Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme- Vérifiez les URL de vos URL de rappel autorisées, de vos origines CORS et de vos URL de redirection autorisées pour Logout afin de vous assurer qu’elles sont correctes, complètes et n’impliquent pas l’utilisation de
file:///ou delocalhost. Limitez au minimum l’utilisation des caractères génériques et évaluez soigneusement leurs répercussions sur la sécurité. - Séparez l’utilisation en production des travaux de développement en cours en utilisant des locataires distincts pour la production, les tests et le développement.
- Configurez correctement votre réseau afin d’autoriser le trafic entrant et sortant de nos API publiques (les environnements de production peuvent être configurés différemment des environnements de développement ou de préproduction).
- Vérifiez la date d’expiration des certificats que vous avez ajoutés à votre configuration pour vous assurer que les certificats téléversés pendant les cycles de développement n’expireront pas au moment du lancement ou peu après.
- Assurez-vous que tous les distants utilisent NTP afin que l’heure soit correctement synchronisée.
- Le nombre de jours pendant lesquels les données de journalisation sont disponibles varie selon le forfait, jusqu’à un maximum de 30 jours. Si vous devez conserver les données de journalisation plus longtemps, vous devriez configurer l’une de nos solutions Log Streaming. Cela vous permettra de conserver les données de journalisation pendant de plus longues périodes. Assurez-vous de le configurer avant la mise en production afin d’avoir les données de journalisation dont vous aurez besoin.
- Assurez-vous que votre utilisation de nos API reste dans les limites autorisées et que votre code est conçu pour s’adapter dynamiquement aux informations de limite de débit renvoyées dans l’en-tête et pour gérer les erreurs. Si vous prévoyez que les limites de débit risquent de poser problème pour votre application, discutez-en avec nous dès le départ afin de vérifier s’il serait possible de les augmenter temporairement jusqu’à ce que le trafic revienne à la normale. Vous devriez envisager d’utiliser un cache des données utilisateur afin de ne pas avoir à interroger un point de terminaison d’API plus souvent que nécessaire.
- Si vous utilisez des connexions sociales, assurez-vous d’obtenir vos propres identifiants auprès du fournisseur et de les ajouter dans la configuration de la connexion sociale.
- Si vous utilisez des connexions à une base de données personnalisée, assurez-vous que tous les scripts de base de données personnalisés sont implémentés et renvoient un profil utilisateur cohérent avec un ID utilisateur unique.
- Pour envoyer des courriels, commencez par configurer un fournisseur de courriel personnalisé.
- Si vous utilisez notre CDN pour le widget Lock, assurez-vous de verrouiller une version précise.
- Assurez-vous que les composants externes appelés par les Actions, les Rules, les Hooks et les scripts de connexion de base de données personnalisée peuvent prendre en charge la charge prévue.
- Protégez adéquatement toute valeur de .
- Vérifiez les types d’octroi de vos applications. Assurez-vous que les bons sont activés et, surtout, désactivez tout type d’octroi inutile.
- Si vous utilisez user_metadata, assurez-vous qu’il s’agit de données que les utilisateurs peuvent modifier eux-mêmes (p. ex., pas le « statut du paiement »).
- Passez en revue vos paramètres d’Attack Protection et consultez Attack Protection pour savoir comment débloquer les utilisateurs qui ont été bloqués.
- Vérifiez la section Administrateurs des Paramètres du locataire pour vous assurer que seuls les administrateurs autorisés ont accès à . Consultez Gérer l’accès à Auth0 Dashboard pour en savoir plus.
- Assurez-vous d’avoir testé tous les principaux cas d’utilisation de votre application sur tous les appareils que les utilisateurs finaux sont susceptibles d’employer. Veillez à tester la connexion, (si elle est prise en charge) et la déconnexion, ainsi que ce qui se passe si un utilisateur exécute votre application dans plusieurs onglets du navigateur.
- Passez en revue votre liste des Rules et assurez-vous que seules les Rules appropriées sont activées.
- Examinez le code de vos Rules, tous vos scripts Custom DB et tout code personnalisé dans la page de connexion afin de vous assurer que chaque appel prévoit un piégeage et un traitement des erreurs adéquats. Vérifiez également que les instructions return et callback sont utilisées correctement.
- Configurez le nom de votre application, l’URL d’assistance et le courriel d’assistance dans la section Paramètres du locataire : Général afin que, lorsqu’une erreur se produit, vos utilisateurs finaux soient redirigés vers une page appropriée.
- Assurez-vous que votre application récupère dynamiquement un jeton de la Management API.
- Supprimez tous les appels à
console.logde vos Rules ou de vos scripts de base de données personnalisés, en particulier ceux qui pourraient divulguer des renseignements permettant d’identifier un utilisateur, comme le courriel, le nom d’utilisateur ou le mot de passe. - N’utilisez pas de secrets en clair dans les Rules ou les db-connections. Ils doivent être ajoutés dans la section Configuration de l’interface. La configuration est chiffrée et fournie au moment voulu. N’inscrivez pas l’objet de configuration dans les journaux.
Conseils avant le lancement
Une liste de conseils utiles pour bien démarrer avec les services Auth0, basée sur les commentaires et l’expérience d’autres utilisateurs
Voici une liste des conseils que nos clients ont jugés les plus utiles lorsqu’ils ont commencé à utiliser les services Auth0 :