Conseils préalables au lancement

Voici une liste des conseils que nos clients ont trouvé les plus utiles lorsqu’ils ont commencé à utiliser les services Auth0 :

• Vérifiez les URL dans vos rappels autorisés, CORS et URL de redirection autorisés pour la déconnexion afin de vous assurer qu’ils sont corrects, complets et qu’ils n’impliquent pas l’utilisation de file:/// ou localhost. Réduisez au minimum l’utilisation de caractères génériques et examinez attentivement les conséquences de ces caractères sur la sécurité.

• Séparez l’utilisation de la production du travail de développement en cours en utilisant des locataires distincts pour la production, le test et le développement.

• Configurez correctement votre réseau pour permettre le trafic vers et depuis nos API publiques (les environnements de production peuvent être configurés différemment des environnements de développement et intermédiaires).

• Vérifiez la date d’expiration des certificats que vous avez ajoutés à votre configuration afin de vous assurer que les certificats téléversés pendant les cycles de développement n’expireront pas pendant ou peu après le lancement.

• Assurez-vous que les IDP distants utilisent le protocole NTP afin que l’heure soit correctement synchronisée.

• Le nombre de jours de données d’enregistrement possibles varie selon le plan, avec une durée maximale de 30 jours. Si vous souhaitez conserver les données du journal pendant une période plus longue, vous devez configurer l’une de nos solutions de flux de journaux. Cela vous permettra de conserver les données d’enregistrement pendant de plus longues périodes. Veillez à configurer cette solution avant la mise en service afin d’être sûr de disposer des données de journal lorsque vous en avez besoin.

• Assurez-vous d’utiliser nos API dans les limites autorisées et d’avoir écrit votre code pour qu’il s’adapte dynamiquement aux informations sur les limites de débit renvoyées dans l’en-tête et qu’il gère les erreurs. Si vous pensez que les limites de débit peuvent être un problème pour votre application, discutez-en avec nous au préalable pour vérifier s’il est possible de les augmenter momentanément jusqu’à ce que le trafic revienne à la normale. Vous devriez envisager d’utiliser un cache de données utilisateur afin de ne pas avoir à interroger un point de terminaison de l’API plus que nécessaire.

• Si vous utilisez des connexions par réseau social, assurez-vous d’obtenir vos propres identifiants auprès du fournisseur et ajoutez-les à la configuration de la connexion par réseau social.

• Si vous utilisez des connexions par base de données personnalisées, assurez-vous que tous les scripts de base de données personnalisés sont mis en œuvre et qu’ils renvoient un profil utilisateur cohérent avec un identifiant d’utilisateur unique.

• Pour l’envoi de courriels, assurez-vous d’abord de configurer un fournisseur de courriel personnalisé.

• Si vous utilisez notre CDN pour le gadget logiciel Lock, veillez à vous connecter à une version particulière.

• Assurez-vous que les composants externes appelés par les actions, les règles, les appels et les scripts de connexion par bases de données personnalisées peuvent supporter la charge attendue.

• Protégez de manière adéquate les valeurs secrètes des clients.

• Vérifiez les types d’autorisation pour vos applications. Assurez-vous que les bons types d’autorisations sont activés et, plus important encore, désactivez les types d’autorisations qui ne sont pas nécessaires.

• Si vous utilisez user_metadata, confirmez qu’il s’agit de données que les utilisateurs doivent pouvoir modifier eux-mêmes (p. ex., pas le « statut de paiement »).

• Vérifiez vos paramètres de protection contre les attaques et consutlez Protection contre les attaques pour comprendre comment débloquer les utilisateurs qui ont été bloqués.

• Examinez la section Administration de vos paramètres du locataire pour vous assurer que seuls les administrateurs appropriés ont accès à Auth0 Dashboard. Consultez Gestion de l’accès au Dashboard pour en savoir plus.

• Assurez-vous d’avoir testé tous les principaux cas d’utilisation de votre application sur tous les appareils susceptibles d’être utilisés par les utilisateurs finaux de votre application. Veillez à tester la connexion, l’authentification unique (si elle est prise en charge) et le journal, ainsi que ce qui peut se produire si un utilisateur exécute votre application dans plusieurs onglets de navigateur.

• Vérifiez votre liste de règles et assurez-vous que seules les règles appropriées sont activées.

• Vérifiez le code de vos règles, les scripts personnalisés de la base de données et le code personnalisé de la page de connexion afin de vous assurer que chaque appel est accompagné d’une gestion et d’un suivi adéquats des erreurs. Vérifiez également que les instructions de retour et de rappel sont appelées correctement.

• Configurez le nom de votre application, l’URL et le courriel d’assistance dans la section Paramètres généraux du locataire afin que les utilisateurs finaux soient dirigés vers une page appropriée en cas d’erreur.

• Assurez-vous que votre application obtient dynamiquement un jeton de Management API.

• Supprimez toutes les déclarations console.log de vos règles ou de vos scripts de base de données personnalisés. En particulier celles qui pourraient laisser échapper des informations permettant d’identifier l’utilisateur, telles que l’adresse courriel, le nom d’utilisateur ou le mot de passe.

• N’utilisez pas de secrets en texte brut dans les règles ou les connexions à la base de données. Ils doivent être ajoutés dans la partie configuration de l’interface. La configuration est cryptée et fournie juste à temps. N’enregistrez pas l’objet de configuration.

• Vérifier un domaine
• Vérifier la plateforme
• Vérifier les connexions
• Vérifier les messages d’erreur