universelle. Vous devrez également vous assurer que vous travaillez toujours avec un compte utilisateur vérifié. Auth0 fournit également des mécanismes prêts à l’emploi pour cela aussi. Vous devriez également considérer la conformité réglementaire comme RGPD qui comporte des exigences très précises en matière de protection des citoyens de l’UE contre les violations à la vie privée et des données. Bien qu’Auth0 ne fournisse actuellement pas de portail centralisé prêt à l’emploi pour la gestion de profil, aux fins de gestion de profil en libre-service, vous pouvez utiliser Auth0 pour créer le vôtre ou utiliser une interface utilisateur déjà créée. Consultez le guide de la communauté Auth0 qui décrit le point de terminaison de Management API. Tous les appels à Management API nécessiteront l’utilisation d’un jeton d’accès.
La gestion des profils en libre-service peut poser des problèmes de sécurité et de confidentialité des données. Vous pourriez, par exemple, vouloir autoriser un utilisateur à modifier son adresse courriel. Cependant, le faire sans suivre les meilleures pratiques en matière de sécurité pourrait conduire à un blocage du compte de l’utilisateur, à une fuite d’informations personnelles identifiables (Personally Identifiable Information/PII) ou, pire encore, à une faille de sécurité potentielle.
Vous pouvez également utiliser l’ pour gérer certains aspects du profil d’un utilisateur. La gestion du profil d’un utilisateur au moyen d’Auth0 Dashboard est davantage une fourniture administrative et ne doit pas être utilisée pour la gestion de profil en libre-service dans un environnement de production. Cependant, l’interface fournie par le Dashboard peut être très utile lors du développement, car elle offre un moyen simple et rapide de manipuler les informations de profil d’un utilisateur. Si vous devez laisser vos clients permettre à un administrateur de gérer leurs propres utilisateurs quand ils stockent ces identifiants dans votre système, vous pouvez soit créer quelque chose vous-même, soit utiliser une extension Auth0. Consultez Portail administratif pour plus d’informations.

Métadonnées

En plus des informations du profil utilisateur normalisé, les métadonnées peuvent être stockées dans un profil utilisateur Auth0. Les métadonnées fournissent un moyen de stocker des informations ne provenant pas d’un fournisseur d’identité, ou un moyen de stocker des informations qui remplacent celles fournies par un fournisseur d’identité.

Meilleure pratique

L’utilisation des métadonnées devrait suivre les Meilleures pratiques de stockage de données utilisateur d’Auth0. Le stockage des métadonnées n’est pas conçu pour être un stockage de données à usage général, et vous devriez toujours utiliser votre propre installation de stockage externe lorsque c’est possible. La taille et complexité des métadonnées doivent également être limitées à un minimum, et Management API Auth0 dispose d’un ensemble de directives strictes en ce qui concerne la mise à jour et/ou la suppression des métadonnées associées à un utilisateur. Vous pouvez manipuler les métadonnées au moyen de Management API Auth0 et de l’Authentication API Auth0. Comme c’est le cas lors de la gestion du profil utilisateur normalisé, les appels à Management API pour manipuler les métadonnées nécessitent l’utilisation d’un jeton d’accès.
Les appels à Management API sont soumis à une politique de limite anti-attaques Auth0. Vous devez prendre cela en compte. Pour vous aider, Auth0 conseille généralement l’utilisation de la Trousse SDK Auth0 qui convient à votre environnement de développement plutôt que d’appeler nos API directement.

Métadonnées de l’utilisateur

Les métadonnées de l’utilisateur (également appelées user_metadata) représentent l’information qui peuvent être stocker par rapport à un profil utilisateur et qu’un utilisateur peut lire et mettre à jour dans le cadre de toute gestion de profil en libre-service. Les métadonnées de cette nature peuvent être quelque chose comme la formule d’appel d’un utilisateur, ou sa langue préférée, laquelle pourrait être utilisée pour personnaliser les courriels envoyés par Auth0.

Meilleure pratique

Stockez toutes les informations que vous souhaitez utiliser pour personnaliser les courriels Auth0 dans les métadonnées et de préférence dans les user_metadata si l’utilisateur est autorisé à les modifier, comme les informations utilisées pour déterminer la langue d’un courriel.

Métadonnées de l’application

Les métadonnées de l’application (également appelées app_metadata) représentent, d’autre part, les informations pouvant être stockées avec un profil utilisateur, mais qui ne peuvent être lues ou actualisées qu’avec une autorisation appropriée; app_metadata n’est pas directement accessible à un utilisateur. Ce type de métadonnées pourrait prendre la forme d’un drapeau indiquant la dernière série de conditions générales valides acceptées par l’utilisateur, et éventuellement d’une date indiquant le moment où l’utilisateur les a acceptées.

