Passer au contenu principal
Cette section couvre une liste de configurations à vérifier dans votre locataire. Ces vérifications doivent être effectuées périodiquement au cours du développement et suffisamment avant le lancement pour avoir le temps de corriger tout problème éventuel.

Vérification générale du locataire

Vérification de la préparation du locataire

Vérifiez que vous avez mis en place des environnements de locataire pour soutenir votre cycle de vie SDLC et que les locataires Dev, Test et Prod sont proprement séparés afin que le travail de développement en cours après le lancement n’ait pas d’impact négatif sur votre environnement de production. Chaque entreprise dispose d’une forme de cycle de vie du développement logiciel (SDLC) et, tout au long du processus de développement, il est important de s’aligner sur cette stratégie. Par exemple, vous devez être en mesure de tester votre intégration avec Auth0 de la même manière que vous testez les applications elles-mêmes. Il est donc important de structurer les locataires Auth0 pour soutenir le cycle de vie du développement logiciel, et notre clientèle suit généralement un modèle cohérent de meilleures pratiques associées à la configuration des locataires :
EnvironnementExemple de nom de locataireDescription
Développementcompany-devUn environnement partagé où se déroule la majeure partie de votre travail de développement
QA/Testcompany-qa ou company-uatUn environnement pour tester formellement les modifications que vous avez apportées
Productioncompany-prodLe locataire de production
Dans certains cas, vous pouvez également vouloir créer un ou plusieurs bacs à sable (« sandbox ») (p. ex., company-sandbox1, company-sandbox2) afin de pouvoir tester les changements sans compromettre votre environnement de développement. Il peut s’agir de l’emplacement où vous testez les scripts de déploiement, etc.

Meilleure pratique

Vous pouvez également tirer parti de nos Listes de contrôle de mise en œuvre que vous pouvez télécharger et personnaliser pour répondre aux besoins de votre projet de mise en œuvre.

Vérification de l’association des locataires

Pour vous assurer que vos locataires sont tous associés à votre accord contractuel Auth0 et qu’ils disposent des mêmes fonctionnalités, vérifiez que tous vos locataires sont associés à votre compte d’entreprise. Si vos développeurs souhaitent créer leurs propres bacs à sable (sandbox) à des fins de test, assurez-vous qu’ils sont associés à votre compte afin qu’ils disposent également des mêmes autorisations. Pour cela, vous devez communiquer avec votre représentant Auth0 ou le Centre d’assistance Auth0.

Préciser le locataire de production

Pour qu’Auth0 reconnaisse votre locataire de production, veillez à définir votre locataire de production avec le drapeau « production » dans le centre d’assistance.

Vérification du locataire de production

Auth0 propose une fonction de vérification de production pour détecter de nombreuses erreurs courantes. Vous devez vous assurer qu’il a été exécuté et que toutes les conclusions du rapport ont été résolues avant le lancement. En outre, vous devez vérifier les conseils sur les meilleures pratiques en matière de configuration, pour lesquels la vérification ne peut pas être automatisée.

Vérification des paramètres du locataire

Paramètres du locataire

Veillez à suivre les recommandations Auth0 concernant les paramètres du locataire dans la configuration de votre image de marque ainsi que de votre courriel de support et de votre URL de support afin que les utilisateurs sachent comment obtenir de l’aide en cas de problème. Vérifiez également vos paramètres de délai de session et la liste des administrateurs du Dashboard ayant accès à votre locataire de production.

Personnalisation de la page d’erreur

En cas de problème au cours du flux de production interactif de l’utilisateur (par ex. inscription ou connexion de l’utilisateur), Auth0 affiche des messages d’erreur qui indiquent la nature du problème. Les messages par défaut sont quelque peu énigmatiques, en particulier pour l’utilisateur final, car le contexte que vous êtes le seul à pouvoir fournir est probablement absent. Nous vous recommandons donc de personnaliser vos pages d’erreur afin de fournir directement à vos utilisateurs les informations contextuelles manquantes. En outre, la personnalisation de vos pages d’erreur vous permet d’exploiter votre image de marque, et non celle d’Auth0, et de fournir des informations utiles à vos utilisateurs sur ce qu’il convient de faire ensuite. Ces informations peuvent inclure un lien vers une FAQ ou la manière de contacter l’équipe d’assistance ou le service d’assistance de votre entreprise.

Meilleure pratique Il n’y a pas d’interface utilisateur pour personnaliser les pages d’erreur fournies par Auth0, mais vous pouvez utiliser le [point de terminaison Paramètres du locataire de Management API] (/api/management/v2#!/Tenants/patch_settings) pour les configurer. Autre option : si vous pouvez créer et héberger votre propre page d’erreur, vous pouvez alors demander à Auth0 de diriger les utilisateurs vers cette page au lieu d’utiliser l’option Auth0-hosted (hébergement chez Auth0) :::

Désactivation des fonctions héritées

Si vous avez un locataire plus ancien, il se peut que divers indicateurs de fonctionnalités héritées soient activés dans l’onglet avancé de vos paramètres du locataire. Si l’un de ces drapeaux est activé dans la section « Migrations » de cet onglet, vous devriez revoir votre utilisation et planifier la migration de la fonctionnalité héritée.

Extension de l’administrateur délégué

Lorsque vous vérifiez la liste des utilisateurs ayant accès à votre locataire de production, n’oubliez pas de vérifier les utilisateurs spécifiés dans l’extension de l’administrateur délégué..

Configuration de l’attribution de noms de domaines personnalisés

Par défaut, l’URL associée à votre locataire comprendra son nom et éventuellement un identifiant spécifique à la région. Par exemple, les locataires basés aux États-Unis ont une URL similaire à https://example.auth0.com tandis que ceux basés en Europe ont une URL de type https://example.eu.auth0.com. Un domaine personnalisé permet d’offrir à vos utilisateurs une expérience cohérente en utilisant un nom qui correspond à la marque de votre organisation.
Un seul nom de domaine personnalisé peut être appliqué par locataire Auth0. Si vous devez absolument avoir une image de marque avec un nom de domaine indépendant, vous aurez besoin d’une architecture où plusieurs locataires Auth0 sont déployés en production.
En outre, les domaines personnalisés vous offrent un contrôle total sur le processus de gestion des certificats. Par défaut, Auth0 fournit des certificats SSL standardisés, mais si vous configurez un domaine personnalisé, vous pouvez utiliser des certificats de validation étendue (EV) SSL ou similaires pour fournir des indices visuels, basés sur le navigateur, qui offrent à vos visiteurs une tranquillité d’esprit supplémentaire. En général, nous constatons que les clients ont le plus de succès lorsqu’ils utilisent un domaine centralisé pour l’authentification; c’est particulièrement le cas si l’entreprise offre plusieurs marques de produits ou de services. En utilisant un domaine centralisé, vous pouvez fournir aux utilisateurs finaux une expérience utilisateur cohérente sans avoir besoin de maintenir plusieurs locataires de production dans Auth0.

Vérification des paramètres d’application et de connexion

Chacun de vos paramètres de connexion doit être examiné au regard des meilleures pratiques en matière de configuration de connexion. En outre, vous devez vérifier que toutes les connexions sont pertinentes et qu’aucune connexion expérimentale n’est laissée dans votre locataire de production, car elle pourrait permettre un accès non autorisé. Si vous utilisez des connexions , la meilleure pratique consiste à configurer les connexions pour qu’elles signent les requêtes SAML.

Vérification de la personnalisation des pages

Si vous utilisez la page de connexion universelle Auth0, la page de réinitialisation du mot de passe ou l’authentification multifacteur () Guardian, vous devez vérifier que vous avez suffisamment personnalisé les pages affichées à l’utilisateur final.

Page de connexion universelle

La connexion universelle est la méthode recommandée pour authentifier les utilisateurs; elle est centrée sur l’utilisation de la page de connexion. Vous pouvez personnaliser la page de connexion pour qu’elle corresponde aux exigences de votre organisation en matière d’image de marque.

Meilleure pratique

Si vous décidez de personnaliser le script de la page de Connexion universelle, nous vous conseillons vivement d’utiliser le contrôle de version. Pour cela, vous devez déployer le script sur votre locataire Auth0 via l’automatisation de déploiement ou via l’une des stratégies alternatives.

Page de réinitialisation du mot de passe

La page Password Reset (Réinitialisation du mot de passe) est utilisée chaque fois qu’un utilisateur profite de la fonctionnalité de changement de mot de passe et, comme pour la page de connexion, vous pouvez la personnaliser pour refléter les exigences particulières de votre organisation en matière d’image de marque.

Guardian

Les pages d’authentification multifacteur (MFA) peuvent être personnalisées en ajustant les options de marque de la connexion universelle dans la section Paramètres de la connexion universelle. Si vous avez besoin d’une personnalisation plus poussée, vous pouvez également personnaliser le contenu HTML complet pour refléter les exigences particulières de votre organisation en matière d’interface utilisateur.

Vérification de l’autorisation

Si vous utilisez la fonction d’autorisation d’Auth0, veillez à bien vérifier tous les privilèges accordés afin de vous assurer que les autorisations sont adaptées à votre environnement de production.

Vérification de la configuration de l’API

Expiration du jeton d’accès

Vous devez vérifier les paramètres d’expiration des jetons d’accès à l’API pour vous assurer qu’ils sont pertinents pour chaque API dans votre environnement de production.

Accès hors ligne à l’API

Si votre application ne demande pas de jetons d’actualisation, cette option doit être désactivée.

Algorithme de signature des jetons d’accès

Il est recommandé que l’algorithme de signature du jeton d’accès à l’API soit défini sur RS256 plutôt que sur HS256 pour ne pas trop exposer la clé de connexion.

Validation du jeton d’accès à l’API

Si vous avez des API personnalisées, assurez-vous qu’elles valident correctement les jetons d’accès qu’elles reçoivent avant d’utiliser les informations qu’elles contiennent.

Permissions des API

Si vous avez des applications qui font des communications entre machines à l’une de vos API, vous devriez examiner les permissions spécifiées pour l’API afin de vous assurer qu’elles sont toutes appropriées pour votre environnement de production. Pour plus d’informations, consultez la documentation sur l’octroi d’identifiants client.

Vérification des règles et des hooks

Vous devez également avoir aligné vos règles sur les meilleures pratiques en matière de règles Auth0.

Personnalisation des modèles de courriel

Auth0 utilise largement le courriel pour fournir des notifications aux utilisateurs et pour piloter les fonctionnalités nécessaires à la gestion sécurisée des identités (par exemple, la vérification du courriel, la récupération du compte, et les protections contre les attaques par force brute), et Auth0 propose un certain nombre de modèles pour ces courriels.
Avant de personnaliser vos modèles de courriels, veuillez configurer votre Fournisseur de messagerie électronique.
Par défaut, les modèles de courriel utilisés contiennent un verbiage standardisé et l’image de marque d’Auth0. Cependant, vous pouvez configurer presque tous les aspects de ces modèles pour refléter le verbiage et l’expérience utilisateur que vous souhaitez et apporter des modifications à des éléments tels que la langue préférée, les options d’accessibilité, etc. Les modèles de courriel sont personnalisés à l’aide de Liquid syntax. Si vous souhaitez personnaliser vos modèles en fonction des préférences de l’utilisateur, vous aurez également accès aux métadonnées situées dans les profils des utilisateurs, ainsi qu’à toutes les métadonnées spécifiques à l’application.

Configuration de la protection contre les attaques

Les systèmes d’authentification sont importants, car ils empêchent les acteurs menaçants d’accéder à des applications et données utilisateur auxquelles l’accès est restreint. Le but est de placer autant de barrières que possible entre ces acteurs malveillants et l’accès à nos systèmes. L’un des moyens les plus simples d’y parvenir est de vérifier que votre protection contre les attaques avec Auth0 est correctement configurée. Prenez donc le temps de consulter les recommandations à ce sujet et de vous assurer que tout est bien en place.

Meilleure pratique

La détection d’anomalies est gérée en coulisses par Auth0 et constitue une excellente fonction de sécurité pour votre produit. Si vous comptez l’utiliser, assurez-vous d’avoir configuré votre Fournisseur de courriel et configuré vos Modèles de courriel avant d’activer l’envoi de courriels à vos utilisateurs.

Guide de planification de projet

Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées. B2C IAM Project Planning Guide