API Identité headless : Flux Mot de passe oublié headless pour les clients et partenaires
Configurez un processus de réinitialisation du mot de passe headless dans votre application en utilisant le flux Mot de passe oublié headless, qui appelle l'API Mot de passe oublié headless. Utilisez ce flux avec d'autres flux headless pour fournir des expériences d'identité natives. Avec ce flux, un utilisateur qui a oublié son mot de passe peut vérifier son identité et créer un autre mot de passe sans quitter l'expérience de marque de votre application.
Éditions requises
| Disponible avec : Salesforce Classic (pas disponible dans toutes les organisations) et Lightning Experience |
| Disponible avec : Enterprise Edition, Unlimited Edition et Developer Edition |
Ce contenu d'aide décrit la configuration du flux et son fonctionnement. Pour configurer un exemple d'implémentation de bout en bout, consultez Headless Identity Implementation Guide.
Pour suivre correctement toutes les étapes prérequises, consultez Listes de contrôle d'implémentation de l'identité headless.
Le flux Headless Forgot Password résout une situation courante. Lorsqu'un utilisateur oublie son mot de passe et ne peut pas se connecter, ce flux fournit la fonctionnalité de réinitialisation sans perturber l'expérience de marque de votre application.
Par conséquent, vous pouvez configurer le flux Mot de passe oublié headless uniquement pour les clients et partenaires qui utilisent un sous-domaine de site Experience Cloud, tel que https://MonSiteExperienceCloud.my.site.com. Vous ne pouvez pas configurer ce flux pour les employés qui accèdent à des sites Experience Cloud ou à la plate-forme Salesforce avec login.salesforce.com ou un Mon domaine spécifique à votre organisation.
Le flux Mot de passe oublié headless fonctionne de la même façon pour des clients privés, notamment des applications client-serveur, et pour des clients publics, notamment des applications à page unique ou applications mobiles. La principale différence réside dans les paramètres de sécurité que vous activez pour des clients privés et des clients publics. Ces paramètres de sécurité contrôlent les paramètres que vous devez transmettre dans la requête initiale de réinitialisation du mot de passe. Il existe deux paramètres de sécurité, qui figurent dans la page Connexion et enregistrement Experience Cloud.
- Demander l'authentification pour accéder à cette API
- Demander reCAPTCHA pour accéder à cette API
Pour des clients privés, nous recommandons d'activer au minimum Demander l'authentification pour accéder à cette API. Lorsque ce paramètre est activé, vous devez inclure un jeton d’accès émis pour un utilisateur de l’intégration interne dans vos requêtes à l'API Mot de passe oublié headless. Le jeton d'accès doit inclure l'étendue forgot_password. Pour une protection supplémentaire, vous pouvez également activer Demander reCAPTCHA pour accéder à cette API.
Pour des clients publics, tels que des applications mobiles, nous recommandons d'activer Demander reCAPTCHA pour accéder à cette API. Lorsque ce paramètre est activé, vous devez inclure un jeton reCAPTCHA dans votre requête initiale à l'API Mot de passe oublié headless. Nous recommandons de ne pas activer Demander l'authentification pour accéder à cette API, car un client public ne peut pas garder le jeton d'accès secret.
Les clients publics doivent également implémenter une passerelle API entre le client et Salesforce afin de préserver la sécurité.
Pour élargir vos options de modèle pour l’e-mail de mot de passe à usage unique (OTP) envoyé aux utilisateurs pendant le flux, abonnez-vous à la liste d'autorisations de modèles d'e-mail et créez une liste d'autorisations contenant des modèles personnalisés. Consultez Utilisation de modèles d'e-mail multiples pour des flux headless.
Par défaut, les utilisateurs saisissent leur nom d'utilisateur pour réinitialiser leur mot de passe. Pour offrir plus d'options aux utilisateurs, configurez la découverte d’utilisateur headless. Par exemple, développez un flux dans lequel les utilisateurs saisissent leur adresse e-mail, leur numéro de téléphone ou même un numéro de commande. Consultez Connexion headless sans nom d'utilisateur.
Ce diagramme montre comment votre application interagit avec Salesforce pour réinitialiser un mot de passe.
Examinons de plus près les étapes de ce flux qui impliquent des interactions entre votre utilisateur, votre application et Salesforce.
- Votre client demande une réinitialisation du mot de passe (1).
- Salesforce renvoie un message de réussite (2) et vérifie que l'utilisateur existe et est vérifié.
- Salesforce génère et envoie des e-mails contenant un mot de passe à usage unique (3).
- Votre client soumet le nouveau mot de passe (4).
- Salesforce vérifie les mots de passe et renvoie un message de réussite (5).
Votre client demande une réinitialisation de mot de passe
Lorsque votre utilisateur a démarré le processus de réinitialisation du mot de passe, votre client envoie une requête POST au point de terminaison Mot de passe oublié headless de votre site Experience Cloud (1).
L'URI de la requête POST est le suivant :
/services/auth/headless/forgot_passwordInsérez les en-têtes ci-dessous dans la requête.
| En-tête | Obligatoire ? | Description |
|---|---|---|
Authorization: Bearer
|
Cet en-tête est requis si vous activez Demander l'authentification pour accéder à cette API dans la page Connexion et inscription d'Experience Cloud. Nous recommandons vivement de toujours activer ce paramètre pour les clients privés. Pour des clients publics, nous recommandons de ne jamais activer ce paramètre. |
Contient un jeton d'accès émis pour un utilisateur de l'intégration interne. Pour obtenir le jeton d'accès, utilisez n'importe quel flux OAuth standard pris en charge par Salesforce. Veillez à attribuer l'étendue forgot_password à l'application connectée qui émet le jeton ou à la transmettre en tant que paramètre pendant le flux OAuth. |
Content-Type
|
Non. | Spécifie le format de votre demande, par exemple, application/json/json. |
Insérez les paramètres ci-dessous dans le corps de la requête.
| Paramètre | Obligatoire ? | Description |
|---|---|---|
username
|
Obligatoire si vous n'utilisez pas la découverte d’utilisateur headless. | Le nom d'utilisateur du compte. |
login_hint
|
Obligatoire si vous utilisez un gestionnaire Apex headless de découverte d'utilisateur. | Un identifiant que votre gestionnaire Apex utilise pour retrouver le compte Salesforce d'un utilisateur. Supposons que vous voulez récupérer le numéro de commande d'un utilisateur dans votre application et le transmettre dans le paramètre login_hint. Nous envoyons la valeur login_hint directement à votre gestionnaire Apex. |
customdata
|
Obligatoire si vous utilisez un gestionnaire de découverte d’utilisateur headless qui gère les données personnalisées. Par exemple, si vous utilisez également le gestionnaire avec un flux de connexion qui gère les données personnalisées, vous devez transmettre des données personnalisées dans le flux Mot de passe oublié. Sinon, il est facultatif, mais peut être utile pour aider votre gestionnaire à trouver l'utilisateur. |
Une chaîne JSON contenant des données supplémentaires que votre gestionnaire de découverte headless Apex utilise pour retrouver le compte Salesforce d'un utilisateur. Transmettez,par exemple, des informations sur les paramètres régionaux de l'utilisateur. |
emailtemplate
|
Non. | Le nom du développeur du modèle d'e-mail personnalisé. Si vous avez activé Utiliser uniquement les modèles d'e-mail de la liste d'autorisations dans vos paramètres Experience Cloud, ce paramètre peut inclure uniquement un modèle d'e-mail répertorié dans la liste d'autorisations. Si vous n'avez pas activé la liste d'autorisations de modèles d'e-mail, ce paramètre peut inclure n'importe quel modèle dans votre organisation. Pour contrôler la langue d'un modèle d'e-mail personnalisé, créez un modèle dans la langue de votre choix. Si vous n'incluez pas ce paramètre, Salesforce utilise le modèle d'e-mail configuré dans vos paramètres Experience Cloud, que la liste d'autorisations de modèles d'e-mail soit activée ou non. Avec cette option, Salesforce détermine la langue dans les paramètres de l'utilisateur. Consultez Paramètres linguistiques, régionaux et des devises. |
recaptcha
|
Obligatoire si les conditions suivantes s'appliquent à vous :
|
Un jeton crypté émis par l'API Google reCAPTCHA lorsqu'un passe un défi reCAPTCHA |
recaptchaevent
|
Obligatoire si les conditions suivantes s'appliquent à vous :
|
Un objet JSON contenant les sous-paramètres ci-dessous.
Pour plus d'informations, consultez la documentation reCAPTCHA de Google. |
Voici un exemple de requête pour un client public qui utilise un modèle d'e-mail personnalisé. Il contient un jeton reCAPTCHA pour la sécurité et un paramètre emailtemplate avec le nom du développeur d'un modèle personnalisé.
POST /services/auth/headless/forgot_password HTTP/1.1
Host: MyDomainName.my.site.com
Content-Type: application/json
{
"username":"lhansen@example.com",,
"emailtemplate":"unfiled$public/SalesNewCustomerEmail",
"recaptcha": "<recaptcha token>"
}
Voici un exemple de requête pour un client privé qui utilise le modèle d'e-mail par défaut. Il inclut un jeton d'accès pour la sécurité.
POST /services/auth/headless/forgot_password HTTP/1.1
Host: MyDomainName.my.site.com
Authorization: Bearer 00DR****************
Content-Type: application/json
{
"username": "lhansen@example.com"
}Voici un exemple de demande pour un client privé qui utilise la découverte d’utilisateur headless.
POST /services/auth/headless/forgot_password HTTP/1.1
Host: MyDomainName.my.site.com
Authorization: Bearer 00DR****************
Content-Type: application/json
{
"login_hint": "<user identifier such as email address, phone number, order number>",
"customdata": {
"firstName": "Lyle",
"lastName": "Hansen"
}
}(Facultatif) Le gestionnaire de découverte d’utilisateur headless recherche un utilisateur
Si vous utilisez un gestionnaire de découverte d’utilisateur headless, le gestionnaire utilise le paramètre login_hint et customdata et recherche l'utilisateur associé. Le gestionnaire confirme que l'adresse e-mail ou le numéro de téléphone de l'utilisateur est vérifié.
Pour un exemple de gestionnaire, consultez Auth.HeadlessUserDiscoveryHandler.
Salesforce renvoie un message de réussite et vérifie le nom d'utilisateur
Lorsque Salesforce reçoit la demande d'oubli du mot de passe, il envoie un message de réussite au client (2). Si vous n'utilisez pas de gestionnaire de découverte headless, Salesforce vérifie que le nom d'utilisateur correspond à un compte. Si le nom d'utilisateur ne correspond pas à un compte, le flux s'arrête.
Voici un exemple de réponse réussie.
{
"status": "success",
"status_code": "otp_sent"
}Si la requête échoue, Salesforce renvoie un message d'erreur décrivant la requête. Pour la plupart des erreurs, Salesforce renvoie le message d'erreur sous ce format.
{
"status_code": "<error code>",
"<error name>": "<error description>",
"status": "failed"
}
Par exemple, si le client utilise le mauvais type de requête HTTPS, Salesforce renvoie cette réponse d'erreur.
{
"status_code": "post_required",
"invalid request": "use a POST request",
"status": "failed"
}
Pour le code d'erreur invalid_recaptcha, la réponse contient des informations supplémentaires du service reCAPTCHA de Google. Voici comment ces réponses sont mises en forme.
{
"status_code": "invalid_recaptcha",
"invalid_request: "invalid reCAPTCHA token",
"status": "failed",
"recaptcha_response": {
"success": <true or false>,
"challenge_ts": <timestamp of the challenge in ISO format (yyyy-MM-dd'T'HH:mm:ssZZ)>,
"hostname": "<host name of the client where the reCAPTCHA was solved>",
"error-codes": [<error codes from Google reCAPTCHA...>]
}
}
Voici une vue d'ensemble des réponses d'erreur.
| Code d'erreur | Nom de l'erreur | Description de l'erreur | Détails et résolution |
|---|---|---|---|
authentication_req
|
invalid_request
|
include an authentication header
|
Vous obtenez cette erreur si vous activez le paramètre Exiger l'authentification pour accéder à cette API (toujours recommandé pour les clients privés) et si vous n'envoyez pas correctement le jeton d'accès. Envoyez le jeton d'accès dans un en-tête Authorization:Bearer. |
headless_forgot_password_disabled
|
invalid_experience
|
enable the headless forgot password flow
|
Activez Autoriser la réinitialisation du mot de passe via le flux Mot de passe oublié headless dans vos paramètres Experience Cloud. Consultez Configuration des paramètres Experience Cloud pour le flux Mot de passe oublié headless. |
https_required
|
invalid_request
|
use a URL that starts with HTTPS
|
La requête n'est pas conforme au protocole HTTPS. Vérifiez la spécification Hyptertext Transfer Protocol, mettez à jour la demande et renvoyez-la. |
invalid_authorization
|
invalid_request
|
authentication failure
|
Vous obtenez cette erreur si vous avez activé le paramètre Exiger l'authentification pour accéder à cette API (toujours recommandé pour les clients privés) et que le jeton d'accès inclus dans la requête n'est pas valide. Par exemple, le jeton d'accès a expiré ou ne contient pas l'étendue forgot_password. Vérifiez le jeton d'accès et récupérez-en un nouveau, si nécessaire. |
invalid_domain
|
invalid_request
|
invalid domain
|
Les requêtes à ce point de terminaison sont prises en charge uniquement pour les domaines de site Experience Cloud. |
invalid_params
|
invalid_request
|
invalid parameters
|
La requête contient des paramètres non pris en charge, ou les paramètres ne sont pas correctement formatés. Examinez les paramètres d'en-tête et de corps pris en charge, ainsi que les exemples de requêtes d'initialisation de la réinitialisation du mot de passe. |
invalid_recaptcha
|
invalid_request
|
invalid reCAPTCHA token
|
Pour cette erreur, la réponse contient une réclamation supplémentaire Pour plus d'informations sur des erreurs spécifiques, consultez les ressources ci-dessous dans la documentation de Google. |
invalid_template
|
invalid_param
|
invalid email template
|
Vérifiez que le client envoie le nom du développeur d'un modèle d'e-mail personnalisé dans le paramètre emailtemplate. |
missing_auth_params
|
invalid_request
|
include an authentication header or reCAPTCHA
parameter
|
Les requêtes à ce point de terminaison doivent inclure au minimum un jeton d'accès ou un jeton reCAPTCHA, selon votre type d'application et les paramètres Experience Cloud. Consultez Configuration des paramètres Experience Cloud pour le flux Mot de passe oublié headless, puis mettez à jour la requête pour l'adapter à vos paramètres. |
not_allowed_template
|
invalid_param
|
email template not allowlisted
|
Vous obtenez cette erreur si vous activez la liste d'autorisation de modèle d'e-mail et que la valeur du paramètre emailtemplate ne fait pas partie de la liste d'autorisation. Pour plus d'informations sur la liste d'autorisations, consultez Utilisation de plusieurs modèles d'e-mail pour des flux headless. |
otp_generation_failed
|
otp_error
|
OTP generation failed
|
Salesforce n'a pas pu générer de mot de passe à usage unique. Réessayez d'envoyer la requête. |
post_required
|
invalid_request
|
use a POST request
|
Le type de requête n'est pas pris en charge. Envoyez une requête HTTPS POST. |
recaptcha_req
|
invalid_request
|
include a reCAPTCHA parameter
|
Vous obtenez cette erreur si vous activez Exiger reCAPTCHA pour accéder à cette API dans les paramètres de votre site Experience Cloud et que la demande ne contient pas de jeton reCAPTCHA dans le paramètre recaptcha. Insérez un jeton reCAPTCHA. |
unknown_error
|
unknown_error
|
retry your request
|
Un problème s'est produit lors de l'envoi de la demande, mais nous ne savons pas ce qui s'est passé. Essayez de vérifier votre connexion Internet, d'actualiser la page et de renvoyer la requête. |
user_account_locked
|
invalid_user
|
user account is locked
|
L'utilisateur est verrouillé hors de son compte. Pour restaurer son accès, déverrouillez l'utilisateur. |
Salesforce génère et envoie des e-mails contenant un mot de passe à usage unique
Salesforce vérifie qu'un compte avec ce nom d'utilisateur existe dans le système. Si le compte existe, il génère un mot de passe à usage unique et l'envoie (3) à l'adresse e-mail indiquée dans le fichier. Cet e-mail est généré en utilisant le modèle d'e-mail par défaut ou en faisant référence à un modèle personnalisé comme paramètre de la demande initiale emailtemplate. Pour plus d'informations sur la personnalisation du modèle d'e-mail, consultez Personnalisation des e-mails envoyés depuis des sites Experience Cloud.
Votre client soumet le nouveau mot de passe
Lorsque le client reçoit le message de réussite envoyé par Salesforce, il présente nativement à l'utilisateur une page de réinitialisation du mot de passe. Cette page doit inclure des champs pour le mot de passe à usage unique et le nouveau mot de passe de l'utilisateur. Le nouveau mot de passe est soumis aux exigences de mot de passe de Salesforce. Lorsque l'utilisateur a rempli ces champs, le client envoie un autre nom d'utilisateur, mot de passe à usage unique et nouveau mot de passe dans une autre requête POST au point de terminaison Mot de passe oublié (4).
Insérez les en-têtes ci-dessous dans la requête.
| En-tête | Obligatoire ? | Description |
|---|---|---|
Authorization: Bearer
|
Cet en-tête est requis si vous activez Demander l'authentification pour accéder à cette API dans la page Connexion et inscription d'Experience Cloud. Nous recommandons vivement de toujours activer ce paramètre pour les clients privés. Pour des clients publics, nous recommandons de ne jamais activer ce paramètre. |
Contient un jeton d'accès émis pour un utilisateur de l'intégration interne. Pour obtenir le jeton d'accès, vous pouvez utiliser n'importe quel flux OAuth standard pris en charge par Salesforce. Veillez à attribuer l'étendue forgot_password à l'application connectée qui émet le jeton ou à la transmettre en tant que paramètre pendant le flux OAuth. |
Content-Type
|
Non. | Spécifie le format de votre demande, par exemple, application/json/json. |
Insérez les paramètres ci-dessous dans le corps de la requête.
| Paramètre | Obligatoire ? | Description |
|---|---|---|
username
|
Obligatoire si vous n'utilisez pas un gestionnaire de découverte utilisateur headless. | Le nom d'utilisateur du compte. |
login_hint
|
Obligatoire si vous utilisez un gestionnaire de découverte d’utilisateur headless. | Un identifiant que votre gestionnaire Apex peut utiliser pour retrouver le compte Salesforce d'un utilisateur. |
otp
|
Oui. | Le mot de passe à usage unique généré par Salesforce et envoyé par e-mail à l'utilisateur. |
newpassword
|
Oui. | Le nouveau mot de passe créé par l'utilisateur. |
Voici un exemple de requête pour un client privé.
POST /services/auth/headless/forgot_password HTTP/1.1
Host: MyDomainName.my.site.com
Authorization: Bearer 00DR****************
Content-Type: application/json
{
"username": "lhansen@example.com",
"otp" : "123abc",
"newpassword" : "abcd1234"
}
Voici une requête similaire pour des clients publics qui ne contient pas de jeton d'accès. Le jeton reCAPTCHA a été envoyé dans la requête initiale. Par conséquent, il n'est pas requis dans cette requête.
POST /services/auth/headless/forgot_password HTTP/1.1
Host: MyDomainName.my.site.com
Content-Type: application/json
{
"username": "lhansen@example.com",
"otp" : "123abc",
"newpassword" : "abcd1234"
}Salesforce vérifie les mots de passe et renvoie un message de réussite
Lorsque Salesforce reçoit la demande de mot de passe, il vérifie la validité du mot de passe à usage unique et vérifie si le nouveau mot de passe respecte la configuration requise. Si ces deux critères sont remplis, il définit le nouveau mot de passe. Une fois le mot de passe modifié, Salesforce envoie un message de réussite au client (5). Voici à quoi ressemble le message de réussite.
{
"status": "success",
"status_code": "success"
}Votre client doit informer l'utilisateur que la modification a été acceptée et qu'il peut se connecter avec son nouveau mot de passe.
Si le client envoie un mot de passe à usage unique incorrect ou si le nouveau mot de passe ne respecte pas les exigences de sécurité de Salesforce standard, la réinitialisation du mot de passe échoue. Si la réinitialisation du mot de passe échoue, votre client peut effectuer au maximum cinq tentatives de réinitialisation du mot de passe avec le même mot de passe à usage unique. Vous contrôlez le nombre maximal de tentatives dans vos paramètres Experience Cloud. Après un nombre excessif d'échecs, votre client doit envoyer une nouvelle demande initiale de réinitialisation du mot de passe afin qu'un nouveau mot de passe à usage unique soit généré et envoyé par e-mail à votre utilisateur.
Si le changement de mot de passe échoue, Salesforce renvoie une réponse d'erreur sous ce format.
{
"status_code": "<error code>",
"<error name>": "<error description>",
"status": "failed"
}
Voici un aperçu des erreurs de cette requête.
| Code d'erreur | Nom de l'erreur | Description de l'erreur | Détails et résolution |
|---|---|---|---|
headless_forgot_password_disabled
|
invalid_experience
|
enable the headless forgot password flow
|
Activez Autoriser la réinitialisation du mot de passe via le flux Mot de passe oublié headless dans vos paramètres Experience Cloud. Consultez Configuration des paramètres Experience Cloud pour le flux Mot de passe oublié headless. |
https_required
|
invalid_request
|
use a URL that starts with HTTPS
|
La requête n'est pas conforme au protocole HTTPS. Vérifiez la spécification Hyptertext Transfer Protocol, mettez à jour la demande et renvoyez-la. |
invalid_domain
|
invalid_request
|
invalid domain
|
Les requêtes à ce point de terminaison sont prises en charge uniquement pour les domaines de site Experience Cloud. |
invalid_otp
|
otp_error
|
invalid OTP
|
Le mot de passe à usage unique ne correspond pas à ce que Salesforce a envoyé à l'utilisateur, ou il a expiré. Vérifiez le mot de passe à usage unique et demandez-en un nouveau si nécessaire. |
invalid_params
|
invalid_request
|
invalid parameters
|
La requête contient des paramètres non pris en charge, ou les paramètres ne sont pas correctement formatés. Examinez les paramètres d'en-tête et de corps pris en charge, ainsi que les exemples de demande de changement de mot de passe. |
password_policy_check_failure
|
password error
|
password does not follow policy
|
Le mot de passe ne suit pas la stratégie de mot de passe configurée pour votre organisation. En plus de la stratégie que vous définissez, Salesforce applique certaines exigences de mot de passe pour tous les mots de passe utilisateur. Consultez Définition de stratégies de mot de passe. |
post_required
|
invalid_request
|
use a POST request
|
Le type de requête n'est pas valide. Envoyez une requête HTTPS POST. |
regenerate_otp
|
otp_error
|
user made too many invalid attempts; regenerate
OTP
|
L'utilisateur a essayé sans succès d'utiliser le mot de passe à usage unique trop souvent. Demandez un nouveau mot de passe à usage unique. Vous pouvez contrôler le nombre maximal de tentatives de réinitialisation du mot de passe que vous autorisez avant que les utilisateurs soient contraints de demander un nouveau mot de passe à usage unique. Consultez Configuration des paramètres Experience Cloud pour le flux Mot de passe oublié headless. |
unknown_error
|
unknown_error
|
retry your request
|
Un problème s'est produit lors de l'envoi de la demande, mais nous ne savons pas ce qui s'est passé. Essayez de vérifier votre connexion Internet, d'actualiser la page et de renvoyer la requête. |
user_account_locked
|
invalid_user
|
user account is locked
|
L'utilisateur est verrouillé hors de son compte. Pour restaurer son accès, déverrouillez l'utilisateur. |
