Nuage privé sur AWS
L’option de déploiement Nuage privé sur AWS est une instance dédiée et gérée de la plateforme d’identité Auth0 qui s’exécute sur les Services Web Amazon. Il fournit l’isolement, des performances plus élevées, des instances de développement séparées, divers modules complémentaires, et plus encore.
Différences opérationnelles
Le tableau ci-dessous compare chaque option de déploiement pour le Nuage privé sur AWS.
| Fonctionnalité | Nuage public | Nuage privé Basic sur AWS * | Nuage privé Performance sur AWS * |
|---|---|---|---|
| Locataire | Multi-locataires | Locataire unique | Locataire unique |
| Requêtes par seconde (multiples de 100 RPS) | 100 RPS (1x) | 100 RPS (1x) | 500* RPS (5x) 1 500* RPS (15x) 3 000* RPS (30x) 3 000* RPS (30x en rafale) 6,000* RPS (60x) 6 000* RPS (60x en rafale) 10 000* RPS (100x) |
| Entente sur les niveaux de service (SLA) | 99,99 % | 99,99 % | 99,99 % |
| Résidence des données | Régions de nuage public uniquement | Oui | Oui |
| Environnement de développement | Non | Non | 1 |
*La capacité RPS est fournie à titre indicatif. Les performances réelles peuvent varier en fonction des types et du volume de transactions traitées dans l’environnement de nuage privé du client. Les transactions de test utilisées pour établir les références de capacité indiquées peuvent ne pas correspondre aux modèles de transaction et aux charges de travail propres à chaque client. À titre d’exemple, la capacité suivante est prise en charge lors de l’utilisation du flux de mot de passe du propriétaire de ressource :
| Niveau | RPS |
|---|---|
| Basic | 55 |
| Performance 5x | 180 |
| Performance 15x | 600 |
| Performance 30x | 1 400 |
| Performance 30x En rafale | 1 400 |
| Performance 60x | 3 000 |
| Performance 60x En rafale | 3 000 |
| Performance 100x | 5 000 |
Résidence des données
Avec Nuage privé sur AWS, vous choisissez la région où vos données sont stockées. Auth0 peut fournir une liste des régions disponibles qui utilisent plusieurs azones de disponibilité pour le déploiement. Une liste des régions actuelles où nous offrons des déploiements de nuage privé peut être trouvée dans nos Renseignements sur le sous-processeur publiés sur notre pageConfiance et conformité. Dans la plupart des cas, Okta déploie les sauvegardes dans la même région AWS sélectionnée.
Disponibilité maximale
Les instances du Nuage privé sur AWS ont un accord de niveau de service (SLA) de 99,99 %. Les engagements de disponibilité ne s’appliquent pas aux essais gratuits, aux environnements sandbox et bêta et aux autres environnements de préproduction.
Applications à haute demande
Si votre application nécessite un nombre significativement élevé de requêtes par seconde (RPS), vous voudrez peut-être également envisager le Nuage privé sur AWS. Voir les politiques de limite anti-attaques pour plus d'informations sur les limites anti-attaques. Les déploiements Nuage privé sur AWS ont une limite anti-attaques de 100 RPS les options Privée de Base, et des limites anti-attaques améliorées de 500 RPS, 1 500 RPS, 3 000 RPS, et 6 000 RPS pour les options Performance Privée.
Environnements de développement supplémentaires
Les déploiements Nuage privé sur AWS Performance incluent une instance entièrement isolée et mise à jour indépendamment pour le développement et les tests. Vous pouvez ajouter des environnements de pré-production supplémentaires pour répondre aux besoins de votre entreprise.
Les demandes garanties par seconde (RPS) et les accords de niveau de service (SLA) ne s’appliquent pas aux environnements de non-production.
