Passer au contenu principal
Cette section présente une liste de configurations à vérifier dans votre locataire. Ces vérifications doivent être effectuées périodiquement pendant le développement et suffisamment avant le lancement pour vous laisser le temps de corriger tout problème.

Vérification générale du locataire

Vérification de la préparation du locataire

Vérifiez que vous avez configuré des environnements de locataire qui prennent en charge votre cycle de vie de développement logiciel (SDLC) et que les locataires de développement, de test et de production sont clairement séparés, afin que le travail de développement en cours après le lancement n’ait pas d’incidence négative sur votre environnement de production. Chaque entreprise a son propre cycle de vie de développement logiciel (SDLC), et vous voudrez harmoniser votre processus de développement avec cette stratégie. Par exemple, vous devez pouvoir tester votre intégration avec Auth0 de la même façon que vous testez les applications elles-mêmes. Il est donc important de structurer les locataires Auth0 de manière à prendre en charge votre SDLC. Nos clients suivent généralement un modèle cohérent en ce qui concerne les pratiques exemplaires liées à l’organisation des locataires :
EnvironnementExemple de nom de locataireDescription
Développementcompany-devUn environnement partagé où s’effectue la majeure partie du travail de développement
AQ/Testcompany-qa ou company-uatUn environnement destiné aux tests formels des modifications apportées
Productioncompany-prodLe locataire de production
Dans certains cas, vous pouvez aussi vouloir créer un ou plusieurs environnements de bac à sable (p. ex., company-sandbox1, company-sandbox2) afin de tester des changements sans compromettre votre environnement de développement. C’est aussi un bon endroit pour tester des scripts de déploiement et autres éléments du même genre.

Pratique exemplaire

Vous pouvez également profiter de nos listes de vérification de mise en œuvre, que vous pouvez télécharger et personnaliser selon les besoins de votre projet de mise en œuvre.

Vérification de l’association des locataires

Pour vous assurer que vos locataires sont tous associés à votre entente contractuelle avec Auth0 et qu’ils disposent des mêmes fonctionnalités, veillez à ce que tous vos locataires soient associés au compte de votre entreprise. Si certains développeurs souhaitent créer leurs propres environnements de test, veillez à ce qu’ils soient eux aussi associés à votre compte afin qu’ils disposent des mêmes autorisations. Pour ce faire, vous devez communiquer avec votre représentant Auth0 ou le Centre de soutien Auth0.

Spécifier le locataire de production

Pour qu’Auth0 reconnaisse votre locataire de production, assurez-vous de configurer votre locataire de production avec l’indicateur « production » dans le Centre de soutien.

Vérification de production du locataire

Auth0 fournit un outil de vérification de production pour détecter de nombreuses erreurs courantes. Vous devez vous assurer qu’il a été exécuté et que tous les problèmes relevés dans le rapport ont été corrigés avant la mise en service. De plus, vous devriez consulter les recommandations sur les configurations selon les pratiques exemplaires, qui ne peuvent pas faire l’objet d’une vérification automatisée.

Validation des paramètres du locataire

Paramètres du locataire

Assurez-vous de suivre les recommandations d’Auth0 relatives aux paramètres du locataire lorsque vous configurez votre image de marque, votre courriel d’assistance et votre URL d’assistance, afin que les utilisateurs sachent comment obtenir de l’aide en cas de problème. Vérifiez également vos paramètres de délai d’expiration de la session , ainsi que la liste des administrateurs de l’Auth0 Dashboard ayant accès à votre locataire de production.

Personnalisation de la page d’erreur

Si des problèmes surviennent pendant le flux interactif de l’utilisateur (par ex. lors de l’inscription ou de la connexion), Auth0 fournit des messages d’erreur qui indiquent la nature du problème en coulisses. Les messages par défaut sont toutefois plutôt cryptiques, surtout pour l’utilisateur final, puisqu’il lui manquera probablement le contexte que vous seul pouvez fournir. Nous vous recommandons donc de personnaliser vos pages d’erreur afin de fournir directement à vos utilisateurs les renseignements contextuels manquants. De plus, la personnalisation de vos pages d’erreur vous permet d’afficher votre image de marque, et non celle d’Auth0, ainsi que de fournir à vos utilisateurs des renseignements utiles sur ce qu’ils doivent faire ensuite. Ces renseignements peuvent inclure un lien vers une FAQ ou des indications sur la façon de communiquer avec l’équipe de soutien ou le centre d’assistance de votre entreprise.

Bonne pratique

Par défaut, il n’existe pas d’interface utilisateur pour personnaliser les pages d’erreur fournies par Auth0, mais vous pouvez utiliser le point de terminaison Tenant Settings du Management API pour les configurer. Sinon, si vous pouvez créer et héberger votre propre page d’erreur, vous pouvez faire en sorte qu’Auth0 y redirige les utilisateurs au lieu d’utiliser l’option hébergée par Auth0.

Désactiver les indicateurs de fonctionnalité hérités

Si vous avez un ancien locataire, il se peut que divers indicateurs de fonctionnalité hérités soient activés dans votre onglet avancé des paramètres du locataire. Si des boutons bascule sont activés dans la section « Migrations » de cet onglet, vous devriez vérifier votre utilisation et planifier la migration afin de ne plus utiliser la fonctionnalité héritée.

Extension d’administration déléguée

Lorsque vous vérifiez la liste des utilisateurs ayant accès à votre locataire de production, n’oubliez pas de vérifier aussi tous les utilisateurs indiqués dans l’extension d’administration déléguée.

Configuration d’un domaine personnalisé

Par défaut, l’URL associée à votre locataire comprend son nom et parfois un identifiant propre à une région. Par exemple, les locataires hébergés aux États-Unis ont une URL semblable à https://example.auth0.com, tandis que ceux hébergés en Europe ont une URL du type https://example.eu.auth0.com. Un domaine personnalisé vous permet d’offrir à vos utilisateurs une expérience uniforme en utilisant un nom cohérent avec l’image de marque de votre organisation.
Un seul nom de domaine personnalisé peut être appliqué par locataire Auth0. Par conséquent, si vous devez absolument avoir une image de marque distincte pour chaque nom de domaine, vous aurez besoin d’une architecture dans laquelle plusieurs locataires Auth0 sont déployés en production.
De plus, la fonctionnalité vous offre un contrôle total sur le processus de gestion des certificats. Par défaut, Auth0 fournit des certificats SSL standard, mais si vous configurez un domaine personnalisé, vous pouvez utiliser des certificats SSL à validation étendue (EV) ou l’équivalent afin d’afficher les repères visuels du navigateur qui rassurent davantage vos visiteurs. En général, nous constatons que les clients obtiennent les meilleurs résultats lorsqu’ils utilisent un domaine centralisé pour l’authentification — c’est particulièrement vrai si l’entreprise offre plusieurs produits ou marques de service. En utilisant un domaine centralisé, vous pouvez offrir aux utilisateurs finaux une expérience cohérente tout en réduisant le besoin de maintenir plusieurs locataires de production dans Auth0.

Vérification des paramètres de l’application et des connexions

Tous les paramètres de vos connexions devraient être vérifiés par rapport aux pratiques exemplaires de configuration des connexions. De plus, vous devriez vérifier que toutes les connexions sont appropriées et qu’aucune connexion expérimentale ne subsiste dans votre locataire de production, car cela pourrait permettre un accès non autorisé. Si vous utilisez des connexions , il est recommandé de les configurer pour signer les requêtes SAML.

Vérification de la personnalisation des pages

Si vous utilisez la page d’Auth0, la page de Réinitialisation du mot de passe, ou Guardian , vous devriez vous assurer d’avoir suffisamment personnalisé les pages affichées à l’utilisateur final.

Page de Universal Login

Universal Login est la méthode recommandée pour authentifier les utilisateurs, et elle repose sur l’utilisation de la page Login. Vous pouvez personnaliser la page Login pour répondre aux exigences d’image de marque de votre organisation.

Bonne pratique

Si vous choisissez de personnaliser le script de la page Universal Login, nous vous recommandons fortement d’utiliser un système de contrôle de version. Pour ce faire, vous devriez déployer le script dans votre locataire Auth0 à l’aide de l’automatisation du déploiement ou de l’une des autres stratégies.

Page de réinitialisation du mot de passe

La page Réinitialisation du mot de passe est utilisée chaque fois qu’un utilisateur utilise la fonctionnalité de changement de mot de passe et, comme pour la page de connexion, vous pouvez la personnaliser pour qu’elle reflète les exigences particulières de l’image de marque de votre organisation.

Guardian

Les pages d’authentification multifactorielle peuvent être personnalisées en ajustant les options d’image de marque d’Universal Login Settings. Si vous avez besoin d’une personnalisation plus poussée, vous pouvez également personnaliser l’intégralité du contenu HTML afin de répondre aux exigences particulières d’expérience utilisateur de votre organisation.

Vérification de l’autorisation

Si vous utilisez la fonctionnalité d’autorisation d’Auth0, veillez à vérifier attentivement tous les privilèges accordés afin de vous assurer que les autorisations sont adaptées à votre environnement de production.

Vérification de la configuration de l’API

Expiration du jeton d’accès

Vérifiez de nouveau les paramètres d’expiration du jeton d’accès de l’API pour vous assurer qu’ils conviennent à chaque API de votre environnement de production.

Accès hors ligne à l’API

Si votre application ne demande pas de , cette option doit être désactivée.

Algorithme de signature du jeton d’accès

Il est recommandé de régler l’algorithme de signature du jeton d’accès de l’API sur RS256 plutôt que sur HS256 afin de réduire au minimum l’exposition de la clé de signature.

Validation des jetons d’accès de l’API

Si vous avez des API personnalisées, assurez-vous qu’elles valident correctement les jetons d’accès qu’elles reçoivent avant d’utiliser les informations qu’ils contiennent.

Scopes d’API

Si vous avez des applications qui effectuent des appels de machine à machine vers l’une de vos API, vous devriez vérifier les scopes définis pour l’API afin de vous assurer qu’ils conviennent tous à votre environnement de production. Pour en savoir plus, consultez la documentation sur le flux d’identifiants de l’application.

Modèles de courriel personnalisés

Auth0 utilise abondamment le courriel, à la fois pour envoyer des notifications aux utilisateurs et pour assurer les fonctionnalités nécessaires à une gestion sécurisée des identités (par exemple, la vérification du courriel, la récupération de compte et les protections contre les attaques par force brute). Auth0 fournit plusieurs modèles à cette fin.
Avant de personnaliser les modèles de courriel, veuillez configurer votre Fournisseur de courriel.
Par défaut, les modèles de courriel comprennent un texte standard et l’image de marque d’Auth0. Toutefois, vous pouvez configurer presque tous les aspects de ces modèles pour qu’ils reflètent la formulation et l’expérience utilisateur que vous souhaitez offrir, et modifier des éléments comme la langue de préférence, les options d’accessibilité, etc. Les modèles de courriel se personnalisent à l’aide de la syntaxe Liquid. Si vous souhaitez personnaliser vos modèles en fonction des préférences des utilisateurs, vous aurez également accès aux métadonnées figurant dans les profils des utilisateurs, ainsi qu’aux métadonnées propres à l’application.

Protection contre les attaques configurée

Les systèmes d’authentification sont essentiels, car ils empêchent les d’accéder aux applications et aux données des utilisateurs auxquelles ils ne devraient pas avoir accès. Nous voulons placer autant d’obstacles que possible entre ces acteurs malveillants et l’accès à nos systèmes. L’un des moyens les plus simples d’y parvenir consiste à vous assurer que votre protection contre les attaques dans Auth0 est correctement configurée. Prenez donc un moment pour consulter les recommandations à ce sujet et vérifier qu’elle fonctionne correctement dans votre environnement.

Bonne pratique

La détection des anomalies est gérée en arrière-plan par Auth0 et constitue une excellente fonctionnalité de sécurité pour votre produit. Si vous comptez l’utiliser, assurez-vous d’avoir configuré votre fournisseur de courriel et vos modèles de courriel avant d’activer l’envoi de courriels à vos utilisateurs.

Guide de planification de projet

Nous mettons à votre disposition un guide de planification au format PDF que vous pouvez télécharger et consulter pour en savoir plus sur les stratégies que nous recommandons. Guide de planification de projet IAM B2C