Comment opérationnaliser vos environnements de locataire Auth0.
L’opérationnalisation exige de configurer ou de mettre en place l’infrastructure nécessaire pour soutenir une exploitation évolutive, mesurable et quantifiable, essentielle à la continuité des activités. Dans Auth0, cela comprend la configuration de services de soutien (comme les fournisseurs de courriel), la surveillance des services de votre déploiement, la détection de situations anormales et la préparation d’un rétablissement rapide et harmonieux en cas de problème dans un environnement de production.L’adoption de pratiques d’exploitation efficaces est un investissement rentable, comme l’ont constaté les clients les plus performants. Voici quelques éléments à prendre en compte dans votre flux de travail :
Que devriez-vous faire pour détecter les défaillances de façon proactive ?
Comment pouvez-vous obtenir des données sur l’état opérationnel d’Auth0 ?
Que devriez-vous faire concernant les bulletins de sécurité d’Auth0 liés au service Auth0 ?
Auth0 fournit-il de l’information sur les changements à venir dans le service Auth0 ?
Comment pouvez-vous vérifier s’il y a des avis importants d’Auth0 ?
Que devriez-vous faire avec les données de journalisation d’Auth0 afin de pouvoir les analyser et les conserver plus longtemps que la période limitée de conservation des données d’Auth0 ?
Comment pouvez-vous analyser les journaux Auth0 pour déterminer si les charges de pointe dans votre application déclenchent des limites de débit ou d’autres erreurs ?
Quels services de courriel devriez-vous utiliser pour prendre en charge les volumes de production de messages envoyés aux utilisateurs ? Puis-je utiliser le fournisseur de courriel prêt à l’emploi d’Auth0 dans mon environnement de production ?
Devez-vous configurer votre pare-feu, et quels ports devrez-vous ouvrir pour les services internes qui doivent recevoir des communications d’Auth0 (comme les bases de données personnalisées, les services Web et les serveurs de courriel) ?
Comment allez-vous provisionner de nouvelles organisations ?
Devez-vous offrir un provisionnement libre-service à votre client afin qu’il puisse configurer ses propres organisationnels ?
Auth0 prend en charge des fonctionnalités de surveillance du fonctionnement du service Auth0, ainsi que la diffusion d’information sur l’état du service Auth0. De plus, Auth0 met à disposition, au moyen de diverses notifications, des bulletins de sécurité ainsi que de l’information sur les changements à venir dans le service Auth0. Les services de journalisation d’Auth0 offrent également des fonctionnalités étendues pour retracer et repérer les anomalies opérationnelles, y compris les restrictions causées par la limitation du débit et/ou une charge excessive.Par défaut, Auth0 fournit des services d’envoi de courriels pour vous aider à accélérer votre intégration. Cependant, ces services ne sont pas conçus pour une utilisation à grande échelle dans des environnements de production et n’offrent aucun niveau de service ni aucune garantie en matière de livraison de courriels. La bonne pratique que nous recommandons, et que les clients suivent généralement, consiste à configurer votre propre fournisseur de services de courriel.Vous pourriez également devoir apporter des modifications à la configuration de l’infrastructure afin de prendre en charge l’intégration avec Auth0 et l’utilisation des fonctions d’extensibilité d’Auth0. Par exemple, si vous devez fournir des rappels à votre infrastructure interne ou externe (p. ex., si vous devez effectuer des appels d’API externes dans Actions, Rules ou Hooks, ou au moyen de scripts de base de données personnalisés pour tirer parti d’un système existant de stockage d’identités), vous pourriez devoir configurer les paramètres de votre pare-feu.Une fois que vous saurez comment vous voulez que les organisations soient représentées dans votre système, vous voudrez aussi réfléchir à la façon dont vous allez provisionner l’organisation elle-même. Consultez Provisionnement des organisations pour plus d’information.De plus, bon nombre de nos clients ont développé un ou plusieurs portails libre-service à l’intention des administrateurs d’organisation de leurs clients afin de leur permettre de configurer leurs propres IdP.
Le tableau de bord d’état d’Auth0, ainsi que le tableau de bord de disponibilité d’Auth0, affichent l’état actuel et passé du service Auth0 dans un format facile à consulter. Si des alertes de surveillance se déclenchent, votre équipe des opérations devrait, comme première étape du dépannage, consulter le tableau de bord d’état pour vérifier s’il y a une panne en cours. La page d’état du nuage public permet également de s’abonner aux notifications de panne. Nous vous recommandons aussi de vérifier l’état de tout service externe tiers dont vous dépendez, comme les fournisseurs d’identité sociale. Avoir cette information à portée de main peut aider à écarter rapidement certaines causes possibles pendant le dépannage d’un problème et devrait figurer en tête de la liste de vérification du dépannage, tant pour les développeurs que pour le personnel du centre d’assistance.
Les renseignements sur la façon de vérifier l’état d’Auth0 ainsi que celui de tout service dont il dépend (comme les fournisseurs d’identité sociale) devraient figurer en tête d’une liste de vérification du dépannage, tant pour les développeurs que pour le personnel du centre d’assistance. Nous vous recommandons également de vous abonner à la page d’état d’Auth0 pour être avisé de toute mise à jour de l’état du service.
En cas de panne du service de nuage public, Auth0 effectue une analyse des causes profondes (RCA) et publie les résultats sur la page d’état d’Auth0. Après une panne, Auth0 mène une enquête approfondie, notamment pour déterminer la cause profonde, les facteurs contributifs et les moyens d’éviter que le problème ne se reproduise. Par conséquent, la publication d’un document d’analyse RCA peut prendre quelques semaines.
Auth0 envoie des courriels aux utilisateurs pour des événements comme le message de bienvenue à l’inscription, la vérification du courriel, la détection d’un mot de passe compromis et la réinitialisation du mot de passe. Vous pouvez personnaliser les modèles de courriel pour chaque type d’événement, et il est aussi possible d’adapter de façon plus poussée le traitement des courriels. Auth0 fournit un fournisseur de courriel de test à capacité limitée pour les tests de base, mais vous devez configurer votre propre fournisseur de courriel pour un usage en production, et la personnalisation des modèles de courriel ne fonctionnera pas tant que vous n’aurez pas configuré votre propre fournisseur.
Le fournisseur de courriel par défaut d’Auth0 ne prend pas en charge les volumes d’envoi en production ni la personnalisation des modèles de courriel. Vous devriez donc configurer votre propre fournisseur de courriel avant le déploiement en production.
Si du code personnalisé exécuté dans Auth0 (par exemple dans une Action, Rule, Hook ou des scripts de base de données personnalisés) doit appeler un service à l’intérieur de votre réseau, ou si vous configurez un fournisseur SMTP sur site dans Auth0, vous devrez peut-être configurer votre pare-feu pour autoriser le trafic entrant depuis Auth0. Les adresses IP à autoriser dans le pare-feu varient selon la région et sont indiquées dans les écrans de configuration de Rules, Hooks, des scripts de base de données personnalisés et du fournisseur de courriel dans votre .
Auth0 offre de vastes capacités de journalisation des événements, ainsi que d’analyse des journaux pour repérer les anomalies (consultez la documentation sur les journaux pour en savoir plus). La période de conservation standard des journaux Auth0 dépend du niveau d’abonnement : la plus courte est de 2 jours et la plus longue n’est que de 30 jours. En tirant parti de la prise en charge d’Auth0 pour l’intégration à des services de journalisation externes, vous pourrez conserver les journaux au-delà de cette période et également les agréger à l’échelle de votre organisation.
Vous devriez utiliser l’une des solutions de diffusion des journaux pour envoyer les données de journal à un service externe d’analyse des journaux. Cela vous permettra de conserver les données plus longtemps et de bénéficier de fonctions d’analyse avancées sur les données de journal.
Vous devriez vérifier la période de conservation des données de journal pour votre niveau d’abonnement et mettre en œuvre une extension d’exportation des données de journal afin de les envoyer à un service externe d’analyse des journaux. Vous pouvez utiliser l’une de nos solutions de diffusion des journaux dans Auth0 Marketplace.Les équipes de développement peuvent utiliser les fichiers journaux pour le dépannage et pour détecter des erreurs intermittentes qui peuvent être difficiles à repérer lors des tests d’AQ. Les équipes de sécurité voudront probablement disposer des données de journal au cas où des données d’analyse judiciaire seraient un jour nécessaires. L’exportation des fichiers journaux vers des services offrant des capacités d’analyse complètes peut vous aider à repérer des tendances, comme les tendances d’utilisation et les déclenchements de la .
Auth0 fournit un code d’erreur unique pour les erreurs signalées lorsqu’une limite de débit est dépassée. Vous devriez mettre en place une analyse automatique des journaux pour détecter les erreurs liées aux limites de débit afin de pouvoir traiter de façon proactive l’activité qui atteint ces limites avant qu’elle ne cause trop de problèmes à vos utilisateurs. Auth0 publie également des codes d’erreur pour d’autres types d’erreurs, et il est également utile d’analyser les journaux à la recherche d’erreurs d’authentification ainsi que d’erreurs liées aux appels à l’Auth0 (les codes d’erreur de la Management API sont affichés sous chaque appel dans le Management API Explorer).
Appeler la Management API pour récupérer les informations du profil utilisateur dans une Rule est une cause fréquente d’erreurs liées aux limites de débit, car ces appels d’API peuvent s’exécuter à chaque connexion ainsi que lors des vérifications périodiques de session.
Vous devriez mettre en place des mécanismes de surveillance des implémentations Auth0 afin que votre équipe de soutien ou d’exploitation reçoive en temps voulu les informations nécessaires pour gérer les interruptions de service de façon proactive. Auth0 fournit des points de terminaison de surveillance qui peuvent être intégrés à votre infrastructure de surveillance. Ces points de terminaison sont conçus pour fournir une réponse pouvant être consommée par des services de surveillance. Il convient de noter qu’ils ne fournissent des données que sur Auth0. Pour une surveillance complète de bout en bout, essentielle pour vérifier la capacité des utilisateurs à se connecter, nous vous recommandons de configurer une surveillance de transactions synthétiques. Cela offrira une granularité accrue à votre surveillance et vous permettra de détecter les interruptions non liées à Auth0 ainsi que les baisses de performance, afin de réagir de façon plus proactive.
Vous devriez configurer l’envoi de transactions de connexion synthétiques afin de faciliter la surveillance de bout en bout de l’authentification. Vous pouvez le faire à l’aide d’une application simple qui utilise le Resource Owner Password Grant en combinaison avec un utilisateur de test sans privilèges, et n’oubliez pas non plus les politiques de limitation du débit d’Auth0.
Plusieurs types de notifications d’Auth0 méritent votre attention, car elles contiennent des renseignements importants susceptibles d’avoir une incidence sur vos locataires et votre projet.
Auth0 envoie aux administrateurs du tableau de bord des notifications de sécurité proactives ainsi que d’autres annonces opérationnelles. Assurez-vous que les personnes qui doivent recevoir ces messages sont des administrateurs du tableau de bord.
Il peut arriver qu’Auth0 envoie une annonce importante liée à votre locataire. Ces annonces concernant votre service seront envoyées dans votre Auth0 Dashboard et, selon leur gravité, par courriel aux administrateurs inscrits à l’Auth0 Dashboard. Vous devriez prendre l’habitude de vous connecter régulièrement au tableau de bord et de vérifier l’icône en forme de cloche en haut de la page pour repérer tout avis important. De plus, vous devriez consulter rapidement les courriels d’Auth0, car ils peuvent contenir des renseignements importants sur des changements ou des mesures à prendre.
Auth0 effectue régulièrement divers tests de sécurité et, si des problèmes sont détectés, identifie et avise de façon proactive les clients qui doivent apporter des modifications liées à la sécurité. Toutefois, en raison de la nature extensible du produit Auth0, il se peut qu’Auth0 ne soit pas en mesure d’identifier tous les clients concernés; vous devriez donc consulter régulièrement les bulletins de sécurité d’Auth0.
Il est recommandé de consulter périodiquement la page Bulletins de sécurité d’Auth0 et de prendre les mesures recommandées si vous êtes concerné par l’un de ces bulletins.
Auth0 fournit des renseignements sur les changements apportés au service dans le journal des modifications d’Auth0. Vous devriez prendre l’habitude de consulter régulièrement les journaux des modifications d’Auth0 pour rester au courant des changements. Les équipes de soutien qui examinent un problème peuvent aussi trouver utile de consulter le journal des modifications pour déterminer si des changements récents pourraient être liés au problème, surtout s’il s’agit de changements incompatibles. Les équipes de développement voudront également consulter les journaux des modifications pour repérer de nouvelles fonctionnalités qui pourraient être utiles.
Ce que vous devez faire lors du provisionnement d’une organisation dépend de la façon dont les organisations sont représentées dans votre système. Il peut être utile de prendre un peu de recul et de réfléchir à la façon dont les utilisateurs de ces organisations interagiront avec vos applications. Consultez architecture à organisations multiples pour déterminer comment configurer les organisations dans votre système IAM.Lors du provisionnement des organisations, vous devez tenir compte des éléments suivants :
Vous devrez ajouter l’organisation à la configuration de votre application et/ou à votre base de données
Vous devrez apporter des modifications à votre configuration Auth0. Cela inclura tout ou partie des éléments suivants :
Créer un locataire unique
Ajouter une connexion de base de données (si vous isolez les utilisateurs par organisation)
Ajouter une connexion d’entreprise pour cette organisation
Cela impliquera de travailler avec l’organisation pour soit mettre à jour sa configuration existante, soit ajouter une configuration pour votre locataire Auth0 si elle n’est pas une organisation héritée.
Provisionner un administrateur pour l’organisation
Un portail d’administration des organisations permet à vos administrateurs de créer, de modifier et de supprimer des organisations. De nombreuses tâches doivent être effectuées à la fois dans votre propre système et dans votre locataire Auth0. Ce portail devra probablement faire partie de votre propre système afin d’avoir accès à vos magasins de données et à votre configuration. Toutefois, Auth0 fournit l’Auth0 Management API afin que vous puissiez répercuter les modifications dans votre locataire Auth0 en même temps que vous les apportez dans votre propre système.Il existe deux grandes approches pour créer une nouvelle organisation. Celle que vous choisissez dépend en grande partie du délai de déploiement que vous êtes prêt à accepter pour une nouvelle organisation.
Mises à jour en direct de votre locataire Auth0 : Si vous souhaitez pouvoir créer de nouvelles organisations en temps réel, vous voudrez probablement apporter les modifications directement à votre locataire Auth0 à l’aide de l’Auth0 Management API. Cela permet d’appliquer les changements en temps réel et de faire en sorte que l’ajout d’une nouvelle organisation prenne effet immédiatement.
Les mises à jour en direct s’accompagnent de certains éléments à prendre en compte. Certaines opérations doivent être effectuées en série afin d’éviter des problèmes. L’activation d’applications sur une connexion et l’ajout d’URL de rappel à une application en sont deux exemples. Toute opération dans la Management API où vous devez récupérer une liste complète et soumettre de nouveau la liste entière avec une nouvelle valeur ajoutée doit être effectuée en série afin d’éviter que deux opérations parallèles n’écrasent l’une des valeurs.
Modifier le dépôt et redéployer : Si vous utilisez la Deploy CLI (ou une CLI personnalisée) dans le cadre de votre pipeline CI/CD, vous préférerez peut-être pousser vos modifications directement vers votre dépôt, puis déclencher plutôt un nouveau déploiement. Cela peut prendre un peu plus de temps, mais présente des avantages liés à l’historique des versions et à la possibilité d’annuler une modification en redéployant la version précédente.
Vous pourriez vouloir utiliser un dépôt distinct uniquement pour les éléments dont les organisations ont besoin afin de ne pas avoir à redéployer d’autres composants communs et de réduire le risque d’erreur.
Bien que les connexions Auth0 facilitent la configuration des IdP, l’intégration des IdP des organisations clientes peut prendre beaucoup de temps, surtout si vous vendez régulièrement à de nouvelles organisations clientes ou si les organisations existantes ont des exigences d’IdP qui changent. Par conséquent, bon nombre de nos clients ont jugé utile de créer un portail libre-service pour les administrateurs des organisations de leurs clients afin qu’ils puissent configurer leurs propres IdP. Cela réduit la charge de travail de votre service des TI. La Auth0 Management API fournit toutes les fonctionnalités de gestion des connexions nécessaires pour y parvenir.
Nous mettons à votre disposition un guide de planification au format PDF que vous pouvez télécharger et consulter pour obtenir des précisions sur les stratégies que nous recommandons.Guide de planification du projet B2B IAM
Architecture à organisations multiples (multitenance)
De nombreuses plateformes B2B mettent en place une certaine forme d’isolation et/ou d’image de marque pour l’organisation de leurs clients, ce qui peut complexifier tout système de gestion des identités et des accès (IAM). Si cela s’applique à votre situation, nous vous recommandons de prendre le temps de consulter nos conseils et nos bonnes pratiques pour ce type d’environnement.Architecture à organisations multiples
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme