Comment rendre opérationnels vos environnements de locataire Auth0.
La mise en œuvre opérationnelle exige de configurer ou de mettre en place l’infrastructure nécessaire pour assurer une exploitation évolutive, mesurable et quantifiable, essentielle à la continuité des activités. Dans Auth0, cela comprend la configuration des services de soutien (comme les fournisseurs de courriel), la surveillance des services liés à votre déploiement, la détection des situations anormales et la préparation d’un rétablissement rapide et sans heurts lorsqu’un problème survient dans un environnement de production.L’adoption de pratiques opérationnelles efficaces est un investissement dont les clients les plus performants constatent les bénéfices, et il y a plusieurs éléments à prendre en considération lorsque vous examinez votre flux de travail :
Que devriez-vous faire pour détecter les défaillances de manière proactive ?
Comment pouvez-vous obtenir des données sur l’état opérationnel d’Auth0 ?
Que devriez-vous faire au sujet des bulletins de sécurité d’Auth0 liés au service Auth0 ?
Auth0 fournit-il des renseignements sur les changements à venir du service Auth0 ?
Comment pouvez-vous vérifier s’il y a des avis importants d’Auth0 ?
Que devriez-vous faire des données de journalisation d’Auth0 afin de pouvoir les analyser et les conserver plus longtemps que la période limitée de conservation des données d’Auth0 ?
Comment pouvez-vous analyser les journaux Auth0 pour déterminer si les charges de pointe dans votre application déclenchent des limites de débit ou d’autres erreurs ?
Quels services de courriel devriez-vous utiliser pour prendre en charge des volumes de production de messages envoyés aux utilisateurs ? Puis-je utiliser le fournisseur de courriel prêt à l’emploi d’Auth0 dans mon environnement de production ?
Devez-vous configurer votre pare-feu, et quels ports devrez-vous ouvrir pour les services internes qui doivent recevoir des communications d’Auth0 (comme les bases de données personnalisées, les services Web et les serveurs de courriel) ?
Auth0 prend en charge des fonctionnalités de surveillance du fonctionnement du service Auth0, tout en fournissant des renseignements sur l’état du service Auth0. De plus, Auth0 met à disposition des bulletins liés à la sécurité ainsi que des renseignements sur les changements à venir du service Auth0 au moyen de diverses notifications. Les services de journalisation d’Auth0 offrent également de nombreuses fonctionnalités pour suivre et repérer les anomalies opérationnelles, y compris les restrictions attribuables à la limitation du débit ou à une charge excessive.Par défaut, Auth0 fournit des services d’envoi de courriel pour vous aider à accélérer votre intégration. Toutefois, ces services ne sont pas conçus pour une utilisation à grande échelle dans des environnements de production et n’offrent aucun niveau de service précis ni aucune garantie en ce qui concerne la livraison des courriels. La pratique exemplaire que nous recommandons, et que les clients suivent généralement, consiste à configurer votre propre fournisseur de services de courriel.Il se peut également que vous deviez apporter des modifications à la configuration de l’infrastructure afin de prendre en charge l’intégration avec Auth0 et l’utilisation des fonctionnalités d’extensibilité d’Auth0. Par exemple, si vous devez fournir des rappels à votre infrastructure interne ou externe (p. ex., si vous devez effectuer des appels d’API externes dans Actions, Rules ou Hooks, ou au moyen de scripts de base de données personnalisés si vous devez tirer parti d’un système hérité de stockage des identités), vous devrez peut-être configurer les paramètres de votre pare-feu.
Le tableau de bord d’état d’Auth0, ainsi que le tableau de bord de disponibilité d’Auth0, indiquent l’état actuel et passé du service Auth0 dans un format facile à comprendre. Si des alertes de surveillance sont déclenchées, votre équipe des opérations devrait d’abord consulter le tableau de bord d’état pour vérifier s’il y a une panne en cours. La page d’état du cloud public permet aussi de s’abonner aux notifications de panne, et nous vous recommandons également de vérifier l’état de tout service externe tiers dont vous dépendez, comme les fournisseurs sociaux. Avoir cette information à portée de main peut aider à éliminer rapidement certaines causes possibles lors du dépannage d’un problème et devrait figurer en tête d’une liste de vérification de dépannage, tant pour les développeurs que pour le personnel du service d’assistance.
Les renseignements sur la façon de vérifier l’état d’Auth0 ainsi que celui de tout service dont il dépend (comme les fournisseurs sociaux) devraient figurer en tête d’une liste de vérification de dépannage, tant pour les développeurs que pour le personnel du service d’assistance, et nous vous recommandons de vous abonner à la page d’état d’Auth0 afin de recevoir des notifications lors de toute mise à jour de l’état.
En cas de panne du service de cloud public, Auth0 effectue une analyse des causes profondes (RCA) et publie les résultats sur la page d’état d’Auth0. Auth0 mène une enquête approfondie après une panne — y compris la détermination de la cause profonde, des facteurs contributifs et des moyens d’éviter que le problème se reproduise — et, par conséquent, la publication d’un document RCA peut prendre quelques semaines.
Auth0 envoie des courriels aux utilisateurs lors d’événements tels que le message de bienvenue à l’inscription, la validation de l’adresse courriel, la détection d’un mot de passe compromis et la réinitialisation du mot de passe. Vous pouvez personnaliser les modèles de courriel pour chaque type d’événement, et il est aussi possible de personnaliser de façon avancée le traitement des courriels. Auth0 fournit un fournisseur de courriel de test à capacité limitée pour des tests de base, mais vous devez configurer votre propre fournisseur de courriel pour une utilisation en production, et la personnalisation des modèles de courriel ne fonctionnera pas tant que vous n’aurez pas configuré votre propre fournisseur.
Le fournisseur de courriel par défaut d’Auth0 ne prend pas en charge l’envoi de courriels à des volumes de production ni la personnalisation des modèles de courriel. Vous devriez donc configurer votre propre fournisseur de courriel avant de passer en production.
Si du code personnalisé exécuté dans Auth0 (par exemple dans une Action, Rule, Hook ou des scripts de base de données personnalisés) doit appeler un service de votre réseau, ou si vous configurez un fournisseur SMTP sur site dans Auth0, il se peut que vous deviez configurer votre pare-feu pour autoriser le trafic entrant provenant d’Auth0. Les adresses IP à autoriser dans le pare-feu varient selon la région et sont indiquées dans les écrans de configuration de Rules, Hooks, des scripts de base de données personnalisés et du fournisseur de courriel dans votre .
Auth0 offre de vastes capacités de journalisation des événements, ainsi que d’analyse des journaux pour repérer les anomalies dans les événements (consultez la documentation sur les journaux pour en savoir plus). La période de conservation standard des journaux Auth0 est déterminée par le niveau d’abonnement : la plus courte est de 2 jours et la plus longue n’est que de 30 jours. En tirant parti de la prise en charge d’Auth0 pour l’intégration à des services de journalisation externes, vous pourrez conserver les journaux au-delà de cette période et aussi agréger les journaux à l’échelle de votre organisation.
Vous devriez utiliser l’une des solutions de diffusion de journaux pour envoyer les données de journalisation à un service externe d’analyse des journaux. Cela vous permettra de conserver les données plus longtemps et de profiter d’analyses avancées sur ces données.
Vous devriez vérifier la période de conservation des données de journalisation associée à votre niveau d’abonnement, puis mettre en place une extension d’exportation des données de journalisation pour les envoyer à un service externe d’analyse des journaux. Vous pouvez utiliser l’une de nos solutions de diffusion de journaux dans Auth0 Marketplace.Les équipes de développement peuvent utiliser les fichiers journaux pour le dépannage et pour détecter des erreurs intermittentes qui peuvent être difficiles à repérer au moyen des tests d’assurance qualité. Les équipes de sécurité voudront probablement disposer des données de journalisation si des données médico-légales deviennent un jour nécessaires. Exporter les fichiers journaux vers des services offrant des analyses complètes peut vous aider à repérer des tendances, comme les tendances d’utilisation et les déclencheurs de la .
Auth0 fournit un code d’erreur unique pour les erreurs signalées lorsque la limite de débit est dépassée. Vous devriez configurer une analyse automatique des journaux afin de détecter les erreurs liées aux limites de débit, pour pouvoir traiter de manière proactive l’activité qui atteint ces limites avant qu’elle ne cause trop de problèmes à vos utilisateurs. Auth0 publie également des codes d’erreur pour d’autres types d’erreurs, et il est aussi utile d’analyser les journaux pour repérer les erreurs d’authentification ainsi que les erreurs provenant des appels à la Management API d’Auth0 (les codes d’erreur de la Management API sont affichés sous chaque appel dans le Management API Explorer).
Le fait d’appeler la Management API pour récupérer les données du profil utilisateur dans une Rule est une cause fréquente d’erreurs liées aux limites de débit, car ces appels d’API peuvent s’exécuter à chaque connexion ainsi que lors des vérifications périodiques de session.
Vous devriez mettre en place des mécanismes de surveillance des implémentations Auth0 afin que votre équipe de support ou d’exploitation reçoive rapidement l’information nécessaire pour gérer de façon proactive les interruptions de service. Auth0 fournit des points de terminaison de surveillance qui peuvent être intégrés à votre infrastructure de surveillance. Ces points de terminaison sont conçus pour fournir une réponse adaptée aux services de surveillance. Il est important de noter qu’ils ne fournissent que des données sur Auth0. Pour une surveillance complète de bout en bout, essentielle pour vérifier si les utilisateurs peuvent se connecter, nous vous recommandons de mettre en place une surveillance par transactions synthétiques. Vous obtiendrez ainsi une surveillance plus granulaire et pourrez détecter les interruptions non liées à Auth0 ainsi que les dégradations de performance, afin de réagir de manière plus proactive.
Vous devriez prévoir l’envoi de transactions synthétiques de connexion afin de faciliter la surveillance de bout en bout de l’authentification. Vous pouvez le faire à l’aide d’une application simple qui utilise le Resource Owner Password Grant en combinaison avec un utilisateur de test sans privilèges. N’oubliez pas non plus les politiques de limites de débit d’Auth0.
Auth0 envoie plusieurs types de notifications que vous devriez surveiller, puisqu’elles peuvent contenir des renseignements importants susceptibles d’avoir une incidence sur vos locataires et votre projet.
Les notifications de sécurité proactives et les autres annonces opérationnelles sont envoyées par Auth0 aux administrateurs du tableau de bord. Vous devriez vous assurer que les personnes qui doivent recevoir ces messages sont administrateurs du tableau de bord.
De temps à autre, Auth0 peut envoyer une annonce importante liée à votre locataire. Ces annonces concernant votre service seront envoyées dans votre Auth0 Dashboard et, selon leur gravité, par courriel aux administrateurs enregistrés de l’Auth0 Dashboard. Vous devriez prendre l’habitude de vous connecter régulièrement à l’Auth0 Dashboard et de vérifier l’icône en forme de cloche en haut de la page pour tout avis important. De plus, vous devriez consulter sans tarder les courriels d’Auth0, car ils peuvent contenir des renseignements importants sur des changements ou des mesures que vous devez prendre.
Auth0 effectue régulièrement divers tests de sécurité et, si des problèmes sont relevés, avise de façon proactive les clients qui doivent apporter des modifications liées à la sécurité. Toutefois, en raison de la nature extensible du produit Auth0, il se peut qu’Auth0 ne soit pas en mesure d’identifier tous les clients concernés; vous devriez donc consulter régulièrement les bulletins de sécurité d’Auth0.
Il est recommandé de consulter périodiquement la page des bulletins de sécurité d’Auth0 et de prendre les mesures recommandées si vous êtes concerné par l’un de ces bulletins de sécurité.
Auth0 fournit des renseignements sur les changements apportés au service dans le journal des modifications d’Auth0. Vous devriez prendre l’habitude de consulter régulièrement les journaux des modifications d’Auth0 afin de rester au fait des changements. Les équipes d’assistance qui enquêtent sur un problème peuvent trouver utile de consulter le journal des modifications pour déterminer si des changements récents pourraient être en cause, surtout s’il s’agit de changements majeurs. Les équipes de développement voudront aussi consulter les journaux des modifications pour repérer de nouvelles fonctionnalités qui pourraient leur être utiles.
Nous fournissons un guide de planification en format PDF que vous pouvez télécharger et consulter pour en savoir plus sur les stratégies que nous recommandons.Guide de planification du projet IAM B2C
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme