Accéder au stockage d’identités hérité au moyen d’une API personnalisée
Nous vous recommandons d’implémenter une API afin d’accorder le niveau de privilège minimal à votre stockage d’identités hérité, plutôt que de simplement ouvrir un accès général par Internet.La protection du stockage d’identités hérité contre un accès général constitue une pratique exemplaire recommandée. Par exemple, exposer directement une base de données (d’identités héritée) à Internet peut être extrêmement problématique : les interfaces de base de données pour SQL et autres technologies du même genre offrent un très large éventail de fonctionnalités, ce qui va à l’encontre du principe du moindre privilège en matière de sécurité.L’autre possibilité consiste à créer une API (personnalisée) simple — protégée par l’utilisation d’un — que chaque script d’action peut appeler. Cette API servirait alors d’interface vers le magasin d’identités hérité. Le flux d’octroi des informations d’identification du client peut ensuite être utilisé pour obtenir un jeton d’accès à partir d’un script, puis ce jeton peut être mis en cache pour être réutilisé dans l’objet global afin d’améliorer les performances. L’API peut alors fournir un nombre limité de points de terminaison protégés qui n’exécutent que les fonctionnalités requises de gestion (des identités) héritée (p. ex., lire un utilisateur, changer le mot de passe).Par défaut, Auth0 vous fournira un jeton pour n’importe quelle API si vous vous authentifiez avec succès et incluez l’ appropriée. Restreindre l’accès à l’API du magasin d’identités hérité en limitant la délivrance des jetons d’accès au moyen d’une Rule empêchera les utilisations non autorisées et atténuera plusieurs scénarios de vecteurs d’attaque, notamment lorsqu’une redirection vers /authorize est interceptée et que l’audience de l’API est ajoutée.
Restreindre l’accès à l’API au moyen d’une Rule atténuera les scénarios de vecteurs d’attaque, par exemple lorsqu’une redirection vers /authorize est interceptée et que l’audience de l’API est ajoutée, et garantira que seul l’accès au moyen d’informations d’identification client précises est accordé.
Que vous gériez l’accès au stockage d’identités hérité au moyen d’une API personnalisée ou de l’interface native fournie, vous devriez le limiter aux adresses IP associées à votre locataire Auth0. Pour consulter la liste des adresses IP, voir Adresses IP d’Auth0 pour les AllowLists. L’ajout d’URL à l’AllowList limite l’accès au magasin d’identités hérité et garantit que seuls les scripts d’action de base de données personnalisée définis dans Auth0 sont autorisés.
L’AllowList d’adresses IP d’Auth0 est partagée par tous les locataires Auth0 d’une même région. N’utilisez jamais la liste d’autorisation comme seule méthode pour sécuriser l’accès à votre magasin d’identités hérité; cela pourrait créer des vulnérabilités de sécurité et permettre un accès non autorisé à vos utilisateurs.
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme