Préparation des opérations (B2B)
État
Vous devez vous assurer que votre personnel d’exploitation sait comment surveiller l’état du service Auth0 et qu’il a mis en place un moyen de s’abonner aux mises à jour de l’état d’Auth0.
Le tableau de bord de l’état d’Auth0 et le tableau de bord du temps de fonctionnement d’Auth0 montrent l’état actuel et passé du service Auth0 dans un format lisible par l’humain. Si des alertes de surveillance sont déclenchées, et comme première étape du dépannage, votre personnel d’exploitation devrait vérifier le tableau de bord de l‘état pour voir s’il y a une interruption de service en cours. La page d’état du nuage public permet également de s’abonner aux notifications de coupure de service. Nous vous recommandons également de vérifier l’état de tous les services externes tiers dont vous dépendez, tels que les fournisseurs de services sociaux. Disposer de ces informations permet d’éliminer rapidement les éventuelles sources de problèmes lors de leur résolution et devrait figurer en tête de la liste de contrôle des développeurs et du personnel du service d’assistance.
Meilleure pratique Les informations sur la façon de vérifier l’état d’Auth0 et de tous les services dépendants (tels que les fournisseurs sociaux) devraient figurer en tête de la liste de contrôle de dépannage des développeurs et du personnel du service d’assistance, et nous vous conseillons de vous abonner à la page d’état d’Auth0 pour configurer la notification de toute mise à jour de statut. :::
En cas de panne du service cloud public, Auth0 effectue une analyse des causes fondamentales et publie les résultats sur la page d’état d’Auth0. Auth0 mène une enquête approfondie après une interruption de service - notamment en déterminant la cause première, les facteurs déterminants et la manière d’éviter toute nouvelle occurrence du problème. Par conséquent, la publication d’un rapport d’analyse des causes fondamentales peut prendre plusieurs semaines.
Configuration de fournisseur de messagerie électronique
Vous devez vérifier que vous avez configuré votre propre fournisseur de services de courriel pour prendre en charge les volumes de production de courriers électroniques susceptibles d’être envoyés aux clients pour l’inscription, la validation de l’adresse électronique, la récupération du compte et d’autres opérations de ce type.
Auth0 envoie des courriels aux utilisateurs en lien avec des événements, notamment pour souhaiter la bienvenue après une inscription, valider une adresse courriel, notifier d’une violation de mot de passe ou réinitialiser un mot de passe. Vous pouvez personnaliser les modèles de courriels pour chaque type d’événement. Une personnalisation avancée de la gestion des courriels est également possible. Auth0 fournit un fournisseur de messagerie électronique provisoire offrant une capacité limitée, mais vous devrez configurer votre propre fournisseur dans un environnement de production. Par ailleurs, la personnalisation des modèles de courriel ne fonctionnera pas tant que vous n’aurez pas paramétré votre propre fournisseur.
Meilleure pratique Le fournisseur de courriels par défaut d’Auth0 ne prend pas en charge l’envoi de volumes de courriels en production ni la personnalisation des modèles de courriel. Vous devez donc configurer votre propre fournisseur de courriels avant de passer au déploiement en production. ::::
Infrastructure
Pares-feu
Si le code personnalisé exécuté dans Auth0 (par exemple dans une action, une règle, un hook ou des scripts de base de données personnalisées) envoie une requête à un service à l’intérieur de votre réseau, ou si vous configurez un fournisseur SMTP sur site dans Auth0, il se peut que vous deviez configurer votre pare-feu pour autoriser le trafic entrant en provenance d’Auth0. Les adresses IP à autoriser dans le pare-feu sont spécifiques à chaque région et sont répertoriées dans les fenêtres de configuration des règles, des hooks, des scripts de base de données personnalisées et du fournisseur de messagerie électronique dans votre Auth0 Dashboard.
NTP
Si cela n’est pas géré automatiquement par votre environnement d’hébergement, vous devez disposer de scripts qui redémarreront automatiquement le protocole NTP (Network Time Protocol) en cas d’échec et d’alertes qui préviendront quelqu’un si NTP n’est pas en cours d’exécution. Les transactions d’authentification dépendent de l’exactitude de l’heure du système, car les jetons de sécurité peuvent être considérés comme périmés lorsqu’ils sont reçus s’il y a des écarts de temps entre les systèmes d’envoi et de réception.
Vérification des délais de l’équilibreur de charge
Si vous utilisez le connecteur AD/LDAP, vous devez vérifier les paramètres de l’équilibreur de charge dans votre environnement pour voir s’il met fin aux connexions inactives de longue durée. Si c’est le cas, vous pouvez modifier les paramètres de connexion AD/LDAP d’Auth0) pour utiliser le paramètre LDAP_HEARTBEAT_SECONDS afin d’envoyer des messages périodiques de synchronisation pour maintenir la connexion ouverte.
Configuration de l’équilibreur de charge
Si votre application maintient l’état des serveurs de telle sorte qu’elle dépend de l’équilibrage de charge persistant pour acheminer les utilisateurs vers un serveur particulier, il peut être utile de vérifier que toutes les configurations de l’équilibreur de charge sont correctes. Un équilibreur de charge désynchronisé dans un pool peut provoquer des erreurs intermittentes difficiles à résoudre. Une vérification rapide de la configuration de l’équilibreur de charge peut permettre d’éviter de tels problèmes.
Journaux
Vous devez vérifier que vous avez mis en place la capacité de capturer les données des journaux, que les journaux sont couverts par votre politique de conservation des données et que vous disposez de mécanismes pour faire respecter les limites de conservation des données des journaux. Vous devez également vous assurer que vos équipes de développement, d’assistance et de sécurité savent comment accéder aux données des journaux à des fins de dépannage et de criminalistique. L’exportation des fichiers journaux vers des services qui fournissent des analyses complètes peut vous aider à identifier des modèles tels que les tendances d’utilisation et les erreurs.
Auth0 offre des possibilités étendues en ce qui concerne l’enregistrement des événements, ainsi que l’analyse des journaux pour identifier les anomalies (Consultez Documentation sur les journaux pour plus de détails). La période de conservation standard des journaux Auth0 est déterminée par le niveau d’abonnement, la période la plus courte étant de 2 jours et la plus longue de 30 jours seulement. En utilisant Auth0 pour intégrer des services de journalisation externes, vous pourrez conserver les journaux en dehors du programme, et vous pourrez également les regrouper au sein de votre organisation.
Meilleure pratique
Vous devriez tirer parti de l’une des solutions d’exportation de journaux pour envoyer des données de journal à un service d’analyse de journaux externe. Cela permettra de conserver les données pendant de plus longues périodes et de fournir des analyses avancées effectuées sur les données de journal. :::
Vous devriez vérifier la période de conservation des données de journalisation pour votre niveau d’abonnement et implémenter une extension d’exportation de ces données pour les envoyer à un service externe d’analyse des journaux. Vous pouvez utiliser l’une de nos solutions d’exportation de journaux sur l’Auth0 Marketplace.
Les équipes de développement peuvent utiliser les fichiers de journalisation pour la détection et la résolution d’erreurs intermittentes qui peuvent être difficiles à identifier lors des tests d’assurance qualité. Les équipes de sécurité voudront probablement disposer de données de journalisation au cas où des données médico-légales seraient nécessaires. L’exportation des fichiers journaux vers des services qui fournissent des analyses complètes peut vous aider à identifier des modèles tels que les tendances d’utilisation et les déclencheurs de mesures de protection contre les attaques.
Limites de débit et autres erreurs
Auth0 fournit un code d’erreur unique pour les erreurs signalées lorsque la limite d’utilisation est dépassée.. Vous devriez configurer l’analyse automatique des journaux pour vérifier les erreurs de limite d’utilisation afin de pouvoir traiter de manière proactive les activités qui dépassent ces limites avant qu’elles ne gênent trop vos utilisateurs. Auth0 publie également des codes d’erreur pour d’autres types d’erreurs. Il vous sera donc utile de rechercher dans les journaux les erreurs d’authentification ainsi que les erreurs liées aux appels vers Management API Auth0 (les codes d’erreur de Management API sont affichés sous chaque appel dans l’explorateur de Management API).
Meilleures pratiques L’appel à Management API pour récupérer des informations sur le profil utilisateur à partir d’une règle est une cause fréquente d’erreurs de limite anti-attaque, car ces appels API peuvent être exécutés pour chaque connexion ainsi que pour des vérifications périodiques de la session :::
Contrôle
Veillez à mettre en place une surveillance proactive du service Auth0 ainsi qu’une authentification de bout en bout par le biais de votre application.
Vous devez mettre en place des mécanismes de contrôle des implémentations Auth0, afin que votre équipe d’assistance ou d’exploitation reçoive les informations nécessaires en temps utile afin de gérer de manière proactive les interruptions de service. Auth0 fournit des points de terminaison de surveillance qui peuvent être incorporés dans votre infrastructure de contrôle. Ces points de terminaison sont conçus pour fournir une réponse adaptée aux services de surveillance. Il convient de préciser qu’ils ne fournissent des données que sur Auth0. Pour une surveillance complète de bout en bout, essentielle pour vérifier la capacité des utilisateurs à se connecter, nous vous recommandons de mettre en place un système de surveillance synthétique des transactions. Vous obtiendrez ainsi une plus grande granularité pour votre surveillance et pourrez détecter les interruptions de service qui ne sont pas liées à Auth0 ainsi que la dégradation des performances, ce qui vous permettra de réagir de manière plus proactive.
Meilleures pratiques
Vous devez mettre en place la possibilité d’envoyer des transactions de connexion synthétiques pour faciliter le contrôle de bout en bout de l’authentification. Vous pouvez le faire avec une application simple qui utilise le Octroi du mot de passe du propriétaire de la ressource en combinaison avec un utilisateur test qui n’a pas de privilèges, et n’oubliez pas les Politiques de limitation de taux d’Auth0 également.
Notifications Auth0
Vous devez vous assurer que votre équipe surveille tous les canaux de communication suivants d’Auth0 pour rester au courant des annonces et des changements importants.
Il existe plusieurs types de notifications émises par Auth0 que vous devez surveiller, car elles contiennent des informations importantes qui peuvent avoir un impact sur votre/vos locataire(s) et votre projet.
Des notifications de sécurité proactives et d’autres annonces opérationnelles sont envoyées par Auth0 aux administrateurs de tableau de bord. Vous devez vous assurer que les personnes qui doivent recevoir ces messages sont des administrateurs de tableau de bord.
Notifications du Dashboard
Auth0 peut envoyer de temps à autre un message important à propos de votre locataire. Ces annonces concernant votre service seront envoyées à l’Auth0 Dashboard, ou par courriel aux administrateurs enregistrés de l’Auth0 Dashboard selon l’importance du message. Vous devez vous connecter régulièrement au tableau de bord et vérifier l’icône de la cloche en haut pour tout avis important. De plus, vous devriez rester à l’affût des courriels d’Auth0, car ils peuvent contenir des informations importantes sur des changements ou des actions que vous devez entreprendre.
Bulletins de sécurité d’Auth0.
Auth0 effectue régulièrement un certain nombre de tests de sécurité et, si des problèmes sont détectés, identifie et avise de manière proactive les clients qui doivent effectuer des changements en matière de sécurité. Cependant, en raison de la nature extensible du produit Auth0, il se peut qu’il ne soit pas en mesure d’identifier tous les clients concernés, d’où l’importance de consulter régulièrement les bulletins de sécuritéd’Auth0. Vous devez vous assurer qu’un contact de sécurité pour votre organisation est répertorié dans le Centre d’assistance.
Meilleure pratique Il est conseillé de consulter régulièrement la page Auth0 [Bulletins de sécurité](/security/bulletins) et de prendre les mesures recommandées si un quelconque bulletin de sécurité vous affecte.
Journalisation des changements
Auth0 fournit des informations sur les changements apportés au service dans le journal des modifications d’Auth0. Il est conseillé de consulter régulièrement le journal des modifications d’Auth0 afin de prendre connaissance des changements opérés. Les équipes d’assistance qui examinent un problème peuvent juger utile de consulter le journal des modifications pour déterminer si des changements récents ont un lien avec le problème, en particulier s’il s’agit de changements de rupture. Les équipes de développement voudront également examiner les journaux des modifications afin d’identifier les nouvelles fonctionnalités qui pourraient être utiles.
En outre, vous devez consulter régulièrement la page des migrations Auth0 pour obtenir des informations sur les dépréciations à venir qui pourraient obliger votre équipe à effectuer des changements.
Déploiement automatisé, contrôle de version
Bien que n’étant pas obligatoire, nous vous recommandons de mettre en place un déploiement automatisé avec contrôle de version. Faire usage de l’automatisation pour déployer ou annuler des modifications dans les environnements de développement, de test et de production vous permet de réagir plus efficacement aux problèmes après le lancement.
En plus d’adopter les meilleures pratiques en matière de gestion des changements et d’assurance qualité, les clients performants intègrent également la gestion des garanties Auth0 dans le cadre d’un processus de déploiement automatisé. Comme expliqué dans la section Architecture sous Assistance SDLC, vous devez configurer les locataires Auth0 séparément pour les environnements de développement, de test et de production, où la configuration des locataires est identique dans chaque environnement. L’utilisation de l’automatisation du déploiement permet de garantir que la configuration des locataires est cohérente à travers les environnements, ce qui réduit les bogues et autres problèmes.
Meilleure pratique
Quelle que soit la configuration de l’automatisation du déploiement, nous vous conseillons de tester vos règles, vos scripts de base de données personnalisés et vos hooks avant le déploiement, et de réaliser également des tests d’intégration sur votre locataire après le déploiement. Pour plus de détails à ce sujet, voir le guide Assurance qualité fourni.
Auth0 offre une assistance pour les approches d’automatisation du déploiement suivantes, qui peuvent être utilisées conjointement si souhaité :
L’outil Auth0 Deploy CLI vous offre un script facile d’utilisation qui s’intègre à votre pipeline d’intégration continue/déploiement continu (CI/CD) existant.
Les extensions du contrôle de code source Auth0 fournissent un processus d’automatisation de base facile à configurer avec très peu de maintenance si vous n’avez pas de pipeline CI/CD, ou dans les cas où vous ne pouvez pas intégrer directement un pipeline CI/CD.
Si votre flux de travail de développement utilise Terraform, le fournisseur Terraform Auth0 vous aide à gérer les configurations de vos locataires Auth0.
Notez que l’outil Deploy CLI et les extensions de contrôle de source peuvent provoquer des changements destructeurs. Les modifications manuelles effectuées directement dans le tableau de bord entre les déploiements automatisés peuvent être perdues! Pour cette raison, si l’un des deux est utilisé, toutes les modifications doivent alors être déployées à partir du sous-système de contrôle de la source référencé par le biais de l’outil et non pas effectuées manuellement.
Chaque environnement peut également nécessiter une configuration qui lui est propre - les ID client de l’application et les secrets client seront différents entre les locataires Auth0, par exemple - et vous aurez donc besoin d’un moyen de pouvoir y faire référence de manière dynamique plutôt que d’avoir des valeurs codées en dur. Auth0 vous fournit du soutien pour gérer une information de configuration spécifique à l’environnement selon une de deux approches :
Utiliser des variables propres au locataire
Utiliser le remplacement des mots-clés si vous utilisez l’outil Auth0 Deploy CLI.
Variables spécifiques au locataire
Auth0 vous permet de configurer des variables qui sont disponibles dans extensibilitépersonnalisée; celles-ci peuvent être considérées comme des variables d’environnement pour votre locataire Auth0. Plutôt que des références en code fixe qui changent lorsque le code est déplacé entre les développements, les tests, et les environnements de production, vous pouvez utiliser un nom variable configuré dans le client et référencé par le code d’extensibilité personnalisée. Ceci vous rend la tâche plus facile pour faire fonctionner le même code personnalisé, sans changements, pour différents locataires; le code peut référencer les variables, lesquelles seront présentes avec des valeurs spécifiques aux clients pour des temps d’exécution :
Pour utiliser des variables dans les actions, consultez Créer votre première action pour découvrir comment configurer des secrets dans l’éditeur.
Pour utiliser des variables dans les règles, apprenez à configurer les valeurs
Pour utiliser des variables dans les hooks, apprenez à configurer des secrets dans l’éditeur.
Pour l’utilisation de variables dans les Scripts de base de données personnalisés, consultez les paramètres de configuration
Meilleure pratique
Il est conseillé d’utiliser des variables pour contenir des valeurs spécifiques au locataire ainsi que des secrets sensibles qui ne devraient pas être exposés dans votre code personnalisé. Si votre code personnalisé est déployé dans GitHub/Gitlab/Bitbucket/VSTS, l’utilisation d’une variable spécifique au locataire permet d’éviter l’exposition de valeurs sensibles via votre dépôt.
Sauvegarde / Restauration
Vous devez disposer d’un plan et d’un mécanisme pour prendre en charge toute capacité de sauvegarde/restauration nécessaire à votre projet. Pour ce faire, vous pouvez utiliser la Auth0 Management API pour les données ainsi que les capacités de déploiement automatisé décrites dans la section relative au déploiement automatisé pour la configuration Auth0.
Comme indiqué dans la Politique de restauration des locataires de données et la Politique de transfert des donnéesd’Auth0, Auth0 ne restaure pas les locataires supprimés et ne déplace pas les données entre les locataires. Auth0 fournit Auth0 Management API afin d’offrir aux clients une capacité totalement flexible de sauvegarde, de restauration et de déplacement des données en fonction des besoins. Les clients peuvent écrire des scripts pour récupérer les données d’Auth0 à des fins de sauvegarde, et de la même manière écrire des scripts à utiliser avec la capacité de déploiement automatisé pour restaurer n’importe quel aspect de leur configuration Auth0.
Versions à jour
Vous devez vérifier que toutes les technologies de votre pile d’applications, ainsi que les versions des navigateurs utilisés par vos utilisateurs sont sur des versions actuelles et à jour, car cela aura un impact sur la capacité d’Auth0 à fournir un support en cas de problèmes.
Vérifiez que vous utilisez la dernière version prise en charge de node.js dans Paramètres Auth0 Dashboard.
Vérifiez que vous utilisez une version de la trousse SDK/bibliothèques prise en charge par Auth0 conformément à la Matrice d’assistance d’Auth0.
Plan de reconduction des certificats
Les certificats peuvent être utilisés dans les déploiements d’identité. Pour éviter d’être pris par surprise par l’expiration d’un certificat, vous devez disposer d’une liste des certificats présents dans votre environnement, ainsi que de leurs dates d’expiration, de la manière dont vous serez informé de l’approche de l’expiration et du fonctionnement du processus de reconduction des certificats.
Connexions SAML
Pour les connexions SAML, vous obtenez un certificat de l’IdP et le téléchargez vers une connexion SAML pour l’IdP dans votre Auth0 Dashboard. Lorsque l’un de ces certificats est sur le point d’expirer, Auth0 envoie un courriel aux administrateurs du tableau de bord pour les avertir de l’expiration imminente. Vous pouvez obtenir le nouveau certificat et le télécharger à l’aide de l’écran de configuration de la connexion.
Connexions WS-Fed
Pour les connexions Web Service Federation (WS-Fed), si vous les configurez en spécifiant une URL ADFS, tout changement sera pris en compte par une mise à jour quotidienne. Vous pouvez déclencher une mise à jour manuellement en visitant la page de configuration de la connexion dans le Auth0 Dashboard et en effectuant une sauvegarde. Si un certificat est modifié au niveau de l’IdP distant, Auth0 peut être mis à jour par ces mécanismes ou en téléchargeant un nouveau fichier de métadonnées dans le même écran de configuration de la connexion.
Mise en place d’un plan de reprise après sinistre / de continuité des activités
Bien qu’il ne s’agisse pas d’une exigence absolue avant le lancement, il est utile de disposer d’un plan de reprise après sinistre pour assurer la continuité des activités face à différents types de catastrophes, y compris les pannes de système et les catastrophes naturelles qui frappent une région où se trouve du personnel essentiel.
Processus documentés
Un autre point qui n’est pas une exigence absolue, mais qui est également recommandé, est de s’assurer que tous les processus liés à Auth0 sont documentés. Cela peut comprendre :
Gestion des changements pour la configuration
Déploiement de nouvelles modifications et de tout mécanisme de déploiement automatique utilisé, comment revenir à la version précédente si des problèmes sont constatés.
Processus de reconduction des certificats, le cas échéant
Ajout ou suppression de nouveaux fournisseurs d’identité, le cas échéant
Modifications de la structure du profil utilisateur dans Auth0 ou dans les répertoires dont Auth0 s’inspire
Ajout ou suppression d’applications ou d’API
Capture et exportation de journaux
Processus de sauvegarde/restauration que vous avez mis en œuvre
Gestion des utilisateurs (mot de passe oublié, téléphone perdu)
Analyse des causes profondes après un incident
Guide de planification de projet
Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées.
B2B IAM Project Planning Guide