Passer au contenu principal
Cross App Access (XAA) est actuellement en bêta. En utilisant cette fonctionnalité, vous acceptez les conditions applicables de l’essai gratuit dans le contrat d’abonnement principal d’Okta. Pour en savoir plus sur le cycle de publication des produits Auth0, consultez Étapes de publication des produits. Pour participer à ce programme, communiquez avec le support Auth0 ou avec votre gestionnaire de compte technique.
Cette section explique comment configurer l’environnement de test de bout en bout pour l’application de ressource. En configurant votre tenant Auth0 comme serveur d’autorisation de l’application de ressource, votre application SaaS peut commencer à accepter les requêtes ID-JAG entrantes sans nécessiter de modifications de code. Cela permet à votre API SaaS de générer des jetons d’accès en réponse à ces requêtes, ce qui permet aux agents d’IA et à d’autres applications de consommer votre API en toute transparence.
Ce guide suppose que vous utilisez Okta comme fournisseur d’identité (IdP) d’entreprise et que vous avez un accès administratif à un tenant Okta que vous pouvez utiliser pour les tests. Si ce n’est pas le cas, consultez Créer et configurer votre tenant Okta.
Pour configurer votre environnement de test de bout en bout pour l’application de ressource :
  • Configurez et enregistrez votre application de ressource : Cela inclut la configuration de votre tenant Auth0 et l’enregistrement de votre application SaaS comme application de ressource auprès d’Okta. Pour en savoir plus, consultez Configuration de l’application de ressource.
  • Configurez l’application demandeuse pour tester de bout en bout : Cela inclut l’enregistrement d’une application demandeuse de test dans votre tenant Auth0 et la mise à jour d’Okta pour la lier à votre application de ressource. Pour en savoir plus, consultez Configuration de l’application demandeuse.
  • Configurez la façon dont votre tenant Auth0 se fédère avec l’IdP d’entreprise de votre client : Dans notre environnement de test, l’IdP d’entreprise sera votre tenant Okta de test, représentant l’un de vos clients d’entreprise. Pour en savoir plus, consultez Fédération avec l’IdP d’entreprise et configuration de l’organisation.
  • Gérez Cross App Access dans Okta : Configurez les connexions agent-vers-application et application-vers-application dans la console d’administration Okta. Pour en savoir plus, consultez Gérer Cross App Access dans Okta.
L’illustration suivante montre les responsabilités des différents profils dans un flux XAA prêt pour la mise en production :

Créer et configurer votre locataire Okta

Pour configurer votre environnement de test de bout en bout pour l’application de ressources (Resource App), vous devez créer et configurer votre locataire Okta pour Cross App Access (accès interapplications).
  • Sur le site Web Okta Developer, inscrivez-vous à un forfait Okta Integrator Free. Une fois votre inscription terminée, vous devriez être redirigé vers votre nouveau locataire Okta.
  • Dans la console d’administration Okta, accédez à Settings > Features. Sous Early access features, activez Cross App Access.

Configuration de l’application de ressource

Pour configurer votre application de ressource, vous devez :

Créer l’API dans Auth0

Si vous avez déjà créé une API personnalisée dans votre tenant Auth0, vous pouvez ignorer cette section.
Dans l’Auth0 Dashboard, enregistrez une API personnalisée représentant votre API SaaS dans votre tenant Auth0.
Après avoir créé l’API, vous pouvez, si vous le souhaitez, définir son audience en tant qu’Audience par défaut pour votre tenant Auth0 dans Tenant Settings. Vous pouvez aussi utiliser les API Access Policies for Applications pour contrôler de manière granulaire quelles applications se voient accorder l’accès à votre API et pour quels scopes.

Créer l’application de ressource dans Auth0

Si votre tenant Auth0 a déjà une ou plusieurs applications prêtes à se connecter à votre application SaaS, vous pouvez ignorer cette section.
Dans l’Auth0 Dashboard, créez une application, comme une application web classique, une SPA ou une application native, qui sert d’interface principale permettant aux utilisateurs finaux d’accéder aux fonctionnalités de votre application SaaS.

Enregistrer l’application de ressource dans Okta

Vous devez enregistrer votre application SaaS dans l’Okta Integration Network (OIN) pour qu’elle soit considérée comme une application de ressource valide. Pour enregistrer votre application SaaS comme application de ressource dans Okta, vous avez deux options :
  • Pour une configuration de test rapide, nous recommandons d’utiliser l’application Todo0, qui est déjà enregistrée dans l’OIN. Dans la console d’administration Okta, accédez à Applications > Applications > Browse App Catalog et recherchez Todo0. Sélectionnez‑la et ajoutez l’intégration.
  • Vous pouvez aussi demander l’enregistrement d’une nouvelle application dans l’OIN à partir de votre tenant Okta. Pour en savoir plus, consultez Submission process for SSO and SCIM integrations. Pour accélérer le processus d’enregistrement, communiquez avec votre représentant Auth0 ou Okta.
Dans un environnement de production, vos clients d’entreprise installeront votre application SaaS à partir du catalogue OIN lors de la configuration de leur IdP.
De plus, vous devez fournir à Okta l’URL d’émetteur de votre tenant Auth0, qui est associée à votre application de ressource. Les applications requérantes utilisent l’URL d’émetteur pour demander la connexion à votre application de ressource. Pour en savoir plus, consultez Test the end-to-end XAA flow.

Configuration de l’application demandeuse

Dans un environnement de production, vous configurez chaque application demandeuse une seule fois pour permettre sa connexion avec votre application ressource.
Pour configurer votre application demandeuse, vous devez :

Créer l’application demandeuse dans Auth0

Pour tester l’environnement de bout en bout, créez et enregistrez une application qui se comporte comme l’application demandeuse (Requesting App). L’application doit être un client confidentiel qui peut stocker des secrets client, comme une application web. Pour créer une application représentant l’application demandeuse dans votre tenant Auth0 :
  • Accédez à Applications > Applications et sélectionnez Create Application.
  • Saisissez un nom et sélectionnez Regular Web Application.
  • Une fois que vous avez créé l’application, faites défiler jusqu’à Settings et activez l’interrupteur Cross App Access.
Une fois que vous avez créé et configuré votre application, vous devez fournir à Okta le client_id de l’application et l’URL de l’émetteur (issuer URL) de votre tenant Auth0. Cela permet d’établir la connexion entre l’application demandeuse, identifiée par le client_id, et l’application de ressources (Resource App), identifiée par l’URL de l’émetteur. Pour en savoir plus, consultez Tester le flux XAA de bout en bout.

Enregistrer l’application demandeuse dans Okta

Dans un environnement de production, le développeur de l’application demandeuse enregistre celle-ci dans l’Okta Integration Network (OIN). Les clients d’entreprise installeront l’application demandeuse à partir du catalogue OIN lors de la configuration de leur IdP.
Vous devez enregistrer l’application dans l’Okta Integration Network (OIN) pour qu’elle soit considérée comme une application demandeuse XAA valide lorsque vous utilisez Okta comme IdP d’entreprise. Pour enregistrer l’application demandeuse dans Okta, vous avez deux options :
  • Pour une configuration de test rapide, nous recommandons d’utiliser l’application Agent0, qui est déjà enregistrée dans l’OIN. Dans la console d’administration Okta, accédez à Applications > Applications > Browse App Catalog et recherchez Agent0. Sélectionnez-la, puis ajoutez l’intégration.
  • Vous pouvez aussi demander l’enregistrement d’une nouvelle application dans l’OIN. Pour en savoir plus, consultez la page Submission process for SSO and SCIM integrations. Pour accélérer le processus d’enregistrement, communiquez avec votre représentant Auth0 ou Okta.
Étant donné que l’application demandeuse authentifie les employés de l’entreprise avec Okta, vous devez configurer la stratégie de connexion de l’application dans Okta.
  1. Accédez à Applications > Applications et sélectionnez l’application (par exemple Agent0).
  2. Sous Sign On, sélectionnez Edit et ajoutez l’URL de rappel (callback URL) de l’application demandeuse dans le champ Redirect URI. Ajustez la valeur du Redirect URI selon l’application de test que vous voulez utiliser. Pour en savoir plus, consultez Test the end-to-end XAA flow.
  3. Sélectionnez Save.
Enfin, autorisez votre utilisateur de test à se connecter à l’application demandeuse dans Okta. Dans la console d’administration Okta :
  1. Accédez à Applications et sélectionnez l’application (par exemple Agent0).
  2. Sélectionnez Assign > Assign to People et sélectionnez votre utilisateur de test.
  3. Sélectionnez Save.

Fédérer avec l’IdP d’entreprise et la configuration d’Organisation

Dans un environnement de production, vous configurez chacun de vos clients d’entreprise une seule fois pour le fédérer avec votre tenant Auth0. Auth0 ajoutera la prise en charge du SSO en libre-service dans des versions ultérieures, ce qui vous permettra de déléguer la configuration XAA à vos clients d’entreprise dans le cadre de la mise en place du SSO.
Vous devez fédérer votre tenant Auth0, qui agit comme Serveur d’autorisation pour votre Resource App, avec le tenant Okta de votre client d’entreprise. Cette fédération établit une relation de confiance cryptographique, ce qui permet à votre application de valider et d’accepter les assertions signées (ID-JAG) émises par l’IdP du client. Pour tester le flux XAA de bout en bout pour plusieurs clients d’entreprise connectés à votre Resource App, vous pouvez répéter les étapes de cette section pour plusieurs connexions Okta Workforce Enterprise dans votre tenant Auth0. Chaque connexion est associée à un tenant de test Okta différent, chaque tenant représentant un client d’entreprise distinct.

Configurer une connexion Okta Workforce Enterprise

Utilisez le client_id et le client_secret de votre Resource App pour créer une connexion Okta Workforce Enterprise dans votre tenant Auth0. Lors de la création de la connexion Okta Workforce Enterprise, activez le rôle Cross App Access - Resource Application. Cela permet à votre Resource App d’accepter des ID-JAG émis par l’IdP d’entreprise associé à cette connexion, dans ce cas, votre tenant Okta.
Après avoir créé la connexion Okta Workforce Enterprise, copiez l’URL de rappel fournie par Auth0 dans les paramètres de la connexion. Vous aurez besoin de cette URL de rappel pour configurer les stratégies de connexion de la Resource App dans votre tenant Okta. Dans la console d’administration Okta :
  1. Accédez à Applications > Applications et sélectionnez l’application (par exemple Todo0).
  2. Sous les paramètres Sign On, sélectionnez Edit et ajoutez l’URL de rappel dans le champ Redirect URI.
  3. Sélectionnez Save.
Pour tester la connexion Okta Workforce Enterprise, créez un utilisateur de test et accordez-lui la permission de se connecter à la Requesting App. Dans la console d’administration Okta :
  • Accédez à Applications et sélectionnez l’application (par exemple Agent0).
  • Sélectionnez Assign > Assign to People et sélectionnez votre utilisateur de test.
  • Sélectionnez Save.
Dans l’Auth0 Dashboard :
  • Accédez à Authentication > Enterprise > Okta Workforce :
    • Ouvrez la connexion Okta Workforce Enterprise que vous avez créée et sélectionnez l’onglet Applications. Ensuite, activez la Requesting App que vous avez créée pour la connexion.
    • Revenez à la liste des connexions Okta Workforce. Sélectionnez les trois points à droite de votre connexion et sélectionnez Try. Vous serez redirigé pour vous authentifier dans votre tenant Okta afin de terminer la connexion avec votre utilisateur de test.

Configurer une Organisation

En option, si vous souhaitez qu’un client d’entreprise utilise les Organisations, créez une Organisation et activez la connexion Okta Workforce Enterprise pour cette Organisation. Cela associe automatiquement les jetons d’accès générés avec XAA, dans la portée de cette connexion, à l’org_id correspondant si l’utilisateur cible est membre de l’Organisation.
Vous pouvez aussi configurer le comportement de l’Organisation de l’application requérante pour définir s’il est obligatoire ou simplement permis d’utiliser des Organisations. Nous recommandons de commencer les tests avec Both, ce qui permet aux utilisateurs d’ouvrir une session en tant que membre d’une Organisation ou de s’inscrire avec un compte personnel.