Réinitialisation du mot de passe

Pour les utilisateurs qui oublient leur mot de passe ou qui sont autorisés à le modifier au moyen d’un mécanisme en libre-service existant, Auth0 fourni la fonctionnalité de réinitialisation du mot de passe. Vous pouvez intégrer celle-ci à votre implémentation existante et elle est déjà intégrée aux widgets d’interface utilisateur Auth0 prêts à l’emploi, compris dans le cadre de la connexion universelle.
La modification et réinitialisation du mot de passe ne sont prises en charge que pour les types de Database Connection (Connexion à une base de données Auth0.
La connexion universelle Auth0 fournit une prise en charge UX intégrée pour la réinitialisation du mot de passe à l’aide de la fonctionnalité Authentication API Auth0. Vous pouvez également utiliser l’Authentication API Auth0, à partir de l’une des trousses SDK Auth0 adaptées à votre environnement de développement. Les modèles de courriel utilisés lors du flux de travail de réinitialisation de mot de passe peuvent également être entièrement personnalisés, que vous utilisiez des widgets d’interface utilisateur Auth0 prêts à l’emploi ou une connexion universelle personnalisée. Vous pouvez aussi utiliser Management API Auth0 pour modifier directement le mot de passe d’une identité utilisateur définie à l’aide d’un type de connexion à la base de données. Vous pouvez utiliser Management API Auth0 dans le cadre de toute implémentation de gestion de profil en libre-service, ainsi que dans le cadre de toute personnalisation de la page Modifier le mot de passe.

Vérification du compte

Vous devrez également travailler avec un compte utilisateur vérifié à tout moment et utiliser les mécanismes fournis par Auth0. Vous devriez également considérer la conformité réglementaire comme les RGPD qui comporte des exigences très précises pour les citoyens de l’UE contre les violations à la vie privée et des données. Auth0 fournit une fonctionnalité prête à l’emploi pour envoyer un courriel de vérification à l’adresse courriel d’un utilisateur afin de vérifier son compte. Par défaut, Auth0 envoie les courriels de vérification automatiquement pour toute identité de connexion à la base de données créée dans le cadre de l’auto-inscription. Toutefois, Auth0 fournit également un point de terminaison de Management API à utiliser pour envoyer des courriels de vérification dans les cas où la validation de l’adresse courriel n’est pas effectuée par un fournisseur de média social lors de l’enregistrement de l’utilisateur.

Blocage des utilisateurs

Le blocage de l’accès des utilisateurs dans Auth0 permet d’empêcher les utilisateurs de se connecter aux applications dans certaines conditions. Par défaut, Auth0 Dashboard (Tableau de bordAuth0) fournit un mécanisme prêt à l’emploi pour procurer aux administrateurs la possibilité de bloquer et de débloquer l’accès des utilisateurs à toutes les applications. Vous pouvez implémenter cette fonctionnalité au moyen de Management API Auth0. Vous pouvez aussi utiliser l’extensibilité Auth0 pour désactiver l’accès des utilisateurs à certaines applications et fournir un meilleur contrôle d’accès. De plus, Management API Auth0 vous offre la possibilité de débloquer les utilisateurs désactivés en raison d’une utilisation excessive d’identifiants incorrects.

Portail d’administration

Un portail d’administration est une application dans laquelle vous pouvez créer de nouveaux utilisateurs, modifier le profil d’un utilisateur, voir l’activité d’un utilisateur, etc. Cette application doit être accessible uniquement aux administrateurs. Bien qu’Auth0 fournisse son tableau de bord de gestion, il est déconseillé de donner accès à ce dernier à plusieurs personnes, car il y a de nombreuses façons dont quelqu’un peut involontairement dérégler votre locataire Auth0. Auth0 propose plutôt deux autres options :
  • Management API Auth0 : Avec Management API, vous pouvez facilement créer une application qui offre aux administrateurs la possibilité de gérer les utilisateurs. Vous pouvez soit l’intégrer dans une application qui existe déjà pour vos administrateurs, soit en créer une nouvelle avec une interface utilisateur qui correspond à vos applications actuelles.
  • Extension d’administration déléguée Auth0 : Cette extension puissante et flexible vous permet de personnaliser l’expérience d’administration d’un utilisateur. Vous pouvez personnaliser cette extension pour laisser vos administrateurs clients se connecter et leur permettre d’afficher et de gérer uniquement les utilisateurs au sein de leur organisation.

Meilleures pratiques

Si vous offrez à un administrateur votre propre moyen de gérer les utilisateurs, vous ne devriez autoriser les administrateurs qu’à envoyer aux utilisateurs un lien de modification du mot de passe par courrier électronique, plutôt que de leur permettre de définir directement les mots de passe. Si vous devez aller à l’encontre de cette recommandation et autoriser vos administrateurs à définir le mot de passe de quelqu’un, vous devez obliger l’utilisateur à modifier son mot de passe lors de sa prochaine connexion afin qu’il soit le seul à connaître le mot de passe (et non un administrateur).

Guide de planification de projet

Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées. B2B IAM Project Planning Guide

Architecture pour organisations multiples (Multilocataire)

Plusieurs plateformes mettent en œuvre une forme d’isolation et/ou d’image de marque pour les organisations de leurs clients, ce qui peut ajouter de la complexité à tout système de Gestion des identités et des accès (IAM). Si cela s’applique à vous, nous vous conseillons de prendre le temps de lire nos conseils et bonnes pratiques pour ce type d’environnement. Architecture à organisations multiples
I