Passer au contenu principal
La mise en œuvre efficace de plusieurs domaines personnalisés (MCD) exige une planification rigoureuse et le respect des bonnes pratiques. En suivant ces recommandations, vous pouvez assurer l’évolutivité, maintenir un niveau de sécurité élevé et offrir une expérience de marque cohérente sur l’ensemble de vos domaines personnalisés. Ce guide présente les bonnes pratiques en matière de planification, de sécurité, de performance, d’exploitation et d’expérience utilisateur lors de l’utilisation de plusieurs domaines personnalisés.

Vérifiez la propriété des domaines

Assurez-vous d’être prêt à vérifier la propriété de vos domaines personnalisés en temps opportun. Laisser des domaines non vérifiés trop longtemps peut encombrer votre environnement et compliquer leur gestion.

Planification et architecture

Choisissez une stratégie de domaine

Avant de mettre en œuvre le MCD, choisissez votre stratégie de domaine :
  • Par marque : domaines personnalisés distincts pour chaque marque (p. ex., login.brand1.com, login.brand2.com)
  • Par région : domaines régionaux pour des raisons de conformité ou de performance (p. ex., login.us.example.com, login.eu.example.com)
  • Par client : domaines dédiés pour les clients d’entreprise (p. ex., login.customer1.com, login.customer2.com)
  • Hybride : combinaison de stratégies (p. ex., marque + région : login-us.brand1.com)

Configurer un domaine par défaut

Configurez toujours un domaine personnalisé par défaut pour :
  • Simplifier la configuration des applications qui n’ont pas besoin d’un comportement spécifique au domaine
  • Prévoir une solution de secours pour les notifications par courriel
  • Réduire la nécessité de préciser explicitement le domaine dans les appels d’API
Bonne pratique : utilisez un domaine générique ou administratif comme domaine par défaut (par ex., login.company.com ou admin.company.com) plutôt qu’un domaine associé à une marque précise.

Prévoir l’évolutivité

Tenez compte de la croissance future lors de la conception de votre architecture MCD :
  • Documentez les affectations de domaines : Tenez une documentation claire indiquant quelles applications utilisent quels domaines
  • Réservez des schémas de domaine : Enregistrez les domaines dont vous pourriez avoir besoin à l’avenir
  • Surveillez les limites : Suivez votre nombre de domaines par rapport aux limites autorisées
  • Planifiez l’expansion : Concevez votre architecture pour prendre en charge des domaines supplémentaires

Utilisez les métadonnées pour mieux vous organiser

Tirez parti des champs de métadonnées disponibles pour chaque domaine personnalisé afin de simplifier la gestion et la personnalisation : Champs de métadonnées recommandés :
  • brand : Identifiant de marque (p. ex., “BrandA”, “BrandB”)
  • region : Région géographique (p. ex., “us-east”, “eu-west”)
  • environment : Type d’environnement (p. ex., “production”, “staging”)
  • customer_id : Identifiant du client ou du locataire
  • support_email : Contact d’assistance propre au domaine
  • purpose : Rôle du domaine (p. ex., “customer-portal”, “admin-portal”)
Exemple de structure de métadonnées : 
{
  "brand": "BrandA",
  "region": "us-east",
  "environment": "production",
  "customer_id": "cust_12345",
  "support_email": "support@brand-a.com",
  "tier": "enterprise"
}
Utilisez les métadonnées pour :
  • Personnalisation des courriels : Personnalisez les modèles de courriel selon les métadonnées
  • Logique des Actions : Mettez en œuvre des règles d’authentification propres à chaque domaine
  • Filtrage et recherche : Organisez les domaines dans vos outils de gestion
  • Rapports : Suivez l’utilisation et les performances par marque, région ou client

Sécurité

Lorsque vous mettez en œuvre plusieurs domaines personnalisés, tenez compte de ces mesures de sécurité selon votre cas d’utilisation :
  • Validation du domaine : Empêchez l’utilisation non autorisée d’un domaine en limitant l’authentification à des domaines personnalisés précis
  • Isolation des organisations : Assurez-vous que les utilisateurs ne peuvent accéder aux organisations qu’au moyen de domaines approuvés
  • Gestion des certificats : Assurez une gestion sécurisée du cycle de vie des certificats

Validation du domaine dans Actions

Utilisez Actions pour restreindre l’authentification à certains domaines personnalisés. Cela est utile si vous voulez empêcher les utilisateurs de s’authentifier au moyen du domaine Auth0 canonique ou limiter l’accès à des domaines propres à une marque en particulier : 
exports.onExecutePostLogin = async (event, api) => {
  const domain = event.custom_domain?.domain;

  // Liste des domaines personnalisés autorisés
  const allowedDomains = [
    'login.brand1.com',
    'login.brand2.com',
    'login.example.com'
  ];

  if (!domain || !allowedDomains.includes(domain)) {
    return api.access.deny(
      `Authentication from ${domain} is not permitted.`
    );
  }
};

Contrôle d’accès par organisation

Si vous utilisez les Organisations Auth0, vous pouvez restreindre les domaines personnalisés autorisés pour chaque organisation. Cela est utile dans les scénarios B2B où chaque client possède son propre domaine personnalisé aux couleurs de sa marque et ne devrait accéder à son organisation que par ce domaine : 
exports.onExecutePostLogin = async (event, api) => {
  const domain = event.custom_domain?.domain;

  if (!event.organization) {
    return;
  }

  // Vérifier les domaines autorisés de l'organisation
  const allowedDomains = event.organization.metadata?.allowed_domains?.split(',') || [];

  if (allowedDomains.length > 0 && !allowedDomains.includes(domain)) {
    return api.access.deny(
      `Access to ${event.organization.name} requires authentication via an approved domain.`
    );
  }
};

Gestion des certificats

  • Surveiller l’expiration : Configurez des alertes pour les dates d’expiration des certificats
  • Automatiser le renouvellement : Utilisez des certificats gérés par Auth0 pour le renouvellement automatique
  • Documenter les processus autogérés : Si vous utilisez des certificats autogérés, maintenez des procédures d’exploitation claires

Performance

Utiliser des domaines régionaux

Pour les applications mondiales, envisagez d’utiliser des domaines personnalisés propres à chaque région afin de faciliter le respect des exigences de résidence des données et l’image de marque selon la région :
  • Exemples : login-us.example.com, login-eu.example.com, login-ap.example.com
La latence d’authentification dépend de l’endroit où votre locataire Auth0 est déployé, et non du nom de domaine personnalisé. Choisissez la région de votre locataire en fonction de l’emplacement de vos utilisateurs.

Image de marque et expérience utilisateur

Assurez la cohérence de l’image de marque

MCD ajoute une dimension supplémentaire à vos efforts d’image de marque. Les utilisateurs s’attendent à une expérience uniforme à tous les points de contact :
  • Universal Login: Personnalisez les pages de connexion pour chaque domaine à l’aide des métadonnées de domaine
  • Modèles de courriel: Utilisez des variables de domaine personnalisées pour adapter les courriels
  • Interface utilisateur de l’application: Faites correspondre l’image de marque de votre application à l’expérience d’authentification
Pour obtenir des conseils complets, consultez les lignes directrices sur l’image de marque pour B2B et B2C.

Gestion des clés d’accès

  • Communiquez clairement : informez les utilisateurs que les clés d’accès sont propres à chaque domaine
  • Invitez à l’inscription : encouragez l’inscription aux clés d’accès après la troisième connexion
  • Assurez le suivi de l’inscription : surveillez les domaines pour lesquels les utilisateurs ont inscrit des clés d’accès
  • Offrez de l’aide : fournissez une documentation claire sur la gestion des clés d’accès
Consultez Clés d’accès avec plusieurs domaines personnalisés pour obtenir des conseils détaillés.

Communication aux utilisateurs

Lorsque les utilisateurs interagissent avec plusieurs domaines personnalisés :
  • Établissez clairement les attentes : Expliquez que différentes marques ou différents portails peuvent avoir des URL de connexion distinctes
  • Donnez des indications : Aidez les utilisateurs à comprendre quel Domaine utiliser
  • Gérez les erreurs adéquatement : Affichez des messages d’erreur clairs si les utilisateurs tentent d’accéder au mauvais Domaine
  • Documentation d’accompagnement : Maintenez une documentation claire sur la structure de vos Domaines

Opérations et maintenance

Surveillance et alertes

Configurez la surveillance pour :
  • Expiration du certificat : Déclenchez des alertes 30, 15 et 7 jours avant l’expiration
  • Statut de vérification du domaine : Surveillez les échecs de vérification
  • Échecs d’authentification : Suivez les échecs par domaine personnalisé
  • Santé DNS : Surveillez la résolution DNS pour tous les domaines personnalisés
  • Performances de l’API : Suivez la latence de la Management API pour les opérations liées au domaine

Documentation

Tenez à jour une documentation complète :
  • Inventaire des domaines : Liste de tous les domaines personnalisés, avec leurs métadonnées et leur usage
  • Correspondance des applications : Quelles applications utilisent quels domaines
  • Runbooks : Procédures pour les opérations courantes (ajout de domaines, renouvellement des certificats, dépannage)
  • Diagrammes d’architecture : Représentation visuelle de la structure des domaines
  • Coordonnées : Équipes ou personnes responsables de chaque domaine

Tests

Testez soigneusement avant la mise en production :
  • Tests fonctionnels : Vérifiez l’authentification pour chaque domaine personnalisé
  • Tests d’intégration : Testez toutes les applications avec le domaine personnalisé qui leur est attribué
  • Tests de courriel : Vérifiez que les courriels utilisent les bons domaines personnalisés
  • Tests de basculement : Testez le repli vers le domaine par défaut
  • Tests de performance : Effectuez des tests de charge de l’authentification via les domaines personnalisés

Gestion du changement

Lorsque vous apportez des modifications aux domaines personnalisés :
  • Utilisez d’abord un environnement de préproduction : testez les modifications dans des environnements hors production
  • Déploiement progressif : déployez d’abord les modifications sur un sous-ensemble de domaines
  • Surveillez de près : soyez attentif aux problèmes pendant le déploiement
  • Prévoyez un plan de retour arrière : soyez prêt à annuler les modifications au besoin
  • Communiquez les changements : informez les parties prenantes des changements prévus

Pièges courants à éviter

Ne complexifiez pas inutilement la structure des domaines

  • Anti‑modèle: Créer un domaine personnalisé pour chaque variation possible
  • Meilleure approche: Commencez par quelques domaines principaux, puis élargissez au besoin

N’oubliez pas de mettre à jour tous les points d’intégration

Lorsque vous ajoutez de nouveaux domaines personnalisés, mettez à jour :
  • Les URL de rappel de l’application
  • Les URI de redirection des fournisseurs sociaux
  • Les points de terminaison des connexions d’entreprise
  • La logique de validation des jetons
  • Les règles de surveillance et d’alerte

Ne négligez pas la documentation

  • anti‑modèle : Se fier aux connaissances institutionnelles
  • Meilleure approche : Documenter les affectations de domaine, la signification des métadonnées et les procédures opérationnelles

Ne négligez pas la gestion des certificats

  • anti‑modèle : laisser des certificats expirer sans avertissement
  • Meilleure approche : automatiser les processus de surveillance et de renouvellement

Ne mélangez pas les contextes d’authentification

  • anti‑modèle : Utiliser le même Domaine personnalisé pour des marques ou des clients sans lien
  • Meilleure approche : Maintenir une séparation claire entre les différents contextes d’authentification

En savoir plus