認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォーム- 許可されたコールバック URL、CORS、ログアウト用に許可されたリダイレクト URL に含まれる URL を確認し、正確かつ完全で、
file:///やlocalhostを使用していないことを確認してください。ワイルドカードの使用は最小限に抑え、ワイルドカードに伴うセキュリティ上の影響を慎重に検討してください。 - 本番環境での利用と継続的な開発作業を分離するには、本番、テスト、開発用に別々のテナントを使用します。
- 当社の公開 API 群への送受信トラフィックを許可するよう、ネットワークを正しく構成してください (本番環境では dev/staging と構成が異なる場合があります) 。
- 設定に追加した証明書の有効期限を確認し、開発サイクル中にアップロードした証明書が、本番公開時または公開直後に期限切れにならないようにしてください。
- 時刻が正しく同期されるよう、リモートのでNTPが動作していることを確認してください。
- 利用できるログデータの保持期間はプランによって異なり、最長30日です。より長い期間ログデータを保持する必要がある場合は、当社のLog Streaming ソリューションのいずれかを設定してください。これにより、ログデータをより長期間保持できるようになります。必要なときにログデータを確実に利用できるよう、本番稼働前に必ず設定してください。
- 当社の API の利用が許容される制限内に収まるようにし、ヘッダーで返されるレート制限情報に応じて動的に調整でき、エラーも処理できるようにコードを実装してください。レート制限がアプリケーションの問題になる可能性がある場合は、トラフィックが通常の状態に戻るまで一時的に引き上げ可能かどうか、事前にご相談ください。また、必要以上に API endpoint を問い合わせなくて済むよう、ユーザーデータをキャッシュすることも検討してください。
- ソーシャル接続を使用する場合は、必ずプロバイダーからご自身の認証情報を取得し、そのソーシャル接続の設定に追加してください。
- カスタム DB 接続を使用している場合は、すべてのカスタム DB スクリプトが実装され、一意のユーザー ID を含む統一されたユーザープロファイルを返すようにしてください。
- メールを送信するには、まずカスタムメールプロバイダーを設定してください。
- Lock ウィジェットで弊社のCDNを使用する場合は、必ず特定のバージョンに固定してください。
- Actions、Rules、Hooks、およびカスタムデータベース接続スクリプトから呼び出される外部コンポーネントが、想定される負荷に対応できることを確認してください。
- すべてのの値を適切に保護してください。
- アプリケーションのグラントタイプを確認してください。必要なものが有効になっていることを確認し、特に不要なグラントタイプは無効にしてください。
- user_metadata を使用する場合は、それがユーザー自身で変更できるデータであることを確認してください (例: 「支払いステータス」のようなものではないこと) 。
- アタックプロテクションの設定を確認し、ブロックされたユーザーのブロック解除方法を確認するには、アタックプロテクションを参照してください。
- Tenant Settings の Admin セクションを確認し、適切な管理者のみがにアクセスできることを確認してください。詳細については、Dashboard アクセスの管理を参照してください。
- アプリケーションのエンドユーザーが使用する可能性のあるすべてのデバイスで、アプリケーションの主要なユースケースを一通りテストしていることを確認してください。ログイン、 (サポートされている場合) 、およびログを必ずテストしてください。また、ユーザーが複数のブラウザータブでアプリケーションを実行した場合にどうなるかも確認してください。
- Rules の一覧を確認し、適切な Rules のみが有効になっていることを確認してください。
- すべての呼び出しで適切にエラーを捕捉して処理できるよう、Rule のコード、カスタム DB スクリプト、およびログインページ内のカスタム コードを確認してください。また、return/callback 文が正しく実行されていることも確認してください。
- エラーが発生した際にエンドユーザーが適切なページに移動できるよう、Tenant Settings General セクションでアプリケーション名、サポート URL、サポート用メールアドレスを設定します。
- アプリケーションでManagement API トークンを動的に取得するようにしてください。
- Rules またはカスタム DB スクリプトから、
console.logステートメントはすべて削除してください。特に、メールアドレス、username、パスワードなど、ユーザーを特定できる情報が漏洩するおそれのあるものは削除してください。 - Rules や db-connections では、プレーンテキストのシークレットを使用しないでください。これらはインターフェースの設定セクションに追加してください。設定は暗号化され、必要なタイミングでのみ提供されます。
configurationオブジェクトをログに出力しないでください。
公開前のヒント
他の利用者からのフィードバックや経験に基づく、Auth0 サービスの利用開始時に役立つヒントの一覧
Auth0 サービスを初めて利用する際に、お客様から特に役立ったとの声が多いヒントを以下に示します。