Passer au contenu principal
Cette section couvre une liste de configurations à vérifier dans votre locataire. Ces vérifications doivent être effectuées périodiquement au cours du développement et suffisamment avant le lancement pour avoir le temps de corriger tout problème éventuel.

Vérification générale du locataire

Vérification de la préparation du locataire

Vérifiez que vous avez mis en place des environnements de locataire pour soutenir votre cycle de vie SDLC et que les locataires Dev, Test et Prod sont proprement séparés afin que le travail de développement en cours après le lancement n’ait pas d’impact négatif sur votre environnement de production. Chaque entreprise dispose d’une forme de cycle de vie du développement logiciel (SDLC) et, tout au long du processus de développement, il est important de s’aligner sur cette stratégie. Par exemple, vous devez être en mesure de tester votre intégration avec Auth0 de la même manière que vous testez les applications elles-mêmes. Il est donc important de structurer les locataires Auth0 pour soutenir votre SDLC, et il existe un modèle cohérent que nos clients suivent généralement en ce qui concerne les meilleures pratiques associées à la disposition des locataires pour y parvenir :
EnvironnementExemple de nom de locataireDescription
Développementcompany-devUn environnement partagé où se déroule la majeure partie de votre travail de développement
QA/Testcompany-qa ou company-uatUn environnement pour tester formellement les modifications que vous avez apportées
Productioncompany-prodLe locataire de production
Dans certains cas, vous pouvez également vouloir créer un ou plusieurs environnement(s) isolé(s) « sandbox » (par exemple, company-sandbox1, company-sandbox2) afin de pouvoir tester les changements sans compromettre votre environnement de développement. Il peut s’agir de l’emplacement où vous testez les scripts de déploiement, etc.

Meilleure pratique

Vous pouvez également tirer parti de nos Listes de contrôle de mise en œuvre que vous pouvez télécharger et personnaliser pour répondre aux besoins de votre projet de mise en œuvre.

Vérification de l’association des locataires

Pour vous assurer que vos locataires sont tous associés à votre accord contractuel Auth0 et qu’ils disposent des mêmes fonctionnalités, vérifiez que tous vos locataires sont associés à votre compte d’entreprise. Si vos développeurs souhaitent créer leurs propres bacs à sable à des fins de test, assurez-vous qu’ils sont associés à votre compte afin qu’ils disposent également des mêmes autorisations. Pour cela, vous devez communiquer avec votre représentant Auth0 ou le Centre d’assistance Auth0.

Préciser le locataire de production

Pour qu’Auth0 reconnaisse votre locataire de production, veillez à définir votre locataire de production avec le drapeau « production » dans le centre d’assistance.

Vérification du locataire de production

Auth0 propose une fonction de Vérification de production pour détecter de nombreuses erreurs courantes. Vous devez vous assurer qu’il a été exécuté et que toutes les conclusions du rapport ont été résolues avant le lancement. En outre, vous devez vérifier les conseils sur les meilleures pratiques en matière de configuration, pour lesquels la vérification ne peut pas être automatisée.

Vérification des paramètres du locataire

Paramètres du locataire

Veillez à suivre les recommandations en matière de tenant settings (paramètres du locataire) Auth0 dans la configuration de votre logo ainsi que de votre courriel de support et de votre URL de support afin que les utilisateurs sachent comment obtenir de l’aide en cas de problème. Vérifiez également vos paramètres de délai de session et la liste des administrateurs du Dashboard ayant accès à votre locataire de production.

Personnalisation de la page d’erreur

En cas de problèmes rencontrés durant le flux de travail interactif des utilisateurs (par exemple, lors de l’inscription ou de la connexion), Auth0 fournit des messages d’erreur indiquant la nature du problème sous-jacent. Les messages par défaut sont quelque peu énigmatiques, en particulier pour l’utilisateur final, qui risque de ne pas avoir le contexte que vous pouvez seul fournir. C’est pourquoi nous vous recommandons de personnaliser vos pages d’erreur afin de fournir directement à vos utilisateurs les informations contextuelles manquantes. De plus, la personnalisation de vos pages d’erreur vous permet d’afficher votre marque, et non celle d’Auth0, et de fournir des informations utiles à vos utilisateurs sur ce qu’il convient de faire ensuite. Ces informations peuvent inclure un lien vers une FAQ ou la manière de contacter l’équipe d’assistance ou le service d’assistance de votre entreprise.

Meilleure pratique Il n’y a pas d’interface utilisateur pour personnaliser les pages d’erreur fournies par Auth0, mais vous pouvez utiliser le [point de terminaison Paramètres du locataire de Management API] (/api/management/v2#!/Tenants/patch_settings) pour les configurer. Autre option : si vous pouvez créer et héberger votre propre page d’erreur, vous pouvez alors demander à Auth0 de diriger les utilisateurs vers cette page au lieu d’utiliser l’option Auth0-hosted (hébergement chez Auth0) :::

Désactivation des fonctions héritées

Si vous avez un locataire plus ancien, il se peut que divers indicateurs de fonctionnalités héritées soient activés dans l’onglet avancé de vos paramètres du locataire. Si l’un de ces drapeaux est activé dans la section « Migrations » de cet onglet, vous devriez revoir votre utilisation et planifier la migration de la fonctionnalité héritée.

Extension de l’administrateur délégué

Lorsque vous vérifiez la liste des utilisateurs ayant accès à votre locataire de production, n’oubliez pas de vérifier les utilisateurs spécifiés dans la Extension d’administration déléguée.

Configuration de l’attribution de noms de domaines personnalisés

Par défaut, l’URL associée à votre locataire comprendra son nom et éventuellement un identifiant spécifique à la région. Par exemple, les locataires basés aux États-Unis ont une URL similaire à https://example.auth0.com tandis que ceux basés en Europe ont une URL ressemblant à https://example.eu.auth0.com. Un domaine personnalisé permet d’offrir à vos utilisateurs une expérience cohérente en utilisant un nom correspondant à la marque de votre organisation.
Un seul nom de domaine personnalisé peut être appliqué par locataire Auth0. Si vous devez absolument avoir une image de marque avec un nom de domaine indépendant, vous aurez besoin d’une architecture où plusieurs locataires Auth0 sont déployés en production.
En outre, la fonctionnalité de domaine personnalisé vous offre un contrôle total sur le processus de gestion des certificats. Par défaut, Auth0 fournit des certificats SSL standard, mais si vous configurez un domaine personnalisé, vous pouvez utiliser des certificats SSL Extended Validation (EV) ou similaires pour fournir les indices visuels, basés sur le navigateur, qui offrent à vos visiteurs une tranquillité d’esprit supplémentaire. En général, nous constatons que les clients ont plus de succès lorsqu’ils utilisent un domaine centralisé pour l’authentification - c’est particulièrement le cas si l’entreprise offre plusieurs produits ou marques de service. En utilisant un domaine centralisé, vous pouvez fournir aux utilisateurs finaux une expérience utilisateur cohérente tout en minimisant la nécessité de maintenir plusieurs locataires de production dans Auth0.

Vérification des paramètres d’application et de connexion

Chacun de vos paramètres de connexion doit être examiné au regard des meilleures pratiques en matière de configuration de connexion. En outre, vous devez vérifier que toutes les connexions sont pertinentes et qu’aucune connexion expérimentale n’est laissée dans votre locataire de production, car elle pourrait permettre un accès non autorisé. Si vous utilisez des connexions , la meilleure pratique consiste à configurer les connexions pour qu’elles signent les requêtes SAML.

Vérification de la personnalisation des pages

Si vous utilisez la page de connexion universelle Auth0, la page de réinitialisation du mot de passe ou l’authentification multifacteur () Guardian, vous devez vérifier que vous avez suffisamment personnalisé les pages affichées à l’utilisateur final.

Page de connexion universelle

La connexion universelle est la méthode recommandée pour authentifier les utilisateurs, et elle est centrée sur l’utilisation de la page de connexion. Vous pouvez personnaliser la page de connexion pour qu’elle corresponde aux exigences de votre organisation en matière d’image de marque.

Meilleure pratique

Pour personnaliser les pages de connexion universelle, vous pouvez modifier vos Thèmes de page ainsi que créer des pages dynamiques Modèles de pages. Si vous choisissez d’implémenter la Connexion Classique et de personnaliser le script de la page de connexion, nous vous conseillons vivement d’utiliser le contrôle de version. Pour cela, vous devez déployer le script sur votre locataire Auth0 via l’automatisation du déploiement ou via l’une des stratégies alternatives.

Page de réinitialisation du mot de passe

La page Réinitialisation du mot de passe est utilisée chaque fois qu’un utilisateur profite de la fonctionnalité de changement de mot de passe et, comme pour la page de connexion, vous pouvez la personnaliser pour refléter les exigences particulières de votre organisation en matière d’image de marque.

Guardian

Les pages d’authentification multifacteur (MFA) peuvent être personnalisées en ajustant les options de marque de la connexion universelle dans la section Paramètres de la connexion universelle. Si vous avez besoin d’une personnalisation plus poussée, vous pouvez également personnaliser le contenu HTML complet pour refléter les exigences particulières de votre organisation en matière d’interface utilisateur.

Vérification de l’autorisation

Si vous utilisez la fonction d’autorisation d’Auth0, veillez à bien vérifier tous les privilèges accordés afin de vous assurer que les autorisations sont adaptées à votre environnement de production.

Vérification de la configuration de l’API

Expiration du jeton d’accès

Vous devez vérifier les paramètres d’expiration des jetons d’accès à l’API pour vous assurer qu’ils sont pertinents pour chaque API dans votre environnement de production.

Accès hors ligne à l’API

Si votre application ne demande pas de jetons d’actualisation, cette option doit être désactivée.

Algorithme de signature des jetons d’accès

Il est recommandé que le API access token signing algorithm (algorithme de signature du jeton d’accès à l’API) soit défini sur RS256 plutôt que sur HS256 afin de minimiser l’exposition de la clé de connexion.

Validation du jeton d’accès à l’API

Si vous avez des API personnalisées, assurez-vous qu’elles valident correctement les jetons d’accès qu’elles reçoivent avant d’utiliser les informations qu’elles contiennent.

Permissions des API

Si vous avez des applications qui font des communications entre machines à l’une de vos API, vous devriez examiner les permissions spécifiées pour l’API afin de vous assurer qu’elles sont toutes appropriées pour votre environnement de production. Pour plus d’informations, consultez la documentation sur octroi d’identifiants client.

Vérification des règles et des appels

Vous devez également avoir aligné vos règles sur les meilleures pratiques en matière de règles d’Auth0.

Personnalisation des modèles de courriel

Auth0 utilise largement le courriel pour fournir des notifications aux utilisateurs et pour piloter les fonctionnalités nécessaires à la gestion sécurisée des identités (par exemple, la vérification du courriel, la récupération du compte, et les protections contre les attaques par force brute), et Auth0 propose un certain nombre de modèles pour ces courriels.
Avant de personnaliser vos modèles de courriels, veuillez configurer votre Fournisseur de messagerie électronique.
Par défaut, les modèles de courriel utilisés contiennent un texte standard et la marque Auth0. Cependant, vous pouvez configurer presque tous les aspects de ces modèles pour refléter le texte et l’expérience utilisateur que vous souhaitez, et apporter des modifications concernant la langue préférée, les options d’accessibilité, et bien plus encore. Les modèles de courriel sont personnalisés à l’aide de la syntaxe Liquid. Si vous souhaitez personnaliser vos modèles en fonction des préférences de l’utilisateur, vous aurez également accès aux métadonnées situées dans les profils des utilisateurs, ainsi qu’à toutes les métadonnées spécifiques à l’application.

Configuration de la protection contre les attaques

La raison pour laquelle les systèmes d’authentification sont importants est qu’ils empêchent les acteurs menaçants d’accéder à des applications et données utilisateur auxquelles l’accès est restreint. Nous voulons placer autant de barrières que possible entre ces acteurs menaçants et l’accès à nos systèmes. L’un des moyens les plus simples d’y parvenir est de vérifier que votre protection contre les attaques avec Auth0 est correctement configurée. Prenez donc le temps de consulter les recommandations à ce sujet et de vous assurer que tout est bien en place.

Meilleure pratique

La détection d’anomalies est gérée en coulisses par Auth0 et constitue une excellente fonction de sécurité pour votre produit. Si vous comptez l’utiliser, assurez-vous d’avoir configuré votre Fournisseur de courriel et vos Modèles de courriel avant d’activer l’envoi de courriels à vos utilisateurs.

Guide de planification de projet

Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées. B2B IAM Project Planning Guide