L'expérience d'identité de vos clients, à votre marque.
Obexal n'est pas un produit d'identité client greffé à côté. C'est la même plateforme souveraine européenne, tournée vers les personnes qui utilisent votre service : une connexion marquée, la connexion sans mot de passe, un onboarding self-service et un portail Mes applications, le tout à votre nom et hébergé dans l'UE.
L'essentiel
| Connexion | Passkeys WebAuthn, lien magique (15 min), code e-mail (10 min) ; jamais de SMS |
|---|---|
| Social | Google, Microsoft et OIDC générique, par tenant ; aucun jeton externe conservé |
| Marque | Couleur et logo auto-hébergé par tenant, aperçu en direct |
| Domaine | Personnalisé, vérifié par DNS TXT, certificat TLS automatique |
| Onboarding | Invitation = activation ; création d'organisation self-service vérifiée par OTP |
| Portail | « Mes applications », avec les agents IA autorisés, révocables |
| Données | Profil minimal, export et suppression encadrés RGPD |
| Hébergement | France, datacenter en région parisienne ; résidence des données UE |
Une connexion à votre marque
Vos clients ne devraient jamais avoir le sentiment d'avoir quitté votre produit au moment de se connecter. Chaque tenant habille l'écran de connexion avec sa couleur de marque et un logo auto-hébergé : vous téléversez un fichier par tenant, le thème s'applique via des variables CSS, et un aperçu en direct dans la console d'administration vous montre le résultat avant publication.
Vous pouvez aussi pointer votre propre domaine vers Obexal. La propriété est vérifiée par un enregistrement DNS TXT, puis un certificat TLS est émis automatiquement, mais seulement une fois cette preuve établie. Obexal résout ensuite le tenant à partir de l'en-tête Host, si bien que id.votremarque.com est une vraie porte d'entrée à votre nom, pas une redirection vers une page partagée. La marque, les domaines personnalisés et le portail sont tous configurés tenant par tenant, et ils reposent sur le même socle de sécurité que le reste de la plateforme.
Sans mot de passe, sans friction
Moins de mots de passe à retenir, c'est moins de mots de passe à oublier et moins de mots de passe à hameçonner. Obexal propose plusieurs méthodes sans mot de passe, chacune activable tenant par tenant.
- Passkey
WebAuthn: un facteur primaire fort et résistant à l'hameçonnage par conception ; le client se connecte sans identifiant ni mot de passe, avec la biométrie de son appareil ou une clé de sécurité, et gère ses propres passkeys en self-service. - Lien magique : un lien à usage unique, valable 15 minutes, envoyé par e-mail, avec des jetons stockés hachés et un flux anti-énumération qui ne révèle jamais si une adresse existe.
- Code e-mail : un code à usage unique, valable 10 minutes, qui convient aux clients préférant un code à un lien.
- Connexion sociale : toujours possible, configurée par tenant ; Google, Microsoft et OIDC générique, y compris un IdP souverain, les connexions par tenant surchargeant les connexions globales, et aucun jeton externe n'est jamais persisté : Obexal ne conserve que le lien d'identité, rien de plus.
Il n'y a aucun SMS nulle part : uniquement des codes e-mail, un choix souverain qui écarte le SIM-swap et l'interception de SMS. Le passwordless reste désactivé tant qu'un tenant ne l'active pas (branding.allowPasswordless), et vous choisissez exactement les méthodes que vos clients voient. Les échecs et les verrouillages alimentent le même moteur d'accès conditionnel que le reste de la plateforme : la connexion que vivent vos clients s'appuie sur les mêmes règles de réseau, d'horaire, de pays et de risque adaptatif qui protègent vos collaborateurs.
Un onboarding que vous maîtrisez de bout en bout
Deux parcours honnêtes coexistent, tous deux audités et tous deux capables de résoudre l'organisation pour l'utilisateur. Le premier est la création d'organisation en self-service : une page publique transforme un prospect en owner, qui crée l'organisation, la vérifie par un code OTP envoyé par e-mail, et se retrouve connecté automatiquement, sans appel commercial préalable.
Le second est le modèle sur invitation, adapté aux produits fermés. L'invitation est l'activation : le profil arrive pré-rempli, et l'accepter crée le compte ; le self-signup reste désactivé par défaut. Dans les deux cas, les clients n'ont pas à mémoriser un nom de tenant dans l'URL : l'organisation est résolue à partir de l'adresse e-mail ou du domaine, et un utilisateur qui revient saisit simplement son e-mail. Les mêmes règles anti-énumération s'appliquent partout, si bien qu'un flux d'invitation ne divulgue jamais qui est ou n'est pas déjà client.
Le portail Mes applications
Une fois connecté, votre client arrive sur un portail Mes applications en marque blanche, servi par /v1/me/apps, dans l'esprit du tableau de bord utilisateur d'Okta. Il y voit les applications qui lui sont assignées et, tout aussi important, les agents IA qui agissent en son nom, chacun révocable en un clic. Rien n'apparaît qui ne lui ait été explicitement accordé, et la marque comme le domaine restent ceux de l'écran de connexion.
Cette transparence sur les agents n'est pas un détail : elle place le contrôle des délégations consenties en son nom entre les mains de l'utilisateur final, et pas seulement de l'administrateur. Pour comprendre comment ces identités d'agents sont émises, plafonnées, expirées et révoquées, voir l'identité des agents IA.
Confidentialité par conception
Collecter peu, conserver moins : la minimisation des données est un défaut, pas une option. Quand un client se connecte via Google, Microsoft ou OIDC, Obexal ne conserve que le lien d'identité, jamais le jeton d'accès ou de rafraîchissement externe, si bien qu'il n'y a rien à fuiter et rien à sur-collecter.
Le profil lui-même reste minimal : prénom, nom, nom affiché, poste, département et langue, diffusés en claims OIDC. Aucune date de naissance n'est collectée, par choix, pour rester aligné sur la minimisation RGPD. Les champs de profil sont éditables par un administrateur ou via SCIM, et en lecture seule pour l'utilisateur final, tandis que les contrôles qui concernent vraiment la personne (ses passkeys, la révocation des agents agissant en son nom) sont entre ses propres mains.
Les demandes des personnes concernées sont traitées concrètement : accès et effacement sont servis via la console d'administration et le déprovisionnement SCIM, avec le processus décrit sur la page confidentialité et dans le DPA. Chaque étape sensible est consignée dans un journal d'audit immuable.
En quoi c'est différent de l'IAM
L'IAM couvre vos collaborateurs, salariés et prestataires ; le CIAM couvre vos clients et utilisateurs finaux. C'est la même plateforme et le même socle de sécurité, appliqués à un public et à une expérience différents : marque, onboarding et portail Mes applications pensés pour des personnes extérieures à votre organisation. Si votre besoin porte plutôt sur vos propres équipes, voir l'IAM des collaborateurs.
Honnêtement, Obexal n'est pas une suite CIAM empaquetée à part. Les briques (marque, domaines personnalisés, passwordless, passkeys, connexion sociale, onboarding, portail) sont réelles et livrées, mais ce sont les mêmes primitives de la plateforme tournées vers vos clients, pas une gamme distincte. Nous préférons vous le dire plutôt que survendre une suite.
Souverain, et vérifiable
Obexal est hébergé en France, dans un datacenter en région parisienne, avec résidence des données dans l'UE. Aucune dépendance hors UE ne se trouve dans le chemin des requêtes, il n'y a aucun CDN externe et les polices sont auto-hébergées. Les échanges sont chiffrés en TLS 1.2 au minimum, 1.3 privilégié, avec HSTS. Aucun jeton social n'est persisté et aucune date de naissance n'est collectée.
Côté certifications, soyons précis : non certifié à ce jour ; correspondance ISO 27001:2022 documentée ; feuille de route SecNumCloud engagée. Le détail figure sur la page sécurité et la page souveraineté.
Questions fréquentes
Le CIAM est-il un produit séparé ?
Non. C'est la même plateforme souveraine, tournée vers les personnes qui utilisent votre service : même annuaire, même socle de sécurité, même journal d'audit. Voir l'IAM pour vos collaborateurs.
La connexion peut-elle vivre sur notre propre domaine ?
Oui. Pointez votre domaine vers Obexal, prouvez la propriété par un enregistrement DNS TXT, et le certificat TLS est émis automatiquement. Votre marque, votre domaine.
Le sans mot de passe est-il obligatoire pour nos clients ?
Non. Chaque méthode est opt-in par organisation : vous choisissez exactement les options de connexion que vos clients voient, et vous pouvez en changer à tout moment.
Comment le RGPD est-il respecté pour les utilisateurs finaux ?
Minimisation par conception : aucun jeton social conservé, profil minimal, hébergement en France avec résidence des données dans l'UE. Politique de confidentialité.
Continuer : IAM, l'identité de vos collaborateurs · Agents IA · Souveraineté et conformité