Cette recette fait partie de la série Découvrir le CIAM par l'exemple: Quatre recettes pour améliorer la sécurité et l'UX de votre application. Pour en savoir plus sur cette série, vous pouvez télécharger nos quatre recettes au format livre de cuisine. Dans cette recette, vous apprendrez à ajouter l'authentification sans mot de passe à votre application à l'aide de clés d'identification. |
Les consommateurs veulent en voir et en faire plus en numérique, et ils font confiance aux marques qui indiquent clairement comment leurs informations sont utilisées pour leur apporter de la valeur.
Bien gérer la confidentialité des données de tout utilisateur, qu'il s'agisse de votre employé, d'un client ou d'un pigiste, est rarement une considération ponctuelle.
Différents organismes de réglementation ont des exigences de conformité différentes selon le type de données que vous traitez, qu'il s'agisse de l'accès des utilisateurs aux informations de santé (HIPAA) ou des informations personnelles relatives aux personnes dans l'UE (RGPD).
La conformité en matière de confidentialité des données ne se limite pas à l'obtention du consentement approprié. Il s'agit d'un cadre pour un accès approprié, qui comprend la sécurité de vos données de consommateurs.
Pourquoi la conformité en matière de confidentialité des données est-elle importante ?
Les grandes organisations ont une plus grande responsabilité en ce qui concerne la profondeur de la conformité requise par des réglementations telles que le RGPD et le CCPA. Cela dit, aucune organisation, même la plus petite, n'est à l'abri en matière de confidentialité des données, et la sécurité est un élément majeur de la confidentialité des données.
Pensez à la façon dont la confidentialité fonctionne dans le monde réel. Vous pouvez mettre quatre murs et une porte autour de presque tout. Mais si la porte n'a pas de serrure, cet espace est-il privé ?
Étape 1 : Mettre en œuvre un journal d'audit
Conformément au RGPD et CCPA, les organisations, grandes et petites, sont tenues de respecter certaines pratiques d'audit, et le fondement de ces pratiques commence par une couche de conformité d'audit, également connue sous le nom de journal d'audit.
Contrairement aux outils SIEM ou d'enregistrement des systèmes, la journalisation d'audit relaie l'impact d'un incident de sécurité dans une invite lisible (comme un enregistrement historique des événements) pour évaluer le risque associé aux actions d'un individu ou d'un groupe sur votre plateforme, par rapport aux autorisations dont ils disposent, et signaler une anomalie lorsqu'elles ne correspondent pas.
Avec Auth0 by Okta, vous n'avez pas besoin de créer votre flux de journaux d'audit. Nos journaux sont prêts pour l'audit dès la sortie de la boîte, avec plusieurs certifications de conformité intégrées pour vous aider à prendre en charge la préparation à la conformité.
Cependant, ce n'est que le début. Les journaux d'audit vous indiquent quelles parties de votre plateforme sont fréquemment utilisées et quelles données sont visibles par votre plus petit dénominateur commun. Il appartient aux organisations de transformer ces informations en une protection tangible pour leurs consommateurs et de fournir des outils qui leur donnent le contrôle de leurs données.
Phase 2 : Consentement
Les lois sur la confidentialité des données peuvent exiger que les organisations obtiennent un consentement approprié avant de traiter les données personnelles. Avec Auth0 by Okta Professional et Enterprise, les clients peuvent obtenir le consentement à l'aide d'invites personnalisées.
Les invites personnalisées sont une fonctionnalité basée sur le langage de template Liquid, conçue pour donner aux développeurs un contrôle accru sur l'expérience de connexion et d'inscription, avec des modèles partiels à différents points d'entrée. En gros, avec un peu de HTML, de CSS et de Javascript, les équipes peuvent amorcer leurs efforts de consentement avec Auth0 by Okta's cloud-hosted Universal Login.
