インターネット経由で広くアクセスを開放するのではなく、レガシーIDストレージに対して最小権限でアクセスできる API を実装することをお勧めします。レガシーIDストレージを広範なアクセスから保護することは、推奨されるベストプラクティスです。たとえば、 (レガシーID) データベースをインターネットに直接公開すると、深刻な問題を招くおそれがあります。SQL などのデータベースインターフェイスは機能面で非常に広範な操作を許すため、セキュリティ上の最小権限の原則に反します。代わりに、各アクションスクリプトから呼び出せる、で保護されたシンプルな (カスタム) API を作成します。これがレガシーIDストアへのインターフェイスとして機能します。次に、クライアントクレデンシャルグラントフローを使用してスクリプト内からアクセストークンを取得し、パフォーマンス向上のために global オブジェクト内にキャッシュして再利用できます。この API では、必要なレガシー (ID) 管理機能のみを実行する、保護された限定数のエンドポイント (例: ユーザーの読み取り、パスワードの変更) を提供できます。デフォルトでは、認証に成功し、適切な を含めれば、Auth0 は任意の API に対するトークンを発行します。ルールを使用してアクセストークンの払い出しを制限し、レガシーIDストア API へのアクセスを制限することで、不正利用を防止し、/authorize へのリダイレクトが傍受されて API のオーディエンスが追加されるような攻撃ベクトルのシナリオを緩和できます。
ルールによって API へのアクセスを制限すると、/authorize へのリダイレクトが傍受されて API のオーディエンスが追加されるような攻撃ベクトルのシナリオを緩和でき、特定のクライアントクレデンシャルを使用したアクセスだけが許可されることを保証できます。
カスタム API 経由でレガシーIDストレージへのアクセスを管理する場合も、提供されているネイティブインターフェースを使用する場合も、アクセスは Auth0 テナントに関連付けられた IP アドレスの一覧からのみに制限する必要があります。IP アドレスの一覧を確認するには、Auth0 IP Addresses for AllowLists を参照してください。AllowList に URL を追加すると、レガシーIDストアへのアクセスが制限され、Auth0 で定義されたカスタムデータベースアクションスクリプトのみが許可されます。
Auth0 の IP アドレス AllowList は、同一リージョン内のすべての Auth0 テナントで共有されます。レガシーIDストアへのアクセス保護に AllowList だけを使用しないでください。そうすると、ユーザーに対する不正アクセスを許すおそれのあるセキュリティ脆弱性が生じる可能性があります。
認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム