Passer au contenu principal
Vous pouvez activer le contrôle d’accès basé sur les rôles (RBAC) à l’aide de ou de . Cela permet d’activer l’ensemble de fonctionnalités de l’API Authorization Core. Lorsque le RBAC est activé, la demande scope du jeton d’accès comprend une intersection des autorisations demandées et des autorisations attribuées à l’utilisateur, indépendamment des autorisations également incluses dans le jeton d’accès. Lorsque le RBAC est désactivé, une application peut demander n’importe quelle autorisation définie pour l’API, et la demande scope inclut toutes les autorisations demandées.
Si vous configurez des Actions

Dashboard

  1. Rendez-vous dans Dashboard > Applications > APIs et cliquez sur le nom de l’API pour l’afficher.
    Liste des API d’applications Dashboard
  2. Faites défiler jusqu’aux RBAC Settings (Paramètres RBAC) et activez la bascule Enable RBAC (Activer RBAC).
    Auth0 Dashboard (Tableau de bord Auth0) - API - Settings (Paramètres) - RBAC toggle (Bouton à bascule RBAC)
  3. Pour inclure toutes les autorisations attribuées à l’utilisateur dans la demande permissions du jeton d’accès, activez la bascule Add Permissions in the Access Token (Ajouter des autorisations au jeton d’accès), puis cliquez sur Save (Enregistrer). Inclure les autorisations dans le jeton d’accès vous permet de faire peu d’appels pour récupérer les autorisations, mais augmente la taille du jeton. Une fois que vous avez activé la bascule Add Permissions in the Access Token (Ajouter des autorisations au jeton d’accès), Auth0 met également à jour le dialecte de votre jeton en fonction du access token profile que vous avez défini pour l’API :
    • Si le dialecte de votre token est access_token, Auth0 le met à jour en access_token_authz, ce qui équivaut à access_token avec la demande permissions incluse.
    • Si le dialecte de votre jeton est rfc9068_profile, Auth0 le met à jour enrfc9068_profile_authz, ce qui équivaut à rfc9068_profile avec la demande permissions incluse.
    Pour en savoir plus sur les dialectes de jetons disponibles, consultez Options de dialecte des jetons.

Management API

Pour activer le RBAC à l’aide de Management API, envoyez une requête PATCH au point de terminaison Update a resource server (Mettre à jour un serveur de ressources). Dans la requête PATCH, définissez enforce_policies sur true : Remplacez les valeurs API_ID, MGMT_API_ACCESS_TOKEN et TOKEN_DIALECT par leurs valeurs respectives, comme indiqué dans le tableau suivant :

Options de dialecte des jetons

Auth0 prend en charge les dialectes des jetons suivants :

En savoir plus