Passer au contenu principal
Cette section présente une liste des configurations à vérifier dans votre locataire. Ces vérifications doivent être effectuées périodiquement pendant le développement et suffisamment avant le lancement afin de vous laisser le temps de corriger tout problème.

Vérification générale du locataire

Vérification de la préparation des locataires

Vérifiez que vous avez configuré des environnements de locataire qui prennent en charge le cycle de vie de votre SDLC et que les locataires de développement, de test et de production sont bien séparés, afin que le travail de développement en cours après le lancement n’ait pas de répercussions négatives sur votre environnement de production. Chaque entreprise suit une forme ou une autre de cycle de vie du développement logiciel (SDLC), et vous voudrez harmoniser votre approche avec cette stratégie tout au long du processus de développement. Par exemple, vous devez pouvoir tester votre intégration avec Auth0 de la même façon que vous testez vos applications. Il est donc important de structurer les locataires Auth0 pour prendre en charge votre SDLC. Nos clients suivent généralement un modèle cohérent en ce qui concerne les pratiques exemplaires d’organisation des locataires :
EnvironnementExemple de nom de locataireDescription
Développementcompany-devUn environnement partagé où s’effectue la majeure partie du travail de développement
AQ/testcompany-qa ou company-uatUn environnement destiné aux tests formels des modifications apportées
Productioncompany-prodLe locataire de production
Dans certains cas, vous pourriez aussi vouloir créer un ou plusieurs environnements bac à sable (p. ex., company-sandbox1company-sandbox2) afin de tester des changements sans compromettre votre environnement de développement. C’est souvent là que vous testerez des scripts de déploiement et autres éléments semblables.

Pratique exemplaire

Vous pouvez aussi tirer parti de nos listes de vérification de mise en œuvre, que vous pouvez télécharger et personnaliser selon les besoins de votre projet de mise en œuvre.

Vérification de l’association des locataires

Pour vous assurer que vos locataires sont tous associés à votre entente contractuelle avec Auth0 et qu’ils disposent des mêmes fonctionnalités, veillez à ce que tous vos locataires soient associés au compte de votre entreprise. Si certains développeurs veulent créer leurs propres environnements de test, assurez-vous qu’ils sont eux aussi associés à votre compte afin qu’ils disposent des mêmes autorisations. Pour ce faire, communiquez avec votre représentant Auth0 ou le Centre de soutien Auth0.

Spécifier le locataire de production

Pour qu’Auth0 reconnaisse votre locataire de production, assurez-vous de configurer votre locataire de production avec l’indicateur « production » dans le Centre de support.

Vérification de production du locataire

Auth0 fournit un outil de vérification de production pour détecter de nombreuses erreurs courantes. Vous devez vous assurer qu’il a été exécuté et que tous les problèmes relevés dans le rapport ont été corrigés avant la mise en service. De plus, vous devriez consulter les recommandations de configuration relatives aux bonnes pratiques, dont la vérification ne peut pas être automatisée.

Vérification des paramètres du locataire

Paramètres du locataire

Assurez-vous de suivre les recommandations d’Auth0 concernant les paramètres du locataire lorsque vous configurez votre logo, ainsi que votre courriel d’assistance et votre URL d’assistance, afin que les utilisateurs sachent comment obtenir de l’aide en cas de problème. Vous devriez également vérifier les paramètres de délai d’expiration de la session , ainsi que la liste des administrateurs de l’Auth0 Dashboard qui ont accès à votre locataire de production.

Personnalisation des pages d’erreur

Si des problèmes surviennent pendant le parcours interactif de l’utilisateur (par exemple, lors de l’inscription ou de la connexion), Auth0 fournit des messages d’erreur qui indiquent la cause sous-jacente. Les messages par défaut sont toutefois assez cryptiques, surtout pour l’utilisateur final, puisqu’il lui manque souvent le contexte que vous seul pouvez fournir. C’est pourquoi nous vous recommandons de personnaliser vos pages d’erreur afin de communiquer directement à vos utilisateurs les renseignements contextuels manquants. De plus, la personnalisation de vos pages d’erreur vous permet d’afficher votre image de marque plutôt que celle d’Auth0, et de fournir à vos utilisateurs des indications utiles sur les prochaines étapes. Ces renseignements peuvent inclure un lien vers une FAQ ou la marche à suivre pour communiquer avec l’équipe de soutien ou le centre d’assistance de votre entreprise.

Bonne pratique

Par défaut, il n’existe aucune interface utilisateur permettant de personnaliser les pages d’erreur fournies par Auth0, mais vous pouvez utiliser le point de terminaison Tenant Settings du Management API pour les configurer. Vous pouvez aussi créer et héberger votre propre page d’erreur, puis faire en sorte qu’Auth0 y redirige les utilisateurs au lieu d’utiliser l’option hébergée par Auth0.

Désactiver les indicateurs de fonctionnalités héritées

Si vous avez un ancien locataire, il se peut que divers indicateurs de fonctionnalités héritées soient activés dans votre onglet Avancé des paramètres du locataire. Si des interrupteurs sont activés dans la section « Migrations » de cet onglet, vous devriez examiner votre utilisation et planifier la migration pour ne plus utiliser la fonctionnalité héritée.

Extension d’administration déléguée

Lorsque vous passez en revue la liste des utilisateurs ayant accès à votre locataire de production, n’oubliez pas de vérifier également les utilisateurs indiqués dans la Delegated Admin Extension.

Configuration du nom de domaine personnalisé

Par défaut, l’URL associée à votre locataire comprend son nom et, dans certains cas, un identifiant propre à la région. Par exemple, les locataires hébergés aux États-Unis ont une URL semblable à https://example.auth0.com, tandis que ceux hébergés en Europe ont une URL du type https://example.eu.auth0.com. Un domaine personnalisé vous permet d’offrir à vos utilisateurs une expérience cohérente en utilisant un nom conforme à l’image de marque de votre organisation.
Un seul nom de domaine personnalisé peut être appliqué par locataire Auth0. Ainsi, si vous devez absolument disposer d’une image de marque distincte pour chaque nom de domaine, vous aurez besoin d’une architecture dans laquelle plusieurs locataires Auth0 sont déployés en production.
De plus, la fonctionnalité vous offre un contrôle complet sur le processus de gestion des certificats. Par défaut, Auth0 fournit des certificats SSL standard, mais si vous configurez un domaine personnalisé, vous pouvez utiliser des certificats SSL à validation étendue (EV) ou l’équivalent afin d’afficher dans le navigateur des repères visuels qui rassurent davantage vos visiteurs. En général, nous constatons que nos clients obtiennent les meilleurs résultats lorsqu’ils utilisent un domaine centralisé pour l’authentification, surtout si l’entreprise offre plusieurs produits ou marques de service. En utilisant un domaine centralisé, vous pouvez offrir aux utilisateurs finaux une expérience cohérente tout en réduisant au minimum la nécessité de maintenir plusieurs locataires de production dans Auth0.

Vérification des paramètres de l’application et des connexions

Chacun de vos paramètres de connexion devrait être examiné au regard des pratiques exemplaires de configuration des connexions. De plus, vous devriez vérifier que toutes les connexions sont appropriées et qu’aucune connexion expérimentale ne subsiste dans votre locataire de production, car elles pourraient permettre un accès non autorisé. Si vous utilisez des connexions , il est recommandé de les configurer de manière à signer les requêtes SAML.

Vérification de la personnalisation des pages

Si vous utilisez la page d’Auth0, la page de réinitialisation du mot de passe ou l’authentification Guardian , vous devriez vous assurer que les pages affichées à l’utilisateur final sont adéquatement personnalisées.

Page de Universal Login

Universal Login est la méthode recommandée pour authentifier les utilisateurs et repose sur l’utilisation de la page de connexion. Vous pouvez personnaliser la page de connexion pour répondre aux exigences d’image de marque de votre organisation.

Pratique exemplaire

Pour personnaliser les pages de Universal Login, vous pouvez modifier vos thèmes de page et créer des modèles de page dynamiques.Si vous choisissez d’implémenter Connexion classique et de personnaliser le script de la page de connexion, nous vous recommandons fortement d’utiliser un système de contrôle de version. Pour ce faire, vous devriez déployer le script vers votre locataire Auth0 au moyen de l’automatisation des déploiements ou de l’une des autres stratégies.

Page de réinitialisation du mot de passe

La page Password Reset est utilisée lorsqu’un utilisateur utilise la fonction de modification du mot de passe et, comme pour la page de connexion, vous pouvez la personnaliser pour qu’elle reflète les exigences propres à l’image de marque de votre organisation.

Guardian

Les pages d’authentification multifacteur peuvent être personnalisées en ajustant les options d’image de marque de Universal Login dans la section Paramètres d’Universal Login. Si vous avez besoin d’une personnalisation plus poussée, vous pouvez aussi personnaliser l’intégralité du contenu HTML afin de répondre aux exigences particulières de votre organisation en matière d’expérience utilisateur.

Vérification des autorisations

Si vous utilisez la fonctionnalité d’autorisation d’Auth0, assurez-vous de vérifier attentivement tous les privilèges accordés afin que les autorisations soient adaptées à votre environnement de production.

Vérification de la configuration de l’API

Expiration du jeton d’accès

Vérifiez de nouveau les paramètres d’expiration du jeton d’accès de l’API afin de vous assurer qu’ils conviennent à chaque API de votre environnement de production.

Accès hors ligne à l’API

Si votre application ne demande pas de , cette option devrait être désactivée.

Algorithme de signature du jeton d’accès

Il est recommandé de définir l’algorithme de signature du jeton d’accès de l’API sur RS256 plutôt que HS256 afin de réduire au minimum l’exposition de la clé de signature.

Validation des jetons d’accès d’API

Si vous avez des API personnalisées, assurez-vous qu’elles valident correctement les jetons d’accès qu’elles reçoivent avant d’utiliser les renseignements qu’ils contiennent.

Scopes d’API

Si vous avez des applications qui effectuent des appels machine à machine vers l’une de vos API, vous devriez vérifier les scopes définis pour l’API afin de vous assurer qu’ils conviennent tous à votre environnement de production. Pour en savoir plus, consultez la documentation sur le flux d’octroi des justificatifs de l’application.

Modèles de courriel personnalisés

Auth0 fait un usage intensif du courriel, à la fois pour envoyer des notifications aux utilisateurs et pour assurer les fonctionnalités nécessaires à une gestion sécurisée des identités (par exemple, la vérification du courriel, la récupération de compte et la protection contre les attaques par force brute). Auth0 fournit plusieurs modèles à cette fin.
Avant de personnaliser les modèles de courriel, veuillez configurer votre Fournisseur de courriel.
Par défaut, les modèles de courriel utilisent un texte standard et l’image de marque d’Auth0. Toutefois, vous pouvez configurer presque tous les aspects de ces modèles afin qu’ils reflètent le libellé et l’expérience utilisateur que vous souhaitez, et modifier des éléments comme la langue de préférence, les options d’accessibilité, etc. Les modèles de courriel sont personnalisés à l’aide de la syntaxe Liquid. Si vous souhaitez personnaliser vos modèles en fonction des préférences des utilisateurs, vous aurez également accès aux métadonnées figurant dans le profil des utilisateurs, ainsi qu’aux métadonnées propres à l’application.

Protection contre les attaques configurée

Les systèmes d’authentification sont importants parce qu’ils empêchent les d’accéder à des applications et à des données d’utilisateur auxquelles ils ne devraient pas avoir accès. Nous voulons mettre le plus d’obstacles possible entre ces acteurs malveillants et l’accès à nos systèmes. L’une des façons les plus simples d’y parvenir consiste à vous assurer que votre protection contre les attaques avec Auth0 est correctement configurée. Prenez donc un moment pour consulter les recommandations à ce sujet et vérifier que tout fonctionne correctement pour vous.

Bonne pratique

La détection d’anomalies est gérée en arrière-plan par Auth0 et constitue une excellente fonction de sécurité pour votre produit. Si vous comptez l’utiliser, assurez-vous d’avoir configuré votre fournisseur de courriel et vos modèles de courriel avant d’activer l’envoi de courriels à vos utilisateurs.

Guide de planification du projet

Nous mettons à votre disposition un guide de planification en format PDF que vous pouvez télécharger et consulter pour obtenir plus de détails sur les stratégies que nous recommandons. Guide de planification du projet B2B IAM