Configurer Token Vault

Une fois qu’un utilisateur s’est authentifié auprès d’un fournisseur externe pris en charge et a autorisé la connexion, votre application peut accéder à Token Vault pour échanger un jeton Auth0 contre le jeton d’accès du fournisseur externe. Pour configurer Token Vault, vous devez :

Configurer les comptes connectés pour Token Vault pour une connexion sociale ou d’entreprise prise en charge.
Configurer votre application avec le type d’octroi (grant type) Token Vault.
Configurer l’échange de jetons pour votre application :
- Échange de jeton d’actualisation
- Échange de jeton d’accès

Si vous avez précédemment défini votre stratégie AMF (MFA) sur Always dans Auth0 Dashboard, vous devez la définir sur Never pour récupérer un jeton d’accès à partir de Token Vault. Sinon, vous recevrez une erreur. Pour en savoir plus sur les différentes stratégies d’AMF (MFA), consultez Enable MFA in the Auth0 Dashboard.Si vous devez déclencher des défis d’AMF (MFA) pour des flux interactifs, activez Customize MFA Factors using Actions lors de la configuration de l’AMF (MFA) pour votre tenant. Vous pouvez ensuite utiliser une Action pour déclencher un défi d’AMF (MFA) en fonction de la propriété event.transaction.protocol. Pour en savoir plus, consultez Customize MFA selection for Universal Login.

Configurer les comptes connectés pour Token Vault

Connected Accounts for Token Vault gère un profil d’utilisateur Auth0 unifié associé à plusieurs comptes externes. Votre application récupère ensuite les identifiants stockés dans Token Vault pour interagir avec des API externes pour le compte de l’utilisateur. Vous pouvez configurer Connected Accounts pour les connexions sociales et d’entreprise prises en charge. Pour en savoir plus, consultez Configurer les comptes connectés.

Configurer l’application

Configurez votre application avec le grant type Token Vault à l’aide de l’ ou de la . Seuls certains types de clients peuvent utiliser le grant type Token Vault :

Le client doit être un client de première partie, c.-à-d. que la propriété is_first_party a la valeur true.
Le client doit être un client confidentiel avec un mécanisme d’authentification valide, c.-à-d. que la propriété token_endpoint_auth_method ne doit pas être définie sur none.
Le client doit être conforme à OIDC, c.-à-d. que oidc_conformant doit avoir la valeur true.

Auth0 Dashboard
Management API

Accédez à Applications > Applications.
Sélectionnez l’application que vous voulez configurer.
Sous Advanced Settings > Grant Types, sélectionnez le grant type Token Vault.
Sélectionnez Save Changes.

Pour activer Token Vault pour une application, effectuez un appel PATCH vers l’endpoint Update a Client afin d’ajouter le grant type urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token à l’objet JSON du client :

curl --location --request PATCH 'https://{yourDomain}/api/v2/clients/{clientId}' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_ACCESS_TOKEN>' \
  --data '{
    "grant_types": [
      "authorization_code",
      "refresh_token",
      "urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token"
    ]
  }'

Configurer l’échange de jetons

Pour appeler les API d’un fournisseur externe, votre application doit échanger un jeton Auth0 valide contre un jeton d’accès du fournisseur externe auprès de Token Vault. Le type de jeton Auth0 utilisé pour l’échange dépend de votre type de client et de votre cas d’utilisation. Pour en savoir plus, consultez la page Échanges de jetons pris en charge.

Configurer l’échange de jeton d’actualisation

Pour utiliser l’échange de jeton d’actualisation avec Token Vault, vous devez configurer votre application avec les types d’autorisation (grant types) suivants :

Authorization Code : permet à votre application d’effectuer la connexion initiale de l’utilisateur, au cours de laquelle votre application échange un code d’autorisation temporaire contre un jeton d’accès Auth0, un jeton d’actualisation et un jeton ID.
Refresh token : permet à votre application d’utiliser un jeton d’actualisation Auth0 de longue durée pour demander un nouveau jeton d’accès Auth0 sans exiger que l’utilisateur se connecte de nouveau.
Token Vault : permet à votre application d’échanger un jeton d’actualisation Auth0 contre un jeton d’accès d’un fournisseur externe stocké dans Token Vault.

Auth0 Dashboard
Management API

Pour configurer votre application pour l’échange de jeton d’actualisation :

Accédez à Applications > Applications.
Sélectionnez l’application que vous voulez configurer.
Sous Advanced Settings > Grant Types, sélectionnez les types d’autorisation Refresh Token, Authorization Code et Token Vault.
Sélectionnez Save Changes.

Pour configurer votre application pour l’échange de jeton d’actualisation, effectuez un appel PATCH au point de terminaison Update a Client pour ajouter les types d’autorisation refresh_token, authorization_code, et urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token à l’objet JSON du client :

curl --location --request PATCH 'https://{yourDomain}/api/v2/clients/{clientId}' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_ACCESS_TOKEN>' \
  --data '{
    "grant_types": [
      "authorization_code",
      "refresh_token",
      "urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token"
    ]
  }'

Configurer l’échange de jeton d’accès

Pour utiliser l’échange de jeton d’accès avec Token Vault, vous devez :

Configurer votre SPA avec le type de flux d’autorisation authorization_code.
Créer une API backend pour laquelle la SPA peut demander un jeton d’accès Auth0 en la définissant comme audience.
Créer un Client API personnalisé qui est lié à l’API backend avec le type de flux Token Vault activé.

Configurer votre SPA

Configurez votre SPA avec le type de flux d’autorisation authorization_code. Cela permet à votre SPA de demander un jeton d’accès Auth0 avec une portée limitée à l’API backend à partir du serveur d’autorisation Auth0.

Auth0 Dashboard
Management API

Pour configurer votre SPA avec le type de flux d’autorisation authorization_code :

Accédez à Applications > Applications.
Sélectionnez l’application que vous voulez configurer.
Sous Advanced Settings > Grant Types, sélectionnez le type Authorization Code.
Sélectionnez Save Changes.

Pour configurer votre SPA, effectuez un appel PATCH vers le point de terminaison Update a Client pour ajouter le type de flux d’autorisation authorization_code à l’objet JSON du client :

curl --request PATCH 'https://{yourDomain}/api/v2/clients/{clientId}' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>' \
  --data '{
    "grant_types": [
      "authorization_code"
    ]
  }'

Créer une API back-end

Créez une API back-end avec un identifiant unique et les scopes souhaités qui effectuera l’échange de jetons d’accès avec le serveur d’autorisation Auth0.

Auth0 Dashboard
Management API

Pour créer une API back-end dans l’Auth0 Dashboard :

Accédez à Applications > APIs, puis cliquez sur Create API.
Pour créer votre API, suivez les instructions dans Register APIs. Remarque : Une fois que vous avez défini un identifiant pour votre API, vous ne pouvez plus le modifier.
Cliquez sur Create.
Une fois votre API créée, vous devez ajouter des scopes pour l’API. Accédez à l’onglet Permissions. Sous Add a Permission, ajoutez vos scopes.

Pour créer une API back-end à l’aide de la Management API, effectuez une requête POST vers le point de terminaison /resource-servers :

curl --request POST 'https://{yourDomain}/api/v2/resource-servers' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>' \
  --data '{
    "name": "My API Resource Server",
    "identifier": "https://my-api.example.com",
    "scopes": [
      {
        "value": "read:calendar",
        "description": "Lire les événements du calendrier"
      },
      {
        "value": "write:calendar",
        "description": "Écrire des événements dans le calendrier"
      }
    ]
  }'

Créer un client d’API personnalisé

Pour l’échange de jetons d’accès, vous devez créer un client d’API personnalisé lié à l’API dorsale. L’application monopage pourra demander un jeton d’accès à l’API dorsale en la spécifiant comme audience dans la demande d’autorisation au serveur d’autorisation Auth0. Le client d’API personnalisé possède le même identifiant que votre API dorsale et a le type d’octroi Token Vault activé. Lorsque l’API dorsale effectue l’échange de jetons d’accès, elle s’authentifie en transmettant les informations d’identification du client d’API personnalisé au serveur d’autorisation Auth0, prouvant qu’elle est la même entité qui a été enregistrée dans le tableau de bord Auth0.

Auth0 Dashboard
Management API

Pour créer un client d’API personnalisé dans le tableau de bord Auth0 :

Accédez à Applications > APIs et sélectionnez votre API dorsale.
Sélectionnez Add Application et saisissez un nom d’application.
Cliquez sur Add. Une fois l’application créée, cliquez sur Configure Application et faites défiler jusqu’à Application Properties. Le Application Type est un client d’API personnalisé.
Sous Advanced Settings > Grant Types, le type d’octroi Token Vault devrait déjà être activé pour le client d’API personnalisé.

L’exemple de code suivant crée un client d’API personnalisé avec le même identifiant que votre API dorsale et ajoute le type d’octroi Token Vault :

curl --request POST 'https://{yourDomain}/api/v2/clients' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>' \
  --data '{
    "name": "Custom API Client",
    "app_type": "resource_server",
    "resource_server_identifier": "https://my-api.example.com",
    "grant_types": [
      "urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token"
    ]
  }'

Paramètre	Description
`name`	Nom de votre client d’API personnalisé.
`app_type`	Le type d’application de votre client d’API personnalisé. Pour enregistrer le client en tant que serveur de ressources, définissez-le à `resource_server`.
`resource_server_identifier`	L’identifiant unique de votre client d’API personnalisé. Définissez-le à l’audience de votre API dorsale, c’est-à-dire `https://my-api.example.com.`
`grant_types`	Les types d’octroi activés pour votre client d’API personnalisé. Définissez-le au type d’octroi Token Vault : `urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token`.

Une fois que vous avez créé le client d’API personnalisé, l’utilisateur sera redirigé vers celui-ci au lieu de l’application monopage après la connexion.

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

Configurer Token Vault

Configurer les comptes connectés pour Token Vault

Configurer l’application

Configurer l’échange de jetons

Configurer l’échange de jeton d’actualisation

Configurer l’échange de jeton d’accès

Configurer votre SPA

Créer une API back-end

Créer un client d’API personnalisé

Protégez votre Application

Appeler des API au nom de l’utilisateur

Protéger votre tenant

Conformité

​Configurer les comptes connectés pour Token Vault

​Configurer l’application

​Configurer l’échange de jetons

​Configurer l’échange de jeton d’actualisation

​Configurer l’échange de jeton d’accès

​Configurer votre SPA

​Créer une API back-end

​Créer un client d’API personnalisé

Configurer les comptes connectés pour Token Vault

Configurer l’application

Configurer l’échange de jetons

Configurer l’échange de jeton d’actualisation

Configurer l’échange de jeton d’accès

Configurer votre SPA

Créer une API back-end

Créer un client d’API personnalisé