Passer au contenu principal
Auth0 recommande, dans la mesure du possible, de passer à des callbacks basés sur HTTPS au moyen des Android App Links et des Apple Universal Links pour toutes les applications natives qui utilisent le Authorization Code Flow, afin de renforcer la sécurité et d’atténuer les risques d’usurpation d’identité d’application et d’attaques de type hameçonnage (phishing). De plus, Auth0 introduit un changement dans la façon dont le service gère les schémas d’URI personnalisés. Plus précisément, pour les requêtes d’authentification qui spécifient un schéma d’URI personnalisé comme callback, une invite de confirmation de connexion peut maintenant être utilisée dans des scénarios qui renvoyaient auparavant une réponse sans nécessiter d’interaction de l’utilisateur. Par exemple, dans un scénario de SSO (Single Sign-On), si les exigences de la requête d’authentification peuvent être satisfaites à partir d’une session authentifiée existante, le service affichera la nouvelle invite de confirmation de connexion au lieu de retourner de manière transparente une réponse au schéma d’URI personnalisé ou à l’URI de loopback indiqué comme callback. Consultez la section Invite de confirmation de l’utilisateur dans Measures Against Application Impersonation pour en savoir plus sur la nouvelle invite. Pour les tenants antérieurs à la disponibilité de la nouvelle fonctionnalité, l’ancien comportement restera la valeur par défaut jusqu’au 28 avril 2026 afin d’éviter un changement de comportement inattendu. Toutefois, il est fortement recommandé d’activer le nouveau comportement pour ces tenants avant cette date. Vous pouvez aussi choisir de ne pas utiliser l’invite de confirmation supplémentaire si cela est strictement nécessaire.

Comment êtes-vous touché?

Les utilisateurs finaux qui se connectent à des applications clientes qui spécifient déjà ou prévoient de spécifier un schéma d’URI personnalisé ou une URI de rappel loopback pourraient devoir confirmer explicitement la connexion en interagissant avec le nouveau message de confirmation de connexion. Vos utilisateurs finaux peuvent percevoir ce changement comme une dégradation de l’expérience utilisateur. De plus, les requêtes d’authentification incluant prompt=none seront rejetées lorsque les Applications utilisent des URI de rappel non vérifiables et sont configurées pour utiliser le nouveau message de confirmation de connexion.

Actions

Auth0 recommande fortement de passer à des callbacks basés sur HTTPS en utilisant Android App Links et Apple Universal Links dans la mesure du possible pour toutes les applications natives qui utilisent le flux de code d’autorisation (Authorization Code Flow). De plus, dans les tenant où le comportement par défaut sera modifié après le 28 avril 2026, vous devez sélectionner explicitement le comportement requis pour les requêtes d’authentification qui utilisent des schémas d’URI personnalisés ou des URI de rappel loopback, avant la modification de la valeur par défaut du système.

Vérifiez si vos applications utilisent des URI de rappel non vérifiables

Dans les locataires pour lesquels l’option de migration Unconfirmed Login with Non-Verifiable Callback URI Redirects est disponible et activée, les requêtes d’authentification qui spécifient un schéma d’URI personnalisé ou une URI de loopback généreront une notification de dépréciation dans le journal du locataire à moins que vous n’ayez explicitement défini l’option suivante au niveau de l’Application ou du locataire : skip_non_verifiable_callback_uri_confirmation_prompt Ces journaux de locataire contiennent l’identifiant client de l’Application qui effectue la requête. Vous pouvez surveiller ces journaux de locataire dans Auth0 Dashboard à l’aide de la requête suivante : 
type:depnotetype:depnote AND description:Unconfirmed\ Login\ with\ Non-Verifiable\ Callback\ URI\ Redirects*

Activer le nouveau message de confirmation de connexion

Pour activer à l’avance le nouveau message de confirmation de connexion et renforcer la sécurité des flux d’authentification qui utilisent des schémas d’URI personnalisés ou des URI de loopback, suivez les étapes suivantes dans votre Auth0 Dashboard :
  1. Accédez à Auth0 Dashboard > Tenant Settings > Advanced.
  2. Dans la section Migrations, désactivez la bascule Unconfirmed Login with Non-Verifiable Callback URI Redirects.
Auth0 Dashboard > Tenant Settings > Advanced > toggle off

Désactiver la nouvelle invite de confirmation de connexion

Si, après avoir évalué les considérations de sécurité, vous décidez de ne pas utiliser la nouvelle invite de confirmation de connexion, vous pouvez configurer des applications spécifiques ou l’ensemble du tenant pour désactiver ce nouveau comportement. Vous pouvez le faire à partir de votre Auth0 Dashboard. Le paramètre au niveau de l’application a priorité sur le paramètre au niveau du tenant. Assurez-vous de configurer les paramètres propres à chaque application avant de modifier le paramètre au niveau du tenant pour éviter des changements de comportement inattendus. Par exemple, vous pourriez vouloir ignorer la Non-Verifiable Callback URI End-User Confirmation pour certaines applications spécifiques tout en l’affichant par défaut pour d’autres applications, ou l’inverse. Pour désactiver cette option pour des applications spécifiques :
  1. Accédez à Auth0 Dashboard > Applications > Settings > Advanced Settings > OAuth.
  2. Repérez et désactivez le commutateur Non-Verifiable Callback URI End-User Confirmation, puis sélectionnez Save. Vous devrez peut-être Override the tenant setting pour pouvoir gérer définitivement cette configuration.
Auth0 Dashboard > Applications > Settings > Advanced
Pour désactiver cette option pour l’ensemble du tenant :
  1. Accédez à Auth0 Dashboard > Tenant Settings > Advanced.
  2. Repérez et désactivez le commutateur Non-Verifiable Callback URI End-User Confirmation dans la section Login and Logout, puis sélectionnez Save. Vous devrez peut-être turn the setting on pour pouvoir gérer définitivement cette configuration.
Auth0 Dashboard > Tenant Settings > Advanced
Le commutateur de migration Unconfirmed Login with Non-Verifiable Callback URI Redirects s’applique uniquement aux tenants qui existaient avant la disponibilité de la nouvelle fonctionnalité d’invite de confirmation. Ce commutateur ne peut être configuré que dans Auth0 Dashboard. En plus du commutateur de migration, vous pouvez également configurer le comportement souhaité du tenant via Auth0 Management API. En particulier, vous pouvez effectuer la configuration à deux niveaux :
  • Configuration au niveau du tenant : vous pouvez gérer le comportement de l’invite de confirmation en définissant la propriété skip_non_verifiable_callback_uri_confirmation_prompt via le point de terminaison Update Tenant Settings.​
  • Configuration au niveau de l’application : pour remplacer le paramètre au niveau du tenant pour des applications spécifiques, définissez la même propriété skip_non_verifiable_callback_uri_confirmation_prompt via le point de terminaison Update Client.
Pour obtenir des renseignements supplémentaires et des conseils sur la configuration de vos applications, consultez Measures Against Application Impersonation.