> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.generaltranslation.app/llms.txt
> Use this file to discover all available pages before exploring further.

> Découvrez comment renforcer la sécurité et réduire les risques d'usurpation d'identité d'application grâce aux callbacks basés sur HTTPS.

# Migration vers la confirmation de l'utilisateur final pour les URI de rappel non vérifiables

Auth0 recommande, dans la mesure du possible, de passer à des callbacks basés sur HTTPS au moyen des [Android App Links](https://developer.android.com/training/app-links#android-app-link) et des [Apple Universal Links](https://developer.apple.com/documentation/xcode/allowing-apps-and-websites-to-link-to-your-content) pour toutes les applications natives qui utilisent le [Authorization Code Flow](/docs/fr-CA/get-started/authentication-and-authorization-flow/authorization-code-flow-with-pkce), afin de renforcer la sécurité et d'atténuer les risques d'usurpation d'identité d'application et d'attaques de type hameçonnage (phishing). De plus, Auth0 introduit un changement dans la façon dont le service gère les schémas d'URI personnalisés.

Plus précisément, pour les requêtes d'authentification qui spécifient un schéma d'URI personnalisé comme callback, une invite de confirmation de connexion peut maintenant être utilisée dans des scénarios qui renvoyaient auparavant une réponse sans nécessiter d'interaction de l'utilisateur. Par exemple, dans un scénario de SSO (Single Sign-On), si les exigences de la requête d'authentification peuvent être satisfaites à partir d'une session authentifiée existante, le service affichera la nouvelle invite de confirmation de connexion au lieu de retourner de manière transparente une réponse au schéma d'URI personnalisé ou à l'URI de loopback indiqué comme callback. Consultez la section Invite de confirmation de l'utilisateur dans [Measures Against Application Impersonation](/docs/fr-CA/secure/security-guidance/measures-against-app-impersonation) pour en savoir plus sur la nouvelle invite.

Pour les tenants antérieurs à la disponibilité de la nouvelle fonctionnalité, l'ancien comportement restera la valeur par défaut jusqu'au 28 avril 2026 afin d'éviter un changement de comportement inattendu. Toutefois, il est fortement recommandé d'activer le nouveau comportement pour ces tenants avant cette date. Vous pouvez aussi choisir de ne pas utiliser l'invite de confirmation supplémentaire si cela est strictement nécessaire.

<div id="how-are-you-affected">
  ## Comment êtes-vous touché?
</div>

Les utilisateurs finaux qui se connectent à des applications clientes qui spécifient déjà ou prévoient de spécifier un schéma d’URI personnalisé ou une URI de rappel loopback pourraient devoir confirmer explicitement la connexion en interagissant avec le nouveau message de confirmation de connexion. Vos utilisateurs finaux peuvent percevoir ce changement comme une dégradation de l’expérience utilisateur.

De plus, les requêtes d’authentification incluant `prompt=none` seront rejetées lorsque les Applications utilisent des URI de rappel non vérifiables et sont configurées pour utiliser le nouveau message de confirmation de connexion.

<div id="actions">
  ## Actions
</div>

**Auth0 recommande fortement de passer à des callbacks basés sur HTTPS** en utilisant Android App Links et Apple Universal Links dans la mesure du possible pour toutes les applications natives qui utilisent le flux de code d’autorisation (Authorization Code Flow).

De plus, dans les tenant où le comportement par défaut sera modifié après le 28 avril 2026, vous devez sélectionner explicitement le comportement requis pour les requêtes d’authentification qui utilisent des schémas d’URI personnalisés ou des URI de rappel loopback, avant la modification de la valeur par défaut du système.

<div id="review-whether-your-applications-are-using-non-verifiable-callback-uris">
  ### Vérifiez si vos applications utilisent des URI de rappel non vérifiables
</div>

Dans les locataires pour lesquels l’option de migration Unconfirmed Login with Non-Verifiable Callback URI Redirects est disponible et activée, les requêtes d’authentification qui spécifient un schéma d’URI personnalisé ou une URI de loopback **généreront une notification de dépréciation dans le journal du locataire** à moins que vous n’ayez explicitement défini l’option suivante au niveau de l’Application ou du locataire :

`skip_non_verifiable_callback_uri_confirmation_prompt`

Ces journaux de locataire contiennent l’identifiant client de l’Application qui effectue la requête. Vous pouvez surveiller ces journaux de locataire dans Auth0 Dashboard à l’aide de la requête suivante :

```bash theme={null}
type:depnotetype:depnote AND description:Unconfirmed\ Login\ with\ Non-Verifiable\ Callback\ URI\ Redirects*
```

<div id="opt-in-to-new-login-confirmation-prompt">
  ### Activer le nouveau message de confirmation de connexion
</div>

Pour activer à l’avance le nouveau message de confirmation de connexion et renforcer la sécurité des flux d’authentification qui utilisent des schémas d’URI personnalisés ou des URI de loopback, suivez les étapes suivantes dans votre Auth0 Dashboard :

1. Accédez à [**Auth0 Dashboard > Tenant Settings > Advanced**](https://manage.auth0.com/#/tenant/advanced).
2. Dans la section **Migrations**, désactivez la bascule **Unconfirmed Login with Non-Verifiable Callback URI Redirects**.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/md6b8ua1hdYa2pM7/docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png?fit=max&auto=format&n=md6b8ua1hdYa2pM7&q=85&s=ac49c2b730a4c5c30cea0827341bfaf0" alt="Auth0 Dashboard > Tenant Settings > Advanced > toggle off" data-og-width="502" width="502" data-og-height="128" height="128" data-path="docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png" data-optimize="true" data-opv="3" srcset="https://mintcdn.com/generaltranslationinc/md6b8ua1hdYa2pM7/docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png?w=280&fit=max&auto=format&n=md6b8ua1hdYa2pM7&q=85&s=37812b2e73ff52901eb70da0d0e3f732 280w, https://mintcdn.com/generaltranslationinc/md6b8ua1hdYa2pM7/docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png?w=560&fit=max&auto=format&n=md6b8ua1hdYa2pM7&q=85&s=7fb77125abbd1113432cfa6ab0d4464e 560w, https://mintcdn.com/generaltranslationinc/md6b8ua1hdYa2pM7/docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png?w=840&fit=max&auto=format&n=md6b8ua1hdYa2pM7&q=85&s=0bf779e16316c51d18e18d4031512f3d 840w, https://mintcdn.com/generaltranslationinc/md6b8ua1hdYa2pM7/docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png?w=1100&fit=max&auto=format&n=md6b8ua1hdYa2pM7&q=85&s=d0e9c53dba1cc1e7833e36d455cc16d1 1100w, https://mintcdn.com/generaltranslationinc/md6b8ua1hdYa2pM7/docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png?w=1650&fit=max&auto=format&n=md6b8ua1hdYa2pM7&q=85&s=0e4847337509b029d27ac18f218c268a 1650w, https://mintcdn.com/generaltranslationinc/md6b8ua1hdYa2pM7/docs/images/cdy7uua7fh8z/unconfirmed-login-uri.png?w=2500&fit=max&auto=format&n=md6b8ua1hdYa2pM7&q=85&s=977d0385ee17548431d3af91bd571240 2500w" />
</Frame>

<div id="opt-out-of-new-login-confirmation-prompt">
  ### Désactiver la nouvelle invite de confirmation de connexion
</div>

Si, après avoir évalué les considérations de sécurité, vous décidez de ne pas utiliser la nouvelle invite de confirmation de connexion, vous pouvez configurer des applications spécifiques ou l’ensemble du tenant pour désactiver ce nouveau comportement. Vous pouvez le faire à partir de votre Auth0 Dashboard.

Le paramètre au niveau de l’application a priorité sur le paramètre au niveau du tenant. Assurez-vous de configurer les paramètres propres à chaque application avant de modifier le paramètre au niveau du tenant pour éviter des changements de comportement inattendus. Par exemple, vous pourriez vouloir ignorer la **Non-Verifiable Callback URI End-User Confirmation** pour certaines applications spécifiques tout en l’affichant par défaut pour d’autres applications, ou l’inverse.

Pour désactiver cette option pour des applications spécifiques :

1. Accédez à [Auth0 Dashboard > Applications > Settings > Advanced Settings > OAuth](https://manage.auth0.com/applications/settings).
2. Repérez et désactivez le commutateur **Non-Verifiable Callback URI End-User Confirmation**, puis sélectionnez **Save**. Vous devrez peut-être **Override the tenant setting** pour pouvoir gérer définitivement cette configuration.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/custom-uri-override.png?fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=2a439951f06eec606cd62ff673ae099a" alt="Auth0 Dashboard > Applications > Settings > Advanced" data-og-width="602" width="602" data-og-height="227" height="227" data-path="docs/images/cdy7uua7fh8z/custom-uri-override.png" data-optimize="true" data-opv="3" srcset="https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/custom-uri-override.png?w=280&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=de50bf7222a3d002f75820462cc042a5 280w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/custom-uri-override.png?w=560&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=7a7bb5f203d44e63bad0c31649184c16 560w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/custom-uri-override.png?w=840&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=fbdfc3ff09f1e0bc04c4969976eed442 840w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/custom-uri-override.png?w=1100&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=cee46c89ab26eae4cc5bf4682c6fa4c0 1100w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/custom-uri-override.png?w=1650&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=b8dbf53f6c9d87ef168c80b9ce74f89b 1650w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/custom-uri-override.png?w=2500&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=97f157c3dd8583d8925881eb833ea05e 2500w" />
</Frame>

Pour désactiver cette option pour l’ensemble du tenant :

1. Accédez à [Auth0 Dashboard > Tenant Settings > Advanced](https://manage.auth0.com/tenant/advanced).
2. Repérez et désactivez le commutateur **Non-Verifiable Callback URI End-User Confirmation** dans la section **Login and Logout**, puis sélectionnez **Save**. Vous devrez peut-être **turn the setting on** pour pouvoir gérer définitivement cette configuration.

<Frame>
  <img src="https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/migrate-uri-setting.png?fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=d0424af059c19ed81d65f054e11ba38b" alt="Auth0 Dashboard > Tenant Settings > Advanced" data-og-width="552" width="552" data-og-height="173" height="173" data-path="docs/images/cdy7uua7fh8z/migrate-uri-setting.png" data-optimize="true" data-opv="3" srcset="https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/migrate-uri-setting.png?w=280&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=703b96dd0abfef889f5e26eaac08a9a8 280w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/migrate-uri-setting.png?w=560&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=7c9dd4ca0c6e4269b33f5bff8f01b7bd 560w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/migrate-uri-setting.png?w=840&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=59b2aaa600230264cccb8e99e245d2b8 840w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/migrate-uri-setting.png?w=1100&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=478a946d0119a9abe7ef856381ac6206 1100w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/migrate-uri-setting.png?w=1650&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=cc03003f3c7478c8efb59994d51fbae1 1650w, https://mintcdn.com/generaltranslationinc/GMqg_oKRfWVB3GIg/docs/images/cdy7uua7fh8z/migrate-uri-setting.png?w=2500&fit=max&auto=format&n=GMqg_oKRfWVB3GIg&q=85&s=b31504b16ab26eb3e4bab26ada25a7e7 2500w" />
</Frame>

Le commutateur de migration **Unconfirmed Login with Non-Verifiable Callback URI Redirects** s’applique uniquement aux tenants qui existaient avant la disponibilité de la nouvelle fonctionnalité d’invite de confirmation. Ce commutateur ne peut être configuré que dans Auth0 Dashboard.

En plus du commutateur de migration, vous pouvez également configurer le comportement souhaité du tenant via Auth0 Management API. En particulier, vous pouvez effectuer la configuration à deux niveaux :

* **Configuration au niveau du tenant** : vous pouvez gérer le comportement de l’invite de confirmation en définissant la propriété `skip_non_verifiable_callback_uri_confirmation_prompt` via le point de terminaison [Update Tenant Settings](https://auth0.com/docs/api/management/v2#!/Tenants/patch_settings).​
* **Configuration au niveau de l’application** : pour remplacer le paramètre au niveau du tenant pour des applications spécifiques, définissez la même propriété `skip_non_verifiable_callback_uri_confirmation_prompt` via le point de terminaison [Update Client](https://auth0.com/docs/api/management/v2#!/Clients/patch_clients_by_id).

Pour obtenir des renseignements supplémentaires et des conseils sur la configuration de vos applications, consultez [Measures Against Application Impersonation](/docs/fr-CA/secure/security-guidance/measures-against-app-impersonation).
