Vérification du locataire (B2B)

Cette section couvre une liste de configurations à vérifier dans votre locataire. Ces vérifications doivent être effectuées périodiquement au cours du développement et suffisamment avant le lancement pour avoir le temps de corriger tout problème éventuel.

Vérifiez que vous avez mis en place des environnements de locataire pour soutenir votre cycle de vie SDLC et que les locataires Dev, Test et Prod sont proprement séparés afin que le travail de développement en cours après le lancement n’ait pas d’impact négatif sur votre environnement de production.

Chaque entreprise dispose d’une forme de cycle de vie du développement logiciel (SDLC) et, tout au long du processus de développement, il est important de s’aligner sur cette stratégie. Par exemple, vous devez être en mesure de tester votre intégration avec Auth0 de la même manière que vous testez les applications elles-mêmes. Il est donc important de structurer les locataires Auth0 pour soutenir votre SDLC, et il existe un modèle cohérent que nos clients suivent généralement en ce qui concerne les meilleures pratiques associées à la disposition des locataires pour y parvenir :

Dans certains cas, vous pouvez également vouloir créer un ou plusieurs environnement(s) isolé(s) « sandbox » (par exemple, company-sandbox1, company-sandbox2) afin de pouvoir tester les changements sans compromettre votre environnement de développement. Il peut s’agir de l’emplacement où vous testez les scripts de déploiement, etc.

Pour vous assurer que vos locataires sont tous associés à votre accord contractuel Auth0 et qu’ils disposent des mêmes fonctionnalités, vérifiez que tous vos locataires sont associés à votre compte d’entreprise. Si vos développeurs souhaitent créer leurs propres bacs à sable à des fins de test, assurez-vous qu’ils sont associés à votre compte afin qu’ils disposent également des mêmes autorisations. Pour cela, vous devez communiquer avec votre représentant Auth0 ou le Centre d’assistance Auth0.

Pour qu’Auth0 reconnaisse votre locataire de production, veillez à définir votre locataire de production avec le drapeau « production » dans le centre d’assistance.

Auth0 propose une fonction de Vérification de production pour détecter de nombreuses erreurs courantes. Vous devez vous assurer qu’il a été exécuté et que toutes les conclusions du rapport ont été résolues avant le lancement.

En outre, vous devez vérifier les conseils sur les meilleures pratiques en matière de configuration, pour lesquels la vérification ne peut pas être automatisée.

Veillez à suivre les recommandations en matière de tenant settings (paramètres du locataire) Auth0 dans la configuration de votre logo ainsi que de votre courriel de support et de votre URL de support afin que les utilisateurs sachent comment obtenir de l’aide en cas de problème. Vérifiez également vos paramètres de délai de session SSO et la liste des administrateurs du Dashboard ayant accès à votre locataire de production.

En cas de problèmes rencontrés durant le flux de travail interactif des utilisateurs (par exemple, lors de l’inscription ou de la connexion), Auth0 fournit des messages d’erreur indiquant la nature du problème sous-jacent. Les messages par défaut sont quelque peu énigmatiques, en particulier pour l’utilisateur final, qui risque de ne pas avoir le contexte que vous pouvez seul fournir. C’est pourquoi nous vous recommandons de personnaliser vos pages d’erreur afin de fournir directement à vos utilisateurs les informations contextuelles manquantes. De plus, la personnalisation de vos pages d’erreur vous permet d’afficher votre marque, et non celle d’Auth0, et de fournir des informations utiles à vos utilisateurs sur ce qu’il convient de faire ensuite. Ces informations peuvent inclure un lien vers une FAQ ou la manière de contacter l’équipe d’assistance ou le service d’assistance de votre entreprise.

Si vous avez un locataire plus ancien, il se peut que divers indicateurs de fonctionnalités héritées soient activés dans l’onglet avancé de vos paramètres du locataire. Si l’un de ces drapeaux est activé dans la section « Migrations » de cet onglet, vous devriez revoir votre utilisation et planifier la migration de la fonctionnalité héritée.

Lorsque vous vérifiez la liste des utilisateurs ayant accès à votre locataire de production, n’oubliez pas de vérifier les utilisateurs spécifiés dans la Extension d’administration déléguée.

Par défaut, l’URL associée à votre locataire comprendra son nom et éventuellement un identifiant spécifique à la région. Par exemple, les locataires basés aux États-Unis ont une URL similaire à https://example.auth0.com tandis que ceux basés en Europe ont une URL ressemblant à https://example.eu.auth0.com. Un domaine personnalisé permet d’offrir à vos utilisateurs une expérience cohérente en utilisant un nom correspondant à la marque de votre organisation.

En outre, la fonctionnalité de domaine personnalisé vous offre un contrôle total sur le processus de gestion des certificats. Par défaut, Auth0 fournit des certificats SSL standard, mais si vous configurez un domaine personnalisé, vous pouvez utiliser des certificats SSL Extended Validation (EV) ou similaires pour fournir les indices visuels, basés sur le navigateur, qui offrent à vos visiteurs une tranquillité d’esprit supplémentaire.

En général, nous constatons que les clients ont plus de succès lorsqu’ils utilisent un domaine centralisé pour l’authentification - c’est particulièrement le cas si l’entreprise offre plusieurs produits ou marques de service. En utilisant un domaine centralisé, vous pouvez fournir aux utilisateurs finaux une expérience utilisateur cohérente tout en minimisant la nécessité de maintenir plusieurs locataires de production dans Auth0.

Chacun de vos paramètres de connexion doit être examiné au regard des meilleures pratiques en matière de configuration de connexion.

En outre, vous devez vérifier que toutes les connexions sont pertinentes et qu’aucune connexion expérimentale n’est laissée dans votre locataire de production, car elle pourrait permettre un accès non autorisé.

Si vous utilisez des connexions SAML, la meilleure pratique consiste à configurer les connexions pour qu’elles signent les requêtes SAML.

Si vous utilisez la page de connexion universelle Auth0, la page de réinitialisation du mot de passe ou l’authentification multifacteur (MFA) Guardian, vous devez vérifier que vous avez suffisamment personnalisé les pages affichées à l’utilisateur final.

La connexion universelle est la méthode recommandée pour authentifier les utilisateurs, et elle est centrée sur l’utilisation de la page de connexion. Vous pouvez personnaliser la page de connexion pour qu’elle corresponde aux exigences de votre organisation en matière d’image de marque.

La page Réinitialisation du mot de passe est utilisée chaque fois qu’un utilisateur profite de la fonctionnalité de changement de mot de passe et, comme pour la page de connexion, vous pouvez la personnaliser pour refléter les exigences particulières de votre organisation en matière d’image de marque.

Les pages d’authentification multifacteur (MFA) peuvent être personnalisées en ajustant les options de marque de la connexion universelle dans la section Paramètres de la connexion universelle.

Si vous avez besoin d’une personnalisation plus poussée, vous pouvez également personnaliser le contenu HTML complet pour refléter les exigences particulières de votre organisation en matière d’interface utilisateur.

Si vous utilisez la fonction d’autorisation d’Auth0, veillez à bien vérifier tous les privilèges accordés afin de vous assurer que les autorisations sont adaptées à votre environnement de production.

Vous devez vérifier les paramètres d’expiration des jetons d’accès à l’API pour vous assurer qu’ils sont pertinents pour chaque API dans votre environnement de production.

Si votre application ne demande pas de jetons d’actualisation, cette option doit être désactivée.

Il est recommandé que le API access token signing algorithm (algorithme de signature du jeton d’accès à l’API) soit défini sur RS256 plutôt que sur HS256 afin de minimiser l’exposition de la clé de connexion.

Si vous avez des API personnalisées, assurez-vous qu’elles valident correctement les jetons d’accès qu’elles reçoivent avant d’utiliser les informations qu’elles contiennent.

Si vous avez des applications qui font des communications entre machines à l’une de vos API, vous devriez examiner les permissions spécifiées pour l’API afin de vous assurer qu’elles sont toutes appropriées pour votre environnement de production. Pour plus d’informations, consultez la documentation sur octroi d’identifiants client.

Vous devez également avoir aligné vos règles sur les meilleures pratiques en matière de règles d’Auth0.

Auth0 utilise largement le courriel pour fournir des notifications aux utilisateurs et pour piloter les fonctionnalités nécessaires à la gestion sécurisée des identités (par exemple, la vérification du courriel, la récupération du compte, et les protections contre les attaques par force brute), et Auth0 propose un certain nombre de modèles pour ces courriels.

Par défaut, les modèles de courriel utilisés contiennent un texte standard et la marque Auth0. Cependant, vous pouvez configurer presque tous les aspects de ces modèles pour refléter le texte et l’expérience utilisateur que vous souhaitez, et apporter des modifications concernant la langue préférée, les options d’accessibilité, et bien plus encore.

Les modèles de courriel sont personnalisés à l’aide de la syntaxe Liquid. Si vous souhaitez personnaliser vos modèles en fonction des préférences de l’utilisateur, vous aurez également accès aux métadonnées situées dans les profils des utilisateurs, ainsi qu’à toutes les métadonnées spécifiques à l’application.

La raison pour laquelle les systèmes d’authentification sont importants est qu’ils empêchent les acteurs menaçants d’accéder à des applications et données utilisateur auxquelles l’accès est restreint. Nous voulons placer autant de barrières que possible entre ces acteurs menaçants et l’accès à nos systèmes. L’un des moyens les plus simples d’y parvenir est de vérifier que votre protection contre les attaques avec Auth0 est correctement configurée. Prenez donc le temps de consulter les recommandations à ce sujet et de vous assurer que tout est bien en place.

Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées.