Passer au contenu principal
Vous pouvez activer le contrôle d’accès basé sur les rôles (RBAC) à l’aide de ou de . Cela permet d’activer l’ensemble de fonctionnalités de l’API Authorization Core. Lorsque le RBAC est activé, la demande scope du jeton d’accès comprend une intersection des autorisations demandées et des autorisations attribuées à l’utilisateur, indépendamment des autorisations également incluses dans le jeton d’accès. Lorsque le RBAC est désactivé, une application peut demander n’importe quelle autorisation définie pour l’API, et la demande scope inclut toutes les autorisations demandées.
Si vous configurez des Actions

Dashboard

  1. Rendez-vous dans Dashboard > Applications > API et cliquez sur le nom de l’API pour l’afficher.
    Liste des API d’applications Dashboard
  2. Faites défiler jusqu’aux RBAC Settings (Paramètres RBAC) et activez la bascule Enable RBAC (Activer RBAC).
    Auth0 Dashboard (Tableau de bord Auth0) - API - Settings (Paramètres) - RBAC toggle (Bouton à bascule RBAC)
  3. Pour inclure toutes les autorisations attribuées à l’utilisateur dans la demande permissions du jeton d’accès, activez la bascule Add Permissions in the Access Token (Ajouter des autorisations au jeton d’accès), puis cliquez sur Save (Enregistrer). Inclure les autorisations dans le jeton d’accès vous permet de faire peu d’appels pour récupérer les autorisations, mais augmente la taille du jeton. Une fois que vous avez activé la bascule Add Permissions in the Access Token (Ajouter des autorisations au jeton d’accès), Auth0 met également à jour le dialecte de votre jeton en fonction du access token profile que vous avez défini pour l’API :
    • Si le dialecte de votre token est access_token, Auth0 le met à jour en access_token_authz, ce qui équivaut à access_token avec la demande permissions incluse.
    • Si le dialecte de votre jeton est rfc9068_profile, Auth0 le met à jour enrfc9068_profile_authz, ce qui équivaut à rfc9068_profile avec la demande permissions incluse.
    Pour en savoir plus sur les dialectes de jetons disponibles, consultez Options de dialecte des jetons.

Management API

Pour activer le RBAC à l’aide de Management API, envoyez une requête PATCH au point de terminaison Update a resource server (Mettre à jour un serveur de ressources). Dans la requête PATCH, définissez enforce_policies sur true : 
curl --request PATCH \
  --url 'https://{yourDomain}/api/v2/resource-servers/API_ID' \
  --header 'authorization: Bearer MGMT_API_ACCESS_TOKEN' \
  --header 'cache-control: no-cache' \
  --header 'content-type: application/json' \
  --data '{ "enforce_policies": "true", "token_dialect": "TOKEN_DIALECT" }'
Remplacez les valeurs API_ID, MGMT_API_ACCESS_TOKEN et TOKEN_DIALECT par leurs valeurs respectives, comme indiqué dans le tableau suivant :
ParamètreDescription
API_IDID de l’API pour laquelle vous souhaitez activer RBAC.
MGMT_API_ACCESS_TOKENJeton d’accès pour Management API avec la permission update:resource_servers.
TOKEN_DIALECTDialecte du jeton d’accès pour l’API indiquée. Pour en savoir plus, consultez Options du dialecte des jetons.

Options de dialecte des jetons

Auth0 prend en charge les dialectes des jetons suivants :
ValeurDescription
access_tokenLe jeton Auth0 par défaut génère un jeton d’accès au format Jeton Web JSON (JWT). Une intersection des autorisations demandées et des autorisations attribuées à l’utilisateur est incluse dans la demande « scope » du jeton d’accès. Aucune demande permissions n’est transmise. Pour en savoir plus, consultez Profils de jeton d’accès.
access_token_authzLe profil de jeton Auth0 par défaut (access_token) avec la demande scope. Une intersection des autorisations demandées et des autorisations attribuées à l’utilisateur est incluse dans la demande scope du jeton d’accès. Toutes les autorisations attribuées à l’utilisateur sont incluses dans la demande permissions du jeton d’accès. Cela vous permet de faire des appels minimaux pour récupérer les autorisations, tout en augmentant la taille du jeton.
rfc9068_profileLe profil de jeton RFC 9068 génère un jeton d’accès au format JWT suivant la page Profil JWT IETF pour les jetons d’accès OAuth 2.0 (RFC 9068). Une intersection des autorisations demandées et des autorisations attribuées à l’utilisateur est incluse dans la demande scope du jeton d’accès. Aucune demande permissions n’est transmise. Pour en savoir plus, consultez Profils de jeton d’accès.
« rfc9068_profile_authz »Le profil de jeton RFC 9068 (« rfc9068_profile ») avec la demande permissions. Une intersection des autorisations demandées et des autorisations attribuées à l’utilisateur est incluse dans la demande scope du jeton d’accès. Toutes les autorisations attribuées à l’utilisateur sont incluess dans la demande permissions du jeton d’accès. Cela vous permet de faire des appels minimaux pour récupérer les autorisations, tout en augmentant la taille du jeton.

En savoir plus

I