Passer au contenu principal
Le profil d’attributs utilisateur avec SSO en libre-service est actuellement en accès anticipé pour les clients B2B Professional et B2B Enterprise. En utilisant cette fonctionnalité, vous acceptez les conditions applicables de période d’essai gratuit du contrat de souscription principal d’Okta. Pour en savoir plus sur les phases de mise à disposition des versions Auth0, consultez Phases de mise à disposition des produits.
Le profil d’attributs utilisateur (User Attribute Profile, UAP) fournit un moyen uniforme de définir, gérer et mapper les attributs utilisateur pour des protocoles tels que SCIM, SAML et OIDC. L’UAP avec SSO en libre-service donne aux administrateurs un meilleur contrôle sur les données d’identité des utilisateurs en définissant des attributs utilisateur et en appliquant ce profil à travers les protocoles d’authentification.

Fonctionnement

  • Définition du profil

    Un administrateur crée un profil d’attributs d’utilisateur pour définir les attributs, notamment :
    • Comment afficher les attributs
    • Comment rendre les attributs obligatoires
    • Comment les attributs sont mis en correspondance avec Auth0 et les systèmes d’identité externes
  • Portée flexible

    Les profils sont liés aux flux de SSO en libre-service, mais sont conçus pour le provisionnement, l’intégration des nouveaux utilisateurs et la gestion des droits.
  • Couche de mappage unifiée

    Chaque attribut prend en charge la mise en correspondance entre les protocoles d’authentification, avec la possibilité de redéfinir les valeurs pour des fournisseurs ou des stratégies de connexion spécifiques, comme Okta et Entra ID.

Mappage et remplacement d’attributs

UAP prend en charge les définitions d’attributs multiprotocoles et les remplacements de stratégie pour répondre aux besoins propres à chaque fournisseur. Mappage d’attributs
ProtocoleDescription
Auth0 MappingAttribut canonique stocké dans Auth0 (email, name, app_metadata.department).
OIDC MappingDéclarations (claims) OIDC standard (sub, preferred_username, zoneinfo). Pour en savoir plus sur les déclarations OIDC standard, consultez Standard Claims.
SAML MappingPrend en charge un ou plusieurs URI d’assertion (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).
SCIM MappingAttributs d’approvisionnement (name.familyName, addresses[type eq "work"].country).
Remplacements de stratégie Certains fournisseurs utilisent des mappages non standard. UAP permet des remplacements :
ProtocoleDescription
SAMLMapper userName au lieu de externalId.
WAAD (Entra ID)Utiliser oid comme identifiant OIDC.
OktaMapper des attributs tels que middleName ou federated_groups à l’aide de claims propres à Okta.

ID utilisateur

La propriété user_id définit comment faire correspondre les claims OIDC, les attributs SAML ou les attributs SCIM à l’ID utilisateur Auth0. Chaque utilisateur Auth0 doit avoir un ID, ce mappage est donc obligatoire.
  • Pour OIDC, les choix sont rigides (généralement sub, ou oid pour Azure AD, ou email pour Google).
    • Pour SAML et SCIM, la correspondance est plus flexible et peut renvoyer à plusieurs attributs possibles.

Attributs d’utilisateur

La propriété user_attributes contient des informations de mappage qui permettent au système d’interpréter les revendications entrantes de l’IdP et de les stocker comme attributs de profil utilisateur Auth0. Chaque attribut doit être fourni sous forme de paire clé-valeur :
  • La clé correspond au nom de l’attribut.
    • La valeur est un objet contenant :
      • label
      • description
      • profile_required
      • auth0_mapping
      • saml_mapping
      • scim_mapping
      • oidc_mapping un objet avec les propriétés suivantes :
        • mapping représente la revendication entrante de l’IdP (valeur littérale, objet de contexte dynamique ou les deux, en utilisant la syntaxe ${variable} qui prend en charge l’objet de contexte)
        • display_name l’étiquette affichée aux utilisateurs finaux dans les flux en libre-service

Surcharges de stratégie

La propriété strategy_overrides vous permet de définir des exceptions pour des fournisseurs d’identité (IdP) spécifiques, puisque tous les IdP n’exposent pas les mêmes identifiants ou revendications (claims). Chaque surcharge définit des correspondances propres au protocole qui remplacent les valeurs par défaut définies dans user_id ou user_attributes.

Exemples

Identifiant d’utilisateur

"user_id": {
  "oidc_mapping": "sub",
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  ],
  "scim_mapping": "externalId",
  "strategy_overrides": {
    "waad": {
      "oidc_mapping": "oid"
    },
    "samlp": {
      "scim_mapping": "userName"
    },
    "google-apps": {
      "oidc_mapping": "email"
    }
  }
},
  • Identifiant par défaut : externalId via SCIM.
  • SAML : Plusieurs URI d’identifiant sont prises en charge.
  • OIDC : Utilise sub.
  • Remplacements : SAML et WAAD personnalisent les correspondances.

Attribut de courriel

"email": {
  "description": "Courriel",
  "label": "Courriel",
  "profile_required": true,
  "auth0_mapping": "email",
  "scim_mapping": "emails[primary eq true].value",
  "oidc_mapping": {
    "mapping": "${context.tokenset.email}",
    "display_name": "email"
  },
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  ],
  "strategy_overrides": {
    "waad": {
      "scim_mapping": "emails[type eq \"work\"].value"
    }
  }
}
  • Recommandé pour la plupart des profils.
  • Unifié dans Auth0, OIDC, SAML et SCIM.
  • La substitution WAAD garantit un mappage correct vers les adresses de courriel professionnelles.

Créer un profil d’attributs utilisateur

Vous pouvez définir un UAP au moyen du SSO en libre-service à l’aide d’Auth0 Dashboard ou de la Management API. À l’heure actuelle, la configuration n’est possible que via l’expérience SSO en libre-service.

Configurer avec Auth0 Dashboard

  1. Dans Auth0 Dashboard, allez à Authentication > Enterprise > Self-Service SSO.
  2. Sélectionnez +Create Profile.
  3. Indiquez un Nom et, au besoin, une Description pour le nouveau profil.
  4. Ajoutez une entrée de profil d’attribut d’utilisateur en sélectionnant un profil existant ou en choisissant +Create New.
    • Pour un nouveau profil, indiquez un User Profile Attribute Name.
    • Vérifiez les correspondances pour vous assurer que les attributs de profil correspondent à vos attributs Auth0 préférés.
  5. Cliquez sur Create.
Votre nouveau UAP peut maintenant être utilisé pour configurer le SSO.

Configurer à l’aide de la Management API

Pour gérer les profils d’attributs d’utilisateur, les points de terminaison de la Management API suivants sont disponibles :
  • POST /api/v2/user-attribute-profiles
  • GET /api/v2/user-attribute-profiles
  • PATCH /api/v2/user-attribute-profiles/{id}
  • GET /api/v2/user-attribute-profiles/{id}
  • GET /api/v2/user-attribute-profiles/templates
  • GET /api/v2/user-attribute-profiles/templates/{id}

En savoir plus