Ce que nous construisons ensuite.

Permet aux applications WordPress headless de valider les jetons d'accès OAuth entrants auprès du fournisseur configuré, afin que les clients puissent appeler l'API REST WP avec la même identité qu'ils utilisent sur le site.

Téléchargez le journal d'audit complet ou un sous-ensemble filtré pour les revues de conformité, les preuves de tickets et l'analyse hors ligne. En un clic depuis la page des journaux.

Correspondance par regex, motifs génériques et règles d'appartenance à un tableau pour les valeurs d'attributs OAuth. Utile pour les hiérarchies de groupes complexes où la correspondance exacte est trop rigide.

Défend contre les attaques par force brute distribuées où le trafic bot est réparti entre de nombreuses IPs. Limite configurable par utilisateur et par heure.

Configurez plusieurs fournisseurs OAuth sur une même installation et laissez les utilisateurs choisir au moment de la connexion. Le cas d'usage réel : organisations à identités mixtes où le personnel utilise Azure AD et les étudiants utilisent Google Workspace. Une fonctionnalité de la v2.0 car l'UI des paramètres et le gestionnaire de callback doivent être restructurés autour d'une liste de configurations.

Configuration par site et à l'échelle du réseau, avec activation de licence sur les sous-sites. Cible les réseaux où chaque sous-site a besoin du même SSO.

SAML natif aux côtés d'OAuth / OIDC, sans avoir à exécuter un plugin séparé. Double le marché entreprise adressable. Même modèle de paramètres, nouveau module de protocole.

Quand le fournisseur d'identité révoque une session, WP déconnecte l'utilisateur au prochain chargement de page. Implémente la spécification OpenID Connect Back-Channel Logout. Important pour les acheteurs soucieux de sécurité.

Crée automatiquement un enregistrement client WooCommerce la première fois qu'un utilisateur se connecte via OAuth, afin que son historique de commandes démarre au bon endroit. Ouvre le cas d'usage SSO pour WooCommerce.

Une étape TOTP requise après le parcours OAuth, pour les administrateurs qui veulent une authentification à double verrou même quand le fournisseur est de confiance.

POST un payload vers une URL configurée lorsqu'un utilisateur se connecte, est créé, ou échoue l'authentification. Débloque la synchronisation externe vers des CRMs, analytiques et systèmes d'audit sans plugin personnalisé.

Filtres PHP ou un langage d'expressions simple pour remapper les réponses userinfo OAuth avant que WP ne les voie. Pour les fournisseurs qui renvoient des formes inhabituelles que la notation pointée ne peut pas exprimer.

Un petit widget sur le tableau de bord WP montrant les tentatives de connexion, succès et échecs des 7 derniers jours. Fait en sorte que le plugin semble actif pour les admins qui sinon oublient qu'il est là.

Crée des comptes WP pour tout un groupe OAuth avant que les utilisateurs ne se connectent pour la première fois, afin que les admins puissent attribuer des capacités et des métadonnées à l'avance.