Meilleures pratiques en matière de sécurité pour les connexions à des bases de données personnalisées
Accédez au stockage des identités héritées via une API personnalisée
Nous recommandons que vous implémentiez une API pour accorder des privilèges limités au stockage des identités héritées, plutôt que de simplement ouvrir un accès général via Internet.
Il est vivement recommandé de protéger le stockage des identités héritées contre un accès général. Exposer directement une base de données (d’identités héritées) sur Internet peut entraîner de graves problèmes : les interfaces de bases de données, telles que celles pour SQL, offrent des fonctionnalités très étendues, ce qui contrevient au principe du moindre privilège en matière de sécurité.
Une alternative consiste à créer une API personnalisée et simple, protégée par un jeton d’accès, que chaque script d’action peut invoquer. Cette API servirait d’interface avec le magasin d’identités héritées. Le flux d’octroi des identifiants client peut être utilisé pour obtenir un jeton d’accès au sein d’un script. Ce jeton peut ensuite être mis en cache pour être réutilisé, au sein de l’objet global optimisant ainsi les performances. L’API peut ainsi offrir un ensemble limité de points de terminaison protégés, dédiés exclusivement aux fonctionnalités de gestion des identités héritées nécessaires (par exemple, lire les informations d’un utilisateur, modifier un mot de passe).
Par défaut, Auth0 vous donnera un jeton pour toute API si votre authentification est réussie et inclut l'audience adéquate. Le fait de restreindre l’accès à l’API du magasin des identités héritées en limitant l’attribution de jetons d’accès au moyen d’une règle empêchera toute utilisation non autorisée et atténuera un certain nombre de scénarios de vecteurs d’attaque tels que lorsque la redirection vers /authorize est interceptée et l'audience vers l’API est ajoutée.
Restreindre l’accès à l’API par le biais d’une règle atténuera les scénarios de vecteur d’attaque, tels que ceux où la redirection vers /authorize est interceptée et où l'audience de l’API est ajoutée, et garantira que seul l’accès utilisant des identifiants client spécifiques est accordé.
Accès au stockage des identités héritées
Que vous gériez l’accès au stockage des identités héritées via une API personnalisée ou à l’aide de l’interface native fournie, il est essentiel de restreindre l’accès à la liste des adresses IP associées à votre locataire Auth0. Pour afficher la liste des adresses IP, consultez Adresses IP Auth0 pour les listes autorisées. L’ajout d’URL à la liste blanche restreint l’accès au magasin des identités héritées et assure que seuls les scripts d’actions de bases de données personnalisées, définis dans Auth0 sont autorisés à y accéder.
La liste verte des adresses IP d’Auth0 est partagée entre tous les locataires Auth0 définis pour une région. N’utilisez jamais la liste d’autorisation comme seule méthode pour sécuriser l’accès à votre magasin d’identités hérité : vous risqueriez d’ouvrir des failles de sécurité potentielles permettant un accès non autorisé à vos utilisateurs.