Opérations (interentreprises)

La mise en œuvre opérationnelle nécessite la configuration ou la mise en place d’une infrastructure pour soutenir l’opération évolutive, mesurable et quantifiable nécessaire à la continuité de l’activité. Dans Auth0, il s’agit notamment de configurer les services de soutien (tels que les fournisseurs de messagerie), de surveiller les services pour votre déploiement, de détecter les situations anormales et de vous préparer à une reprise rapide et facile en cas de problème dans un environnement de production.

La mise en place de comportements opérationnels efficaces s’est avérée payante pour les clients ayant réussi, et plusieurs éléments méritent d’être pris en compte lors de l’examen de votre flux de travail.

• Que devriez-vous faire pour détecter les défaillances de manière proactive?

• Comment pouvez-vous obtenir des données sur l’état de fonctionnement d’Auth0?

• Que faire des bulletins de sécurité relatifs au service Auth0?

• Auth0 fournit-il des informations sur les modifications imminentes du service Auth0?

• Comment pouvez-vous vérifier les avis importants d’Auth0?

• Que devez-vous faire avec les données de journalisation d’Auth0 afin de pouvoir les analyser et les conserver plus longtemps que la période limite de conservation des données d’Auth0?

• Comment pouvez-vous analyser les journaux d’Auth0 pour déterminer si les pics de charge dans votre application déclenchent des limites de débit ou d’autres erreurs?

• Quels sont les services de messagerie que vous devriez utiliser pour prendre en charge les volumes de production de courriels destinés aux utilisateurs? Puis-je utiliser le fournisseur de messagerie prêt à l’emploi d’Auth0 dans mon environnement de production?

• Devez-vous configurer votre pare-feu et quels ports de pare-feu devrez-vous ouvrir pour les services internes qui doivent recevoir des communications d’Auth0 (comme les bases de données personnalisées, les services Web et les serveurs de messagerie)?

• Comment allez-vous provisionner les nouvelles organisations?

• Devez-vous fournir un approvisionnement en libre-service à vos clients afin qu’ils puissent configurer eux-mêmes les fournisseurs d’identité de leur organisation?

Auth0 prend en charge la fonctionnalité de surveillance du fonctionnement du service Auth0 ainsi que le partage d’informations sur l’état du service Auth0. De plus, Auth0 met à disposition des bulletins liés à la sécurité ainsi que des informations concernant les modifications à venir du service Auth0 par le biais de diverses notifications. Les services de journalisationd’Auth0 offrent également une fonctionnalité étendue permettant de retracer et d’identifier les anomalies opérationnelles, y compris les restrictions rencontrées en raison d’une limitation du débit et/ou d’une charge excessive.

Auth0 fournit des services de messagerie prêts à l’emploi pour vous aider à accélérer votre intégration. Cependant, ces services ne sont pas conçus pour une utilisation à grande échelle dans des environnements de production, et ne fournissent aucun niveau de service spécifique ni aucune garantie en ce qui concerne la livraison de courriels. La meilleure pratique que nous recommandons, généralement suivie par nos clients, consiste à configurer son propre fournisseur de services de messagerie.

Vous pourriez également devoir apporter des modifications à la configuration de l’infrastructure afin de prendre en charge l’intégration avec Auth0 et exploiter l’extensibilité d’Auth0. Par exemple, si vous devez fournir des rappels à votre infrastructure interne ou même externe (par exemple, des appels API externes dans les actions, les règles ou les hooks, ou via des scripts de base de données personnalisés si vous devez exploiter le stockage d’identité existant), vous devrez peut-être configurer les paramètres de votre pare-feu.

Une fois que vous avez déterminé comment les organisations seront représentées dans votre système, vous devrez réfléchir à la manière dont vous allez provisionner l’organisation elle-même. Consultez Approvisionnement des organisations pour plus d’informations.

Par ailleurs, nombre de nos clients ont développé un ou plusieurs portails en libre-service destinés aux administrateurs de l’organisation de leurs clients afin de fournir des capacités en libre-service pour la configuration de leurs propres fournisseurs d’identité.

Le tableau de bord de l’état d’Auth0 et le tableau de bord du temps de fonctionnement d’Auth0 montrent l’état actuel et passé du service Auth0 dans un format lisible par l’humain. Si des alertes de surveillance sont déclenchées, et comme première étape du dépannage, votre personnel d’exploitation devrait vérifier le tableau de bord de l‘état pour voir s’il y a une interruption de service en cours. La page d’état du cloud public permet également de s’abonner aux notifications de coupure de service. Nous vous recommandons également de vérifier l’état de tous les services externes tiers dont vous dépendez, tels que les fournisseurs de services sociaux. Disposer de ces informations permet d’éliminer rapidement les éventuelles sources de problèmes lors de leur résolution et devrait figurer en tête de la liste de contrôle des développeurs et du personnel du service d’assistance.