Limites
Emplacements des centres de données
Le Nuage privé sur AWS est entièrement déployable dans les régions suivantes :
Australie
Bahreïn
Brésil
Canada
France
Allemagne
Hong Kong
Inde
Indonésie
Irlande
Italie
Japon
Mexique
Singapour
Afrique du Sud
Corée du Sud
Suède
Émirats arabes unis (EAU)
Royaume-Uni
États-Unis
Trafic en Rafales
Okta fournit des limites anti-attaques pour les organisations en fonction du trafic qu’elles s’attendent à avoir, et sous réserve du niveau RPS acheté. Si votre organisation rencontre un trafic plus élevé que prévu, cette utilisation imprévue pourrait avoir un impact sur les utilisateurs finaux. L’offre Nuage privé est spécifiquement conçue pour gérer des augmentations progressives du taux de transactions (par exemple, une augmentation de 100 RPS à 1000 RPS sur une période de 10 minutes) sans affecter la qualité du service. Toutefois, des pics soudains et graves (p. p.ex., une augmentation de 100 RPS à 1000 RPS en quelques secondes) pourraient entraîner une instabilité du service et une latence accrue pendant que la solution s’adapte pour gérer la nouvelle charge.
Intégration
Après avoir choisi Nuage privé sur AWS, un processus d’intégration et de déploiement sera suivi pour configurer votre environnement.
Exigences relatives à l’intégration du client
Lors de la signature du contrat, nous vous demanderons de fournir des renseignements clés concernant vos exigences d’intégration, que nous validerons ensuite.
Réunion de lancement
Une fois que nous aurons validé vos exigences d’intégration, nous organiserons une réunion de lancement avec vous pour commencer le processus de mise en œuvre. Nous recommandons fortement que cette réunion ait lieu au plus tard cinq (5) jours après la signature du contrat.
Mise en œuvre
Certaines personnalisations de la plateforme Auth0—Actions, custom webhooks (points d’appel web personnalisés) et custom database action scripts (scripts d’action de base de données personnalisés), par exemple—vous permettent d’établir des connexions sortantes entre la plateforme Auth0 et vos propres services. Avec Nuage privé sur AWS, vous pouvez établir une connectivité réseau entre votre déploiement Nuage privé et vos propres services sans exposer vos données à Internet.
À la fin de ce processus, vous êtes prêt pour le transfert de l’environnement et votre déploiement de Nuage privé sur AWS est prêt à être utilisé.
Réseautage sortant sécurisé
Certaines personnalisations de la plateforme Auth0—Actions, liens de rappel HTTP personnalisés et scripts d'action de base de données personnalisés, par exemple—vous permettent d’établir des connexions sortantes entre la plateforme Auth0 et vos propres services. Avec Nuage privé sur AWS, vous pouvez établir une connectivité réseau entre votre déploiement Nuage privé et vos propres services sans exposer vos données à Internet.
Le réseautage sortant sécurisé utilise AWS PrivateLink. Tout d’abord, vous partagez votre service via PrivateLink en établir un service de point de terminaison dans votre compte AWS. Le service sous-jacent peut être un service natif AWS ou un service exécuté dans un centre de données. Le service doit se trouver dans un VPC situé dans la même région AWS que votre déploiements nuage privé.
Ensuite, nous configurerons votre déploiement nuage privé pour rendre votre service de point de terminaison disponible. Une fois que vous avez fourni à Auth0 les informations de votre service de point de terminaison, nous intégrerons le service à votre déploiement et vous fournirons des informations sur la façon d’y accéder à partir de votre code de personnalisation.
Pour plus d’informations sur la configuration des services de point de terminaison avec PrivateLink, communiquez avec AWS. Pour coordonner l’intégration du service avec Auth0, envoyer une demande au Centre d’assistance.
Mises à jour
Les déploiements nuage privé sur AWS sont mis à jour automatiquement chaque semaine. Vous pouvez définir un jour et une heure spécifiques au cours de la semaine, si nécessaire.
Tests
Politique de gel des modifications
Pour être pris en considération pour l’approbation, la demande doit :
Si l’infrastructure doit être modifiée, le coût sera établi en fonction de vos besoins spécifiques.
Test de charge
Cette politique décrit les exigences nécessaires pour que Auth0 effectue des tests de charge pour les clients Nuage privé sur AWS qui soumettent une demande. Vous pouvez déposer une demande de test de charge via le Centre d’assistance. Dans le champ Problème, sélectionnez Nuage privé, incident de support.
Si vous avez acheté un environnement de test de charge dédié, il n’y a aucune limite à la fréquence des tests de charge que vous pouvez exécuter. Les environnements standard sont limités à deux (2) par année, compte tenu des procédures de test de charge appropriées.
Pour être pris en considération pour l'approbation, la demande doit :
Être soumise au moins deux (2) semaines avant la date de test souhaitée; dans de nombreux cas, Auth0 encourage un préavis d’au moins (1 mois pour permettre une revue approfondie et toutes les modifications nécessaires.
Obtenir l’approbation écrite avant toute réalisation de test.
Respecter les limites anti-attaques publiées.
Si l'infrastructure doit être modifiée, le coût sera établi en fonction de vos besoins spécifiques.
Considérations relatives à la capacité de test
Les problèmes signalés dans ces environnements seront moins prioritaires que les problèmes de production.
Vous devez commencer avec une charge faible et augmenter lentement jusqu’à ce que l’environnement ait atteint son maximum. Si vous avez besoin d’une charge plus importante que l’environnement ne peut supporter, la taille de l’environnement doit être augmentée.
Pour effectuer un test de sécurité, veuillez nous en informer à l’avance via le Auth0 Support Center (Centre d’assistance Auth0). Auth0 demande un préavis d’au moins une semaine (sept jours) avant la date de début prévue de votre test.
Si le test est limité à votre infrastructure (c’est-à-dire s’il n’y aura aucun test des services Auth0), vous n’avez pas besoin d’en informer Auth0.
Pour plus d’informations sur les tests de charge dans Nuage privé, voir Limites des demandes d’environnement (Nuage privé seulement).
Notifications de charges élevées
Pour les périodes de forte charge prévue, vous devez informer votre équipe de compte au plus tard 14 jours avant l’événement. La notification donne l’occasion de tester des scénarios de façon adéquate (si possible) et adapte le soutien réactif à l’événement.
Test de pénétration
Pour être pris en considération pour l’approbation, la demande doit :
Si le test est limité à votre infrastructure (c'est-à-dire s'il n'y aura aucun test des services Auth0), vous n'avez pas besoin d'en informer Auth0.
Auth0 est responsable de l’obtention et de le demande des certificats (au format *.auth0app.com) qu’il gère. Auth0 gère le processus de bout en bout et vous invitera à effectuer toute action requise.
Tests de basculement
Cette politique décrit les exigences nécessaires pour qu’Okta effectue des tests de basculement pour les clients Nuage privé sur la plate-forme AWS ou Nuage d’ID Client Azure (Auth0) avec le module complémentaire Basculement Geo requis. Vous pouvez déposer une demande de test de basculement via le Centre d’assistance. Dans le champ Problème, sélectionnez Nuage privé, incident de support.
Pour être pris en considération pour l'approbation, la demande doit :
Être déposé au moins deux (2) semaines avant la date et l’heure du test souhaité (en temps universel coordonné (UTC)). Dans de nombreux cas, Okta encourage un préavis d’au moins (1 mois pour permettre une revue approfondie et toutes les modifications nécessaires.
Ne dépasse pas la limite de (2) tests de basculement par année civile.
Obtenir l’approbation écrite avant toute réalisation de test.
Spécifier les fenêtres (en UTC) pour le basculement et la repli vers la région principale, étant entendu que ces deux fenêtres entraîneront un temps d’arrêt pouvant aller jusqu’à 15 minutes.
Point de contact désigné avec lequel Okta coordonnera toute la logistique des essais
Veuillez noter qu’Okta se réserve le droit de suggérer des fenêtres alternatives pour le basculement et le repli afin de correspondre à la disponibilité du personnel pour effectuer les tests demandés. En outre, toute interruption de service résultant des procédures de basculement ou de repli est exemptée de toute disposition du SLA.
Processus de renouvellement du certificat
Auth0 est responsable de l'obtention et de le demande des certificats (au format *.auth0app.com) qu’il gère. Auth0 gère le processus de bout en bout et vous invitera à effectuer toute action requise.
Le renouvellement des certificats émis par Auth0 pour les domaines personnalisés est géré par Auth0.
Le renouvellement des certificats gérés par le client pour les domaines personnalisés (au format *.<CustomerName>.com) relève de la responsabilité du client.
Rapports et suivi
Auth0 fournit des journaux accessibles via le Dashboard ou le point de terminaison d’exportation des journaux.
Soutien
Vous pouvez contacter l’équipe d’assistance Auth0 pour toute question ou préoccupation que vous pourriez avoir. Pour accélérer votre demande, veuillez fournir autant d’informations que possible dans le Ticket d’assistance que vous ouvrez.