> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

> Découvrez comment configurer l’environnement de test de bout en bout pour l’application de ressource.

# Configurer l’environnement de test pour l’accès interapplications (XAA)

<Warning>
  Cross App Access (XAA) est actuellement en bêta. En utilisant cette fonctionnalité, vous acceptez les conditions applicables de l’essai gratuit dans le [contrat d’abonnement principal](https://www.okta.com/legal) d’Okta. Pour en savoir plus sur le cycle de publication des produits Auth0, consultez [Étapes de publication des produits](/docs/fr-CA/troubleshoot/product-lifecycle/product-release-stages). Pour participer à ce programme, communiquez avec le [support Auth0](https://support.auth0.com/) ou avec votre gestionnaire de compte technique.
</Warning>

Cette section explique comment configurer l’environnement de test de bout en bout pour l’application de ressource. En configurant votre tenant Auth0 comme serveur d’autorisation de l’application de ressource, votre application SaaS peut commencer à accepter les requêtes ID-JAG entrantes sans nécessiter de modifications de code. Cela permet à votre API SaaS de générer des jetons d’accès en réponse à ces requêtes, ce qui permet aux agents d’IA et à d’autres applications de consommer votre API en toute transparence.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Ce guide suppose que vous utilisez Okta comme fournisseur d’identité (IdP) d’entreprise et que vous avez un accès administratif à un tenant Okta que vous pouvez utiliser pour les tests. Si ce n’est pas le cas, consultez [Créer et configurer votre tenant Okta](#create-and-configure-your-okta-tenant).
</Callout>

Pour configurer votre environnement de test de bout en bout pour l’application de ressource :

* Configurez et enregistrez votre application de ressource : Cela inclut la configuration de votre tenant Auth0 et l’enregistrement de votre application SaaS comme application de ressource auprès d’Okta. Pour en savoir plus, consultez [Configuration de l’application de ressource](#resource-app-setup).
* Configurez l’application demandeuse pour tester de bout en bout : Cela inclut l’enregistrement d’une application demandeuse de test dans votre tenant Auth0 et la mise à jour d’Okta pour la lier à votre application de ressource. Pour en savoir plus, consultez [Configuration de l’application demandeuse](#requesting-app-setup).
* Configurez la façon dont votre tenant Auth0 se fédère avec l’IdP d’entreprise de votre client : Dans notre environnement de test, l’IdP d’entreprise sera votre tenant Okta de test, représentant l’un de vos clients d’entreprise. Pour en savoir plus, consultez [Fédération avec l’IdP d’entreprise et configuration de l’organisation](#federate-with-the-enterprise-idp-and-organization-configuration).
* Gérez Cross App Access dans Okta : Configurez les connexions agent-vers-application et application-vers-application dans la console d’administration Okta. Pour en savoir plus, consultez [Gérer Cross App Access dans Okta](/docs/fr-CA/secure/call-apis-on-users-behalf/xaa/manage-xaa-in-okta).

L’illustration suivante montre les responsabilités des différents profils dans un flux XAA prêt pour la mise en production :

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_persona_responsibilities.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=8a778393a2e8173e5b266f264b87289a" alt="" width="1356" height="1044" data-path="docs/images/xaa/xaa_persona_responsibilities.png" />
</Frame>

<div id="create-and-configure-your-okta-tenant">
  ## Créer et configurer votre locataire Okta
</div>

Pour configurer votre environnement de test de bout en bout pour l’application de ressources (Resource App), vous devez créer et configurer votre locataire Okta pour Cross App Access (accès interapplications).

* Sur le [site Web Okta Developer](https://developer.okta.com/signup/), inscrivez-vous à un forfait Okta Integrator Free. Une fois votre inscription terminée, vous devriez être redirigé vers votre nouveau locataire Okta.
* Dans la console d’administration Okta, accédez à **Settings > Features**. Sous **Early access features**, activez **Cross App Access**.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/okta_enable_xaa.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=1e3716d04439ba9ae242f0dbd2c07e21" alt="" width="1370" height="170" data-path="docs/images/xaa/okta_enable_xaa.png" />
</Frame>

<div id="resource-app-setup">
  ## Configuration de l’application de ressource
</div>

Pour configurer votre application de ressource, vous devez :

* [Créer l’API dans Auth0](#create-the-api-in-auth0)
* [Créer l’application de ressource dans Auth0](#create-the-resource-app-in-auth0)
* [Enregistrer l’application de ressource dans Okta](#register-the-resource-app-in-okta)

<div id="create-the-api-in-auth0">
  ### Créer l’API dans Auth0
</div>

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Si vous avez déjà créé une API personnalisée dans votre tenant Auth0, vous pouvez ignorer cette section.
</Callout>

Dans l’Auth0 Dashboard, [enregistrez une API personnalisée](/docs/fr-CA/get-started/auth0-overview/set-up-apis) représentant votre API SaaS dans votre tenant Auth0.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_register_api.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=ad38118480ffae20e29677ea8ca7bac2" alt="" width="500" height="602" data-path="docs/images/xaa/xaa_register_api.png" />
</Frame>

Après avoir créé l’API, vous pouvez, si vous le souhaitez, définir son audience en tant qu’**Audience par défaut** pour votre tenant Auth0 dans [Tenant Settings](/docs/fr-CA/get-started/tenant-settings).

Vous pouvez aussi utiliser les [API Access Policies for Applications](/docs/fr-CA/get-started/apis/api-access-policies-for-applications) pour contrôler de manière granulaire quelles applications se voient accorder l’accès à votre API et pour quels scopes.

<div id="create-the-resource-app-in-auth0">
  ### Créer l’application de ressource dans Auth0
</div>

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Si votre tenant Auth0 a déjà une ou plusieurs applications prêtes à se connecter à votre application SaaS, vous pouvez ignorer cette section.
</Callout>

Dans l’Auth0 Dashboard, [créez une application](/docs/fr-CA/get-started/auth0-overview/create-applications), comme une application web classique, une SPA ou une application native, qui sert d’interface principale permettant aux utilisateurs finaux d’accéder aux fonctionnalités de votre application SaaS.

<div id="register-the-resource-app-in-okta">
  ### Enregistrer l’application de ressource dans Okta
</div>

Vous devez enregistrer votre application SaaS dans l’Okta Integration Network (OIN) pour qu’elle soit considérée comme une application de ressource valide.

Pour enregistrer votre application SaaS comme application de ressource dans Okta, vous avez deux options :

* Pour une configuration de test rapide, nous recommandons d’utiliser l’application Todo0, qui est déjà enregistrée dans l’OIN. Dans la console d’administration Okta, accédez à **Applications > Applications > Browse App Catalog** et recherchez `Todo0`. Sélectionnez‑la et ajoutez l’intégration.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_browse_todo0_in_oin.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=5b49fc5937efd79eec6f34e49497856a" alt="" width="1370" height="636" data-path="docs/images/xaa/xaa_browse_todo0_in_oin.png" />
</Frame>

* Vous pouvez aussi demander l’enregistrement d’une nouvelle application dans l’OIN à partir de votre tenant Okta. Pour en savoir plus, consultez [Submission process for SSO and SCIM integrations](https://developer.okta.com/docs/guides/submit-app-overview/#submission-process-for-sso-and-scim-integrations). Pour accélérer le processus d’enregistrement, communiquez avec votre représentant Auth0 ou Okta.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Dans un environnement de production, vos clients d’entreprise installeront votre application SaaS à partir du catalogue OIN lors de la configuration de leur IdP.
</Callout>

De plus, vous devez fournir à Okta l’URL d’émetteur de votre tenant Auth0, qui est associée à votre application de ressource. Les applications requérantes utilisent l’URL d’émetteur pour demander la connexion à votre application de ressource. Pour en savoir plus, consultez [Test the end-to-end XAA flow](/docs/fr-CA/secure/call-apis-on-users-behalf/xaa/test-xaa-flow).

<div id="requesting-app-setup">
  ## Configuration de l’application demandeuse
</div>

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Dans un environnement de production, vous configurez chaque application demandeuse une seule fois pour permettre sa connexion avec votre application ressource.
</Callout>

Pour configurer votre application demandeuse, vous devez :

* [Créer l’application demandeuse dans Auth0](#create-the-requesting-app-in-auth0)
* [Enregistrer l’application demandeuse dans Okta](#register-the-requesting-app-in-okta)

<div id="create-the-requesting-app-in-auth0">
  ### Créer l’application demandeuse dans Auth0
</div>

Pour tester l’environnement de bout en bout, créez et enregistrez une application qui se comporte comme l’application demandeuse (Requesting App). L’application doit être un client confidentiel qui peut stocker des secrets client, comme une application web.

Pour [créer une application](/docs/fr-CA/get-started/auth0-overview/create-applications) représentant l’application demandeuse dans votre tenant Auth0 :

* Accédez à **Applications > Applications** et sélectionnez **Create Application**.
* Saisissez un nom et sélectionnez **Regular Web Application**.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_create_regular_web_app.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=9a7891637d0c79888cc2a2636c7972ff" alt="" width="992" height="876" data-path="docs/images/xaa/xaa_create_regular_web_app.png" />
</Frame>

* Une fois que vous avez créé l’application, faites défiler jusqu’à **Settings** et activez l’interrupteur **Cross App Access**.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/allow_xaa_auth0_app.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=992a4c084cba09aa49dadadd00e22e6d" alt="" width="1364" height="278" data-path="docs/images/xaa/allow_xaa_auth0_app.png" />
</Frame>

Une fois que vous avez créé et configuré votre application, vous devez fournir à Okta le `client_id` de l’application et l’URL de l’émetteur (issuer URL) de votre tenant Auth0. Cela permet d’établir la connexion entre l’application demandeuse, identifiée par le `client_id`, et l’application de ressources (Resource App), identifiée par l’URL de l’émetteur. Pour en savoir plus, consultez [Tester le flux XAA de bout en bout](/docs/fr-CA/secure/call-apis-on-users-behalf/xaa/test-xaa-flow).

<div id="register-the-requesting-app-in-okta">
  ### Enregistrer l’application demandeuse dans Okta
</div>

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Dans un environnement de production, le développeur de l’application demandeuse enregistre celle-ci dans l’Okta Integration Network (OIN). Les clients d’entreprise installeront l’application demandeuse à partir du catalogue OIN lors de la configuration de leur IdP.
</Callout>

Vous devez enregistrer l’application dans l’Okta Integration Network (OIN) pour qu’elle soit considérée comme une application demandeuse XAA valide lorsque vous utilisez Okta comme IdP d’entreprise.

Pour enregistrer l’application demandeuse dans Okta, vous avez deux options :

* Pour une configuration de test rapide, nous recommandons d’utiliser l’application Agent0, qui est déjà enregistrée dans l’OIN. Dans la console d’administration Okta, accédez à **Applications > Applications > Browse App Catalog** et recherchez `Agent0`. Sélectionnez-la, puis ajoutez l’intégration.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_select_agent0_in_oin.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=391f30a2da3f4ccb09633a8356aaab08" alt="" width="1368" height="646" data-path="docs/images/xaa/xaa_select_agent0_in_oin.png" />
</Frame>

* Vous pouvez aussi demander l’enregistrement d’une nouvelle application dans l’OIN. Pour en savoir plus, consultez la page [Submission process for SSO and SCIM integrations](https://developer.okta.com/docs/guides/submit-app-overview/#submission-process-for-sso-and-scim-integrations). Pour accélérer le processus d’enregistrement, communiquez avec votre représentant Auth0 ou Okta.

Étant donné que l’application demandeuse authentifie les employés de l’entreprise avec Okta, vous devez configurer la [stratégie de connexion](https://help.okta.com/en-us/content/topics/security/policies/policies-home.htm) de l’application dans Okta.

1. Accédez à **Applications > Applications** et sélectionnez l’application (par exemple Agent0).
2. Sous **Sign On**, sélectionnez **Edit** et ajoutez l’URL de rappel (callback URL) de l’application demandeuse dans le champ **Redirect URI**. Ajustez la valeur du Redirect URI selon l’application de test que vous voulez utiliser. Pour en savoir plus, consultez [Test the end-to-end XAA flow](/docs/fr-CA/secure/call-apis-on-users-behalf/xaa/test-xaa-flow).
3. Sélectionnez **Save**.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/agent0_sign_on_policy.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=162a839e6a18b53b51e6ccf5bb1aed0d" alt="" width="606" height="861" data-path="docs/images/xaa/agent0_sign_on_policy.png" />
</Frame>

Enfin, autorisez votre utilisateur de test à se connecter à l’application demandeuse dans Okta.

Dans la console d’administration Okta :

1. Accédez à **Applications** et sélectionnez l’application (par exemple Agent0).
2. Sélectionnez **Assign > Assign to People** et sélectionnez votre utilisateur de test.
3. Sélectionnez **Save**.

<div id="federate-with-the-enterprise-idp-and-organization-configuration">
  ## Fédérer avec l’IdP d’entreprise et la configuration d’Organisation
</div>

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Dans un environnement de production, vous configurez chacun de vos clients d’entreprise une seule fois pour le fédérer avec votre tenant Auth0. Auth0 ajoutera la prise en charge du [SSO en libre-service](/docs/fr-CA/authenticate/enterprise-connections/self-service-SSO) dans des versions ultérieures, ce qui vous permettra de déléguer la configuration XAA à vos clients d’entreprise dans le cadre de la mise en place du SSO.
</Callout>

Vous devez fédérer votre tenant Auth0, qui agit comme Serveur d’autorisation pour votre Resource App, avec le tenant Okta de votre client d’entreprise. Cette fédération établit une relation de confiance cryptographique, ce qui permet à votre application de valider et d’accepter les assertions signées (ID-JAG) émises par l’IdP du client.

Pour tester le flux XAA de bout en bout pour plusieurs clients d’entreprise connectés à votre Resource App, vous pouvez répéter les étapes de cette section pour plusieurs connexions Okta Workforce Enterprise dans votre tenant Auth0. Chaque connexion est associée à un tenant de test Okta différent, chaque tenant représentant un client d’entreprise distinct.

<div id="configure-an-okta-workforce-enterprise-connection">
  ### Configurer une connexion Okta Workforce Enterprise
</div>

Utilisez le `client_id` et le `client_secret` de votre Resource App pour [créer une connexion Okta Workforce Enterprise](/docs/fr-CA/authenticate/identity-providers/enterprise-identity-providers/okta) dans votre tenant Auth0.

Lors de la création de la connexion Okta Workforce Enterprise, activez le rôle **Cross App Access - Resource Application**. Cela permet à votre Resource App d’accepter des ID-JAG émis par l’IdP d’entreprise associé à cette connexion, dans ce cas, votre tenant Okta.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_new_okta_workforce_connection.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=63863ad7bc21b7916591d59c44af20df" alt="" width="683" height="809" data-path="docs/images/xaa/xaa_new_okta_workforce_connection.png" />
</Frame>

Après avoir créé la connexion Okta Workforce Enterprise, copiez l’URL de rappel fournie par Auth0 dans les paramètres de la connexion. Vous aurez besoin de cette URL de rappel pour configurer les stratégies de connexion de la Resource App dans votre tenant Okta.

Dans la console d’administration Okta :

1. Accédez à **Applications > Applications** et sélectionnez l’application (par exemple Todo0).
2. Sous les paramètres **Sign On**, sélectionnez **Edit** et ajoutez l’URL de rappel dans le champ **Redirect URI**.
3. Sélectionnez **Save**.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_advanced_sign_on_settings.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=5161660b8a432a4cd9dc5ce35f3f72d6" alt="" width="1374" height="302" data-path="docs/images/xaa/xaa_advanced_sign_on_settings.png" />
</Frame>

Pour tester la connexion Okta Workforce Enterprise, créez un utilisateur de test et accordez-lui la permission de se connecter à la Requesting App.

Dans la console d’administration Okta :

* Accédez à **Applications** et sélectionnez l’application (par exemple Agent0).
* Sélectionnez **Assign > Assign to People** et sélectionnez votre utilisateur de test.
* Sélectionnez **Save**.

Dans l’Auth0 Dashboard :

* Accédez à **Authentication > Enterprise > Okta Workforce** :
  * Ouvrez la connexion Okta Workforce Enterprise que vous avez créée et sélectionnez l’onglet **Applications**. Ensuite, activez la Requesting App que vous avez créée pour la connexion.
  * Revenez à la liste des connexions Okta Workforce. Sélectionnez les trois points à droite de votre connexion et sélectionnez **Try**. Vous serez redirigé pour vous authentifier dans votre tenant Okta afin de terminer la connexion avec votre utilisateur de test.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_create_okta_workforce_connection.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=2ec1a0f72f130d65be6868b504b0b03e" alt="" width="1300" height="464" data-path="docs/images/xaa/xaa_create_okta_workforce_connection.png" />
</Frame>

<div id="configure-an-organization">
  ### Configurer une Organisation
</div>

En option, si vous souhaitez qu’un client d’entreprise utilise les Organisations, [créez une Organisation](/docs/fr-CA/manage-users/organizations/configure-organizations/create-organizations) et [activez la connexion Okta Workforce Enterprise](/docs/fr-CA/manage-users/organizations/configure-organizations/enable-connections) pour cette Organisation. Cela associe automatiquement les jetons d’accès générés avec XAA, dans la portée de cette connexion, à l’`org_id` correspondant si l’utilisateur cible est membre de l’Organisation.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_enable_connection.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=f7c56fdc759838c8e7eccaf3fb4e6af9" alt="" width="1316" height="584" data-path="docs/images/xaa/xaa_enable_connection.png" />
</Frame>

Vous pouvez aussi configurer le [comportement de l’Organisation](/docs/fr-CA/manage-users/organizations/configure-organizations/define-organization-behavior) de l’application requérante pour définir s’il est obligatoire ou simplement permis d’utiliser des Organisations. Nous recommandons de commencer les tests avec **Both**, ce qui permet aux utilisateurs d’ouvrir une session en tant que membre d’une Organisation ou de s’inscrire avec un compte personnel.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/78hG6sVmUVcUqk59/docs/images/xaa/xaa_organizations_both.png?fit=max&auto=format&n=78hG6sVmUVcUqk59&q=85&s=af7368417ef0f46c8f39a82f17ce228f" alt="" width="1348" height="1036" data-path="docs/images/xaa/xaa_organizations_both.png" />
</Frame>