Ces modèles partiels peuvent permettre d'obtenir un consentement granulaire et de capturer d'autres informations à différents moments du parcours d'authentification, grâce à Auth0 by Okta Actions. Dans cette recette, nous allons ajouter une invite d'inscription à l'aide d'Actions.
Recette
Ingrédients
- Universal Login
- Custom Domain (Branding > Custom Domains)
- Personnaliser le modèle de page
- Chargeons notre modèle de consentement partiel dans notre connexion avec un appel d'API.
Voici le consentement partiel.
<div class="ulp-field"> <input type="checkbox" name="ulp-terms-of-service" id="terms-of-service"> <label for="terms-of-service"> J'accepte le <a href="https://example.com/tos">conditions générales</a> </label> </div> |
Ajoutez ceci à une commande curl et c'est parti.
# Ajoutez vos propres informations de tenant URL='https://TENANT.ENVIRONMENT.auth0.com/api/v2/prompts/signup/partials' TOKEN='eyJhbGci…'
curl -X PUT \ -H 'Content-Type: application/json' \ -H "Authorization: Bearer $TOKEN" \ -d "{\"signup\":{\"form-content-end\":\" <div class= 'ulp-field '> <input type= 'checkbox ' name= 'ulp-terms-of-service ' id= 'terms-of-service '> <label for= 'terms-of-service '> J'accepte les <a href= 'https://example.com/tos '>conditions générales</a> </label> </div> " \ "$URL" |
- Étant donné qu'Universal Login est prêt à prendre en charge une expérience utilisateur cohérente et personnalisée, vos partiels personnalisés s'intégreront parfaitement au reste de l'interface utilisateur :
- Pour sécuriser ce code côté client, nous devons prendre la mesure supplémentaire de créer une validation côté serveur — sous la forme d'une action de pré-enregistrement de l'utilisateur — en accédant à Actions > Bibliothèque > Créer personnalisé:
- Ajoutez le code suivant à l'action, ce qui empêchera la validation du formulaire sans consentement, puis Déployez pour enregistrer :
exports.onExecutePreUserRegistration = async (event, api) => { const termsOfService = event.request.body['ulp-terms-of-service']; if(!termsOfService) { api.validation.error("invalid_payload", "Veuillez consulter les conditions d'utilisation."); return; } api.user.setUserMetadata("termsOfService", true); }; |
- Accédez à Flows > Pre User Registration, et ajoutez votre action Custom :
- Désormais, lorsque votre utilisateur donne son consentement, celui-ci sera documenté dans son profil (User Management > Users) sous user_metadata :
Phase 3 : Centre de préférences
La conformité en matière de confidentialité des données exige que les utilisateurs consentent à la collecte et à l'utilisation de leurs données personnelles, qu'ils puissent les révoquer, y accéder, les corriger ou les supprimer de votre plateforme.
Un Preference Center est un endroit où les utilisateurs vont gérer leurs préférences, y compris les newsletters auxquelles ils se sont inscrits et tout autre service entre les deux qui nécessite un consentement explicite.
Lorsque les organisations investissent dans une solution d’identité comme Auth0 by Okta, la création de centres de préférences se fait en toute simplicité grâce à l’ API de gestion Auth0.
Phase ∞ : Sécurité des données
Les acteurs malveillants sont tout aussi actifs que les organisations pour trouver des moyens d'exploiter les dernières technologies. La sécurité des données n'a pas de fin en soi, mais Auth0 by Okta dispose d'outils puissants et d'un personnel expert à votre disposition pour empêcher les activités frauduleuses sur votre plateforme.
Et ensuite ?
Avec votre application sécurisée et conforme, il est temps d’utiliser CIAM pour obtenir une vue universelle de votre consommateur sur plusieurs canaux.
Dans notre prochaine recette, nous explorerons l'extensibilité de CIAM en intégrant vos données de consommateurs dans un système de marketing. Si vous voulez voir cela, ainsi que toutes les autres recettes, dans un guide complet, téléchargez notre livre de recettes.
