Cómo operacionalizar los entornos de su inquilino de Auth0.
La operacionalización requiere configurar o preparar la infraestructura necesaria para respaldar un funcionamiento escalable, medible y cuantificable que garantice la continuidad del negocio. En Auth0, esto incluye configurar servicios de soporte (como proveedores de correo electrónico), supervisar los servicios de su implementación, detectar situaciones anómalas y prepararse para recuperarse de forma rápida y ordenada cuando algo sale mal en un entorno de producción.Establecer prácticas operativas eficaces es algo que los clientes exitosos han comprobado que da resultados, y hay varios aspectos que querrá tener en cuenta al evaluar su flujo de trabajo:
¿Qué debe hacer para detectar fallas de forma proactiva?
¿Cómo puede obtener datos sobre el estado operativo de Auth0?
¿Qué debe hacer con los boletines de seguridad de Auth0 relacionados con el servicio de Auth0?
¿Auth0 proporciona información sobre cambios inminentes en el servicio de Auth0?
¿Cómo puede comprobar si hay avisos importantes de Auth0?
¿Qué debe hacer con los datos de registro de Auth0 para poder analizarlos y conservarlos durante más tiempo que el período limitado de retención de datos de Auth0?
¿Cómo puede analizar los registros de Auth0 para determinar si las cargas máximas en su aplicación activan límites de tasa u otros errores?
¿Qué servicios de correo electrónico debe usar para respaldar volúmenes de producción de mensajes de correo electrónico a los usuarios? ¿Puedo usar el proveedor de correo electrónico predeterminado de Auth0 en mi entorno de producción?
¿Necesita configurar su firewall y qué puertos tendrá que abrir para los servicios internos que deban recibir comunicaciones de Auth0 (como bases de datos personalizadas, servicios web y servidores de correo electrónico)?
¿Cómo aprovisionará nuevas organizaciones?
¿Necesita proporcionar aprovisionamiento de autoservicio para su cliente para que pueda configurar sus propios organizacionales?
Auth0 ofrece funcionalidades para supervisar el funcionamiento del servicio de Auth0, así como para proporcionar información sobre el estado del servicio de Auth0. Además, Auth0 pone a disposición boletines relacionados con la seguridad, así como información sobre próximos cambios en el servicio de Auth0, mediante varias notificaciones. Los servicios de registro de Auth0 también ofrecen amplias capacidades para rastrear e identificar anomalías operativas, incluidas las restricciones derivadas de la limitación de tasa y/o de una carga excesiva.De forma predeterminada, Auth0 proporciona servicios de entrega de correo electrónico para ayudarle a acelerar su integración. Sin embargo, estos servicios no están pensados para un uso a gran escala en entornos de producción y no ofrecen ningún nivel de servicio específico ni garantía en lo que respecta a la entrega de correo electrónico. Nuestra recomendación de mejores prácticas, que los clientes suelen seguir, consiste en configurar su propio proveedor de servicios de correo electrónico.También es posible que necesite realizar cambios en la configuración de la infraestructura para respaldar la integración con Auth0 y el uso de la extensibilidad de Auth0. Por ejemplo, si necesita proporcionar devoluciones de llamada a su infraestructura interna o incluso externa (p. ej., si necesita realizar llamadas a API externas en Actions, Rules o Hooks, o mediante scripts de bases de datos personalizadas si necesita aprovechar el almacenamiento de identidades heredado existente), es posible que deba configurar los ajustes de su firewall.Una vez que sepa cómo quiere que las organizaciones estén representadas en su sistema, también querrá considerar cómo va a aprovisionar la propia organización. Consulte Aprovisionamiento de organizaciones para obtener más información.Además, muchos de nuestros clientes han desarrollado uno o más portales de autoservicio para que los administradores de las organizaciones de sus clientes puedan configurar sus propios IdPs.
El panel de estado de Auth0, junto con el panel de disponibilidad de Auth0, muestra el estado actual e histórico del servicio de Auth0 en un formato fácil de entender. Si se activa alguna alerta de monitorización, como primer paso para solucionar problemas, el personal de operaciones debe consultar el panel de estado para comprobar si hay alguna interrupción en curso. La página pública de estado de la nube también permite suscribirse a notificaciones de interrupciones, y además recomendamos comprobar el estado de cualquier servicio externo de terceros del que dependa, como los proveedores sociales. Tener esta información a mano puede ayudar a descartar rápidamente posibles causas al investigar un problema y debería figurar al principio de una lista de comprobación para la resolución de problemas, tanto para desarrolladores como para el personal de la mesa de ayuda.
La información sobre cómo comprobar el estado de Auth0, así como el de cualquier servicio del que dependa (como los proveedores sociales), debería figurar al principio de una lista de comprobación para la resolución de problemas, tanto para desarrolladores como para el personal de la mesa de ayuda. También recomendamos suscribirse en la página de estado de Auth0 para recibir notificaciones sobre cualquier actualización de estado.
En caso de una interrupción del servicio de nube pública, Auth0 realiza un análisis de causa raíz (RCA) y publica los resultados en la página de estado de Auth0. Auth0 lleva a cabo una investigación exhaustiva tras una interrupción —incluida la determinación de la causa raíz, los factores que contribuyeron a ella y cómo evitar que el problema vuelva a producirse— y, por ello, la publicación de un documento de RCA puede tardar algunas semanas.
Auth0 envía correos electrónicos a los usuarios para eventos como el mensaje de bienvenida al registrarse, la verificación del correo electrónico, la notificación de contraseña comprometida y el restablecimiento de contraseña. Puede personalizar las plantillas de correo electrónico para cada tipo de evento, y también es posible realizar una personalización avanzada de la gestión del correo electrónico. Auth0 proporciona un proveedor de correo electrónico de prueba con capacidad limitada para pruebas básicas, pero debe configurar su propio proveedor de correo electrónico para usarlo en producción, y la personalización de las plantillas de correo electrónico no funcionará hasta que haya configurado su propio proveedor.
El proveedor de correo electrónico predeterminado de Auth0 no admite el envío de volúmenes de correo propios de un entorno de producción ni la personalización de las plantillas de correo electrónico. Por lo tanto, debe configurar su propio proveedor de correo electrónico antes de implementar en producción.
Si el código personalizado que se ejecuta en Auth0 (como en una Action, Rule, Hook o scripts de base de datos personalizados) va a llamar a un servicio dentro de su red, o si configura un proveedor SMTP local en Auth0, es posible que deba configurar su firewall para permitir el tráfico entrante desde Auth0. Las direcciones IP que debe permitir a través del firewall son específicas de cada región y se enumeran en las pantallas de configuración de Rules, Hooks, scripts de base de datos personalizados y proveedores de correo electrónico de su .
Auth0 ofrece amplias capacidades para el registro de eventos, así como para el análisis de logs con el fin de identificar anomalías en los eventos (consulta la documentación de logs para obtener más detalles). El período estándar de retención de logs de Auth0 depende del nivel de suscripción: el período más corto es de 2 días y el más largo es de solo 30 días. Aprovechar la compatibilidad de Auth0 con integraciones de servicios de logging externos te permitirá conservar los logs fuera de este límite y también agregarlos en toda tu organización.
Debes usar una de las soluciones de streaming de logs para enviar datos de logs a un servicio externo de análisis de logs. Esto te permitirá conservar los datos durante más tiempo y obtener análisis avanzados de los datos de logs.
Debes revisar el período de retención de los datos de logs para tu nivel de suscripción e implementar una extensión de exportación de datos de logs para enviarlos a un servicio externo de análisis de logs. Puedes usar una de nuestras soluciones de streaming de logs en Auth0 Marketplace.Los equipos de desarrollo pueden usar los archivos de log para solucionar problemas y detectar errores intermitentes que pueden ser difíciles de encontrar mediante pruebas de QA. Es probable que los equipos de seguridad quieran contar con datos de logs en caso de que alguna vez se necesiten datos forenses. Exportar archivos de log a servicios que ofrecen análisis exhaustivos puede ayudarte a identificar patrones, como tendencias de uso y activadores de .
Auth0 proporciona un código de error único para los errores que se notifican cuando se supera el límite de tasa. Debe configurar un análisis automático de los registros para detectar errores de límite de tasa, de modo que pueda abordar de forma proactiva la actividad que alcanza esos límites antes de que cause demasiados problemas a sus usuarios. Auth0 también publica códigos de error para otros tipos de errores, y le resultará útil analizar los registros en busca de errores de autenticación, así como de errores en las llamadas a la de Auth0 (los códigos de error de la Management API se muestran debajo de cada llamada en el Management API Explorer).
Llamar a la Management API para recuperar información del perfil del usuario desde una Rule es una causa habitual de errores de límite de tasa, ya que esas llamadas a la API pueden ejecutarse en cada inicio de sesión, así como durante las comprobaciones periódicas de la sesión.
Debe establecer mecanismos de monitoreo de implementaciones de Auth0, de modo que su equipo de soporte u operaciones reciba oportunamente la información necesaria para gestionar de forma proactiva las interrupciones del servicio. Auth0 proporciona endpoints de monitoreo que pueden incorporarse a su infraestructura de monitoreo. Estos endpoints están diseñados para ofrecer una respuesta adecuada para ser consumida por servicios de monitoreo. Cabe señalar que solo proporcionan datos sobre Auth0. Para un monitoreo integral de extremo a extremo, esencial para verificar que los usuarios puedan iniciar sesión, le recomendamos configurar el monitoreo de transacciones sintéticas. Esto aportará mayor granularidad a su monitoreo y le permitirá detectar interrupciones no relacionadas con Auth0, así como degradaciones del rendimiento, para que pueda responder de forma más proactiva.
Debe configurar el envío de transacciones sintéticas de inicio de sesión para facilitar el monitoreo de extremo a extremo de la autenticación. Puede hacerlo con una aplicación sencilla que use el Resource Owner Password Grant en combinación con un usuario de prueba sin privilegios, y no olvide tampoco las políticas de límite de tasa de Auth0.
Hay varios tipos de notificaciones de Auth0 a los que debe prestar atención, ya que contienen información importante que podría afectar a sus inquilinos y a su proyecto.
Auth0 envía notificaciones de seguridad proactivas y otros anuncios operativos a los administradores del Dashboard. Debe asegurarse de que las personas que deban recibir esos mensajes sean administradores del Dashboard.
De vez en cuando, Auth0 puede enviar un anuncio importante relacionado con su inquilino. Estos anuncios sobre su servicio se enviarán a su Auth0 Dashboard y, según la gravedad del anuncio, también por correo electrónico a los administradores registrados del Auth0 Dashboard. Le recomendamos iniciar sesión periódicamente en el Dashboard y revisar el icono de campana en la parte superior por si hubiera avisos importantes. Además, debe revisar con prontitud los correos electrónicos de Auth0, ya que pueden contener información importante sobre cambios o acciones que deba realizar.
Auth0 realiza periódicamente diversas pruebas de seguridad y, si detecta algún problema, identificará y notificará de forma proactiva a los clientes que deban realizar cambios relacionados con la seguridad. Sin embargo, debido a la naturaleza extensible del producto Auth0, es posible que Auth0 no pueda identificar a todos los clientes afectados, por lo que debe consultar regularmente los boletines de seguridad de Auth0.
Como práctica recomendada, revise periódicamente la página de Boletines de seguridad de Auth0 y tome las medidas recomendadas si se ve afectado por algún boletín de seguridad.
Auth0 proporciona información sobre los cambios en el servicio en el registro de cambios de Auth0. Le recomendamos revisar periódicamente los registros de cambios de Auth0 para mantenerse al tanto de las novedades. Para los equipos de soporte que investigan un problema, puede resultar útil revisar el registro de cambios para determinar si algún cambio reciente podría estar relacionado, especialmente si se trata de cambios importantes. Los equipos de desarrollo también querrán revisar los registros de cambios para identificar nuevas funcionalidades que puedan resultar beneficiosas.
Lo que debe hacer al aprovisionar una organización dependerá de cómo se representen las organizaciones en su sistema. Puede que necesite dedicar algo de tiempo a dar un paso atrás y considerar cómo interactuarán con sus aplicaciones los usuarios de esas organizaciones. Consulte Multiple Organization Architecture para determinar cómo configurar las organizaciones para su sistema de IAM.Al aprovisionar organizaciones, debe tener en cuenta lo siguiente:
Deberá agregar la organización a la configuración de su propia aplicación y/o base de datos
Deberá realizar cambios en su configuración de Auth0. Esto incluirá algunas o todas las acciones siguientes:
Crear un inquilino único
Agregar una conexión de base de datos (si tiene usuarios aislados por organización)
Agregar una conexión empresarial para esta organización
Esto incluirá trabajar con la organización para actualizar su configuración actual o agregar la configuración de su inquilino de Auth0 si no es una organización heredada.
Aprovisionar un administrador para la organización
Un portal de administración de organizaciones es un portal que permite a sus administradores crear, modificar y eliminar organizaciones. Hay varias tareas que deben realizarse tanto en su propio sistema como en su inquilino de Auth0. Lo más probable es que este portal deba existir en su propio sistema para que tenga acceso a sus almacenes de datos y a su configuración. Sin embargo, Auth0 proporciona la Auth0 Management API para que pueda incorporar cambios en su inquilino de Auth0 al mismo tiempo que aplica esos cambios en su propio sistema.Hay dos enfoques principales para crear una nueva organización. La opción que elija depende en gran medida de cuánto tiempo esté dispuesto a esperar para implementar una nueva organización.
Actualizaciones en tiempo real de su inquilino de Auth0: Si desea poder crear nuevas organizaciones en tiempo real, probablemente le convenga realizar los cambios directamente en su inquilino de Auth0 mediante la Auth0 Management API. Esto permite que los cambios se apliquen en tiempo real y que la incorporación de una nueva organización surta efecto de inmediato.
Las actualizaciones en tiempo real sí implican algunas consideraciones. Hay ciertas operaciones que deben realizarse en serie para evitar problemas. Habilitar clientes en una conexión y agregar URL de callback a una aplicación son dos ejemplos. Cualquier operación en la Management API en la que deba recuperar una lista completa y volver a enviar la lista completa con un nuevo valor agregado debe realizarse en serie para evitar que dos operaciones paralelas sobrescriban uno de los valores.
Cambiar el repositorio y volver a implementar: Si está aprovechando Deploy CLI (o una CLI personalizada) como parte de su pipeline de CI/CD, puede que prefiera enviar los cambios directamente a su repositorio y luego iniciar una nueva implementación. Esto puede tardar un poco más, pero ofrece ventajas relacionadas con el historial de versiones y la posibilidad de revertir un cambio volviendo a implementar la versión anterior.
Puede que le convenga tener un repositorio independiente solo para los elementos que necesitan las organizaciones, de modo que no tenga que volver a implementar otros componentes comunes ni correr el riesgo de cometer un error.
Aunque las conexiones de Auth0 facilitan la configuración de IdP, incorporar los IdP de las organizaciones de sus clientes puede llevar mucho tiempo, especialmente si incorpora nuevas organizaciones de clientes con regularidad o si las organizaciones existentes tienen requisitos de IdP cambiantes. Como resultado, muchos de nuestros clientes han visto valor en crear un portal de autoservicio para los administradores de las organizaciones de sus clientes, de modo que puedan configurar sus propios IdP. Esto reduce la carga de trabajo de su departamento de TI. La Auth0 Management API proporciona toda la funcionalidad de gestión de conexiones necesaria para lograrlo.
Ofrecemos una guía de planificación en formato PDF que puede descargar y consultar para obtener más información sobre nuestras estrategias recomendadas.Guía de planificación del proyecto de B2B IAM
Arquitectura de múltiples organizaciones (multitenencia)
Muchas plataformas B2B implementan algún tipo de aislamiento y/o personalización de marca para las organizaciones de sus clientes, y esto puede añadir complejidad a cualquier sistema de gestión de identidades y accesos (IAM). Si es su caso, le recomendamos dedicar algo de tiempo a leer nuestra guía y nuestras recomendaciones de buenas prácticas para este tipo de entorno.Arquitectura de múltiples organizaciones
Autenticar
Administrar usuarios
Personalizar
Auth0 AI
Plataforma