En cas de panne du service cloud public, Auth0 effectue une analyse des causes fondamentales et publie les résultats sur la page d’état d’Auth0. Auth0 mène une enquête approfondie après une interruption de service - notamment en déterminant la cause première, les facteurs déterminants et la manière d’éviter toute nouvelle occurrence du problème. Par conséquent, la publication d’un rapport d’analyse des causes fondamentales peut prendre plusieurs semaines.

Auth0 envoie des courriels aux utilisateurs en lien avec des événements, notamment pour souhaiter la bienvenue après une inscription, valider une adresse courriel, notifier d’une violation de mot de passe ou réinitialiser un mot de passe. Vous pouvez personnaliser les modèles de courriels pour chaque type d’événement. Une personnalisation avancée de la gestion des courriels est également possible. Auth0 fournit un fournisseur de messagerie électronique provisoire offrant une capacité limitée, mais vous devrez configurer votre propre fournisseur dans un environnement de production. Par ailleurs, la personnalisation des modèles de courriel ne fonctionnera pas tant que vous n’aurez pas paramétré votre propre fournisseur.

Si le code personnalisé exécuté dans Auth0 (par exemple dans une action, une règle, un hook ou des scripts de base de données personnalisées) envoie une requête à un service à l’intérieur de votre réseau, ou si vous configurez un fournisseur SMTP sur site dans Auth0, il se peut que vous deviez configurer votre pare-feu pour autoriser le trafic entrant en provenance d’Auth0. Les adresses IP à autoriser dans le pare-feu sont spécifiques à chaque région et sont répertoriées dans les fenêtres de configuration des règles, des hooks, des scripts de base de données personnalisées et du fournisseur de messagerie électronique dans votre Auth0 Dashboard.

Auth0 offre des possibilités étendues en ce qui concerne l’enregistrement des événements, ainsi que l’analyse des journaux pour identifier les anomalies (consultez Documentation sur les journaux pour plus de détails). La période de conservation standard des journaux Auth0 est déterminée par le niveau d’abonnement, la période la plus courte étant de 2 jours et la plus longue de 30 jours seulement. En utilisant Auth0 pour intégrer des services de journalisation externes, vous pourrez conserver les journaux en dehors du programme, et vous pourrez également les regrouper au sein de votre organisation.

Vous devriez vérifier la période de conservation des données de journalisation pour votre niveau d’abonnement et implémenter une extension d’exportation de ces données pour les envoyer à un service externe d’analyse des journaux. Vous pouvez utiliser l’une de nos solutions de Log streaming sur l’Auth0 Marketplace.

Les équipes de développement peuvent utiliser les fichiers de journalisation pour la détection et la résolution d’erreurs intermittentes qui peuvent être difficiles à identifier lors des tests d’assurance qualité. Les équipes de sécurité voudront probablement disposer de données de journalisation au cas où des données médico-légales seraient nécessaires. L’exportation des fichiers journaux vers des services qui fournissent des analyses complètes peut vous aider à identifier des modèles tels que les tendances d’utilisation et les déclencheurs de mesures de protection contre les attaques.

Auth0 fournit un code d’erreur unique pour les erreurs signalées lorsque la limite d’utilisation est dépassée. Vous devriez configurer l’analyse automatique des journaux pour vérifier les erreurs de limite d’utilisation afin de pouvoir traiter de manière proactive les activités qui dépassent ces limites avant qu’elles ne gênent trop vos utilisateurs. Auth0 publie également des codes d’erreur pour d’autres types d’erreurs. Il vous sera donc utile de rechercher dans les journaux les erreurs d’authentification ainsi que les erreurs liées aux appels vers Management API (les codes d’erreur de Management API sont affichés sous chaque appel dans l’explorateur de Management API).

Vous devez mettre en place des mécanismes de contrôle des implémentations Auth0, afin que votre équipe d’assistance ou d’exploitation reçoive les informations nécessaires en temps utile afin de gérer de manière proactive les interruptions de service. Auth0 fournit des points de terminaison de surveillance qui peuvent être incorporés dans votre infrastructure de contrôle. Ces points de terminaison sont conçus pour fournir une réponse adaptée aux services de surveillance. Il convient de préciser qu’ils ne fournissent des données que sur Auth0. Pour une surveillance complète de bout en bout, essentielle pour vérifier la capacité des utilisateurs à se connecter, nous vous recommandons de mettre en place un système de surveillance synthétique des transactions. Vous obtiendrez ainsi une plus grande granularité pour votre surveillance et pourrez détecter les interