Saltar al contenido principal
Esta sección incluye una lista de configuraciones que deben revisarse en su Tenant. Esto debe hacerse periódicamente durante el desarrollo y con suficiente antelación al lanzamiento para que tenga tiempo de corregir cualquier problema.

Verificación general del Tenant

Verificación de preparación del Tenant

Verifique que haya configurado entornos de Tenant que respalden el ciclo de vida de su SDLC y que los Tenants de desarrollo, pruebas y producción estén claramente separados, de modo que el trabajo de desarrollo posterior al lanzamiento no afecte negativamente a su entorno de producción. Todas las empresas tienen alguna forma de ciclo de vida de desarrollo de software (SDLC) y, a lo largo del proceso de desarrollo, le convendrá alinearse con esa estrategia. Por ejemplo, necesita poder probar su integration con Auth0 de forma similar a como prueba las propias aplicaciones. Por lo tanto, es importante estructurar los Tenants de Auth0 para respaldar su SDLC, y existe un patrón uniforme que nuestros clientes suelen seguir en cuanto a las prácticas recomendadas asociadas con la organización de los Tenants para hacerlo:
EntornoNombre de Tenant de ejemploDescripción
Desarrollocompany-devUn entorno compartido donde se realiza la mayor parte del trabajo de desarrollo
QA/Pruebascompany-qa o company-uatUn entorno para realizar pruebas formales de los cambios que ha realizado
Produccióncompany-prodEl Tenant de producción
En algunos casos, también puede que quiera crear uno o varios sandboxes (por ejemplo, company-sandbox1company-sandbox2) para poder probar cambios sin comprometer su entorno de desarrollo. Aquí es donde podría probar scripts de implementación y similares.

Práctica recomendada

También puede aprovechar nuestras listas de verificación de implementación, que puede descargar y personalizar para adaptarlas a las necesidades de su proyecto de implementación.

Comprobación de asociación de Tenants

Para asegurarse de que sus Tenants estén todos asociados a su contrato de Auth0 y tengan las mismas características, asegúrese de que todos sus Tenants estén asociados a la cuenta de su empresa. Si tiene desarrolladores individuales que quieran crear sus propios sandboxes para realizar pruebas, asegúrese de que queden asociados a su cuenta para que también tengan los mismos permisos. Para ello, debe ponerse en contacto con su representante de Auth0 o con el Auth0 Support Center.

Especifique el Tenant de producción

Para que Auth0 reconozca su Tenant de producción, asegúrese de configurar su Tenant de producción con el indicador «production» en el Support Center.

Comprobación de producción del Tenant

Auth0 proporciona la funcionalidad Production Check para detectar muchos errores comunes. Debe asegurarse de haberla ejecutado y de haber mitigado cualquier hallazgo del informe antes de la puesta en marcha. Además, debe revisar las recomendaciones de configuración según prácticas recomendadas, cuya comprobación no puede automatizarse.

Comprobación de la configuración del Tenant

Configuración del Tenant

Asegúrese de seguir las recomendaciones de Auth0 sobre configuración del Tenant al configurar su marca, así como su correo electrónico de soporte y la URL de soporte, para que los usuarios sepan cómo obtener ayuda si se produce algún problema. También le conviene revisar la configuración del tiempo de espera de la sesión de y la lista de administradores del Dashboard con acceso a su Tenant de producción.

Personalización de la página de error

Si se produce algún problema durante el flujo interactivo del usuario (por ejemplo, durante el registro o el inicio de sesión), Auth0 muestra mensajes de error que indican cuál es el problema real. Los mensajes predeterminados son algo crípticos, especialmente para el usuario final, ya que probablemente no incluyan el contexto que solo usted puede aportar. Por ello, recomendamos personalizar sus páginas de error para ofrecer directamente a sus usuarios la información contextual que falta. Además, personalizar sus páginas de error le permite mostrar su marca, y no la de Auth0, así como ofrecer a sus usuarios información útil sobre qué deben hacer a continuación. Esta información puede incluir un enlace a preguntas frecuentes o indicaciones sobre cómo ponerse en contacto con el equipo de soporte o el servicio de asistencia de su empresa.

Práctica recomendada

De forma predeterminada, no hay una interfaz de usuario para personalizar las páginas de error proporcionadas por Auth0, pero puede usar el endpoint Tenant Settings de la Management API para configurarlas. Como alternativa, si puede crear y alojar su propia página de error, puede hacer que Auth0 redirija a los usuarios a esa página en lugar de usar la opción alojada por Auth0.

Indicadores de funciones heredadas desactivados

Si tiene un inquilino antiguo, puede tener habilitados varios indicadores de funciones heredadas en la pestaña Advanced de Tenant Settings. Si tiene alguna opción activada en la sección “Migrations” de esta pestaña, debe revisar su uso y planificar la migración para dejar de usar la función heredada.

Extensión de administración delegada

Mientras revisa la lista de usuarios con acceso a su inquilino de producción, no olvide revisar también los usuarios especificados en la Extensión de administración delegada.

Configuración del nombre de dominio personalizado

De forma predeterminada, la URL asociada a su Tenant incluirá su nombre y, posiblemente, un identificador específico de la región. Por ejemplo, los Tenants ubicados en EE. UU. tienen una URL similar a https://example.auth0.com, mientras que los ubicados en Europa tienen una con un formato como https://example.eu.auth0.com. Un dominio personalizado le permite ofrecer a sus usuarios una experiencia coherente mediante el uso de un nombre alineado con la marca de su organización.
Solo se puede aplicar un nombre de dominio personalizado por Tenant de Auth0, por lo que, si realmente necesita una marca independiente para cada nombre de dominio, requerirá una arquitectura en la que se desplieguen en producción varios Tenants de Auth0.
Además, la funcionalidad de le ofrece control total sobre el proceso de gestión de certificados. De forma predeterminada, Auth0 proporciona certificados SSL estándar, pero si configura un dominio personalizado, puede usar certificados SSL de Validación Extendida (EV) o similares para ofrecer las señales visuales del navegador que brindan a sus visitantes una mayor tranquilidad. En general, observamos que los clientes obtienen mejores resultados cuando usan un dominio centralizado para la autenticación; esto es especialmente cierto si la empresa ofrece varios productos o marcas de servicio. Al usar un dominio centralizado, puede ofrecer a los usuarios finales una experiencia coherente y, al mismo tiempo, minimizar la necesidad de mantener varios Tenants de producción en Auth0.

Comprobación de la configuración de la aplicación y de las conexiones

Debe revisar cada una de las configuraciones de sus conexiones comparándolas con las prácticas recomendadas para la configuración de conexiones. Además, debe comprobar que todas las conexiones sean adecuadas y que no queden conexiones experimentales en su Tenant de producción, ya que podrían permitir acceso no autorizado. Si utiliza conexiones , una práctica recomendada es configurar las conexiones para que firmen las solicitudes SAML.

Verificación de la personalización de la página

Si usa la página de Auth0 , la página de Restablecimiento de contraseña o la de Guardian, debe comprobar que las páginas que se muestran al usuario final estén personalizadas adecuadamente.

Página de Universal Login

Universal Login es el método recomendado para autenticar a los usuarios y se centra en el uso de la página Login. Puede personalizar la página Login para adaptarla a los requisitos de marca de su organización.

Práctica recomendada

Si decide personalizar el script de la página de Universal Login, le recomendamos encarecidamente que use control de versiones. Para ello, debe implementar el script en su Tenant de Auth0 mediante la automatización de la implementación o mediante una de las estrategias alternativas.

Página de Restablecimiento de contraseña

La página Restablecimiento de contraseña se utiliza cada vez que un usuario usa la funcionalidad de cambio de contraseña y, al igual que la página de Login, puede personalizarla para reflejar los requisitos específicos de marca de su organización.

Guardian

Las páginas de Autenticación multifactor se pueden personalizar ajustando las opciones de marca de Universal Login en la sección Configuración de Universal Login. Si necesita una mayor personalización, también puede personalizar todo el contenido HTML para adaptarlo a los requisitos específicos de experiencia de usuario de su organización.

Comprobación de autorización

Si utiliza la función de autorización de Auth0, asegúrese de revisar detenidamente todos los privilegios otorgados para confirmar que las autorizaciones sean adecuadas para su entorno de producción.

Verificación de la configuración de la API

Expiración del token de acceso

Debe volver a comprobar la configuración de expiración del token de acceso de la API para asegurarse de que sea la adecuada para cada API en su entorno de producción.

Acceso sin conexión a la API

Si su aplicación no solicita , debe estar desactivado.

Algoritmo de firma del token de acceso

Se recomienda configurar el algoritmo de firma del token de acceso de la API como RS256 en lugar de HS256 para minimizar la exposición de la clave de firma.

Validación de tokens de acceso de la API

Si tiene alguna API personalizada, asegúrese de que valide adecuadamente los tokens de acceso que recibe antes de usar la información que contienen.

Alcances de la API

Si tiene aplicaciones que realizan llamadas de máquina a máquina a alguna de sus API, debe revisar los alcances especificados para la API a fin de asegurarse de que todos sean adecuados para su entorno de producción. Para obtener más información, consulte la documentación sobre la concesión de credenciales de cliente.

Plantillas de correo electrónico personalizadas

Auth0 usa ampliamente el correo electrónico tanto para proporcionar notificaciones a los usuarios como para impulsar la funcionalidad necesaria para una gestión segura de identidades (por ejemplo, verificación de correo electrónico, recuperación de cuentas y protecciones contra ataques de fuerza bruta), y ofrece varias plantillas para ello.
Antes de personalizar las plantillas de correo electrónico, configure su proveedor de correo electrónico.
De forma predeterminada, las plantillas de correo electrónico incluyen texto estándar y la marca de Auth0. Sin embargo, puede configurar casi todos los aspectos de estas plantillas para que reflejen la redacción y la experiencia de usuario que desea, y realizar cambios en elementos como el idioma preferido, las opciones de accesibilidad, etc. Las plantillas de correo electrónico se personalizan mediante sintaxis Liquid. Si le interesa personalizar sus plantillas en función de las preferencias del usuario, también tendrá acceso a los metadatos presentes en los perfiles de los usuarios, así como a cualquier metadato específico de la aplicación.

Configuración de la protección contra ataques

Los sistemas de autenticación son importantes porque evitan que los accedan a aplicaciones y datos de usuario a los que no deberían poder acceder. Queremos poner tantas barreras como sea posible entre esos actores maliciosos y el acceso a nuestros sistemas. Una de las formas más sencillas de hacerlo es asegurarse de que su protección contra ataques con Auth0 esté configurada correctamente. Dedique un momento a leer la guía sobre este tema y compruebe que todo funcione correctamente en su caso.

Práctica recomendada

Auth0 gestiona la detección de anomalías entre bastidores, y esta ofrece una excelente función de seguridad para su producto. Si va a utilizarla, asegúrese de haber configurado su Proveedor de correo electrónico y sus Plantillas de correo electrónico antes de activar la entrega de correos electrónicos a sus usuarios.

Guía de planificación del proyecto

Ofrecemos una guía de planificación en formato PDF que puede descargar y consultar para obtener más información sobre nuestras estrategias recomendadas. Guía de planificación del proyecto de IAM B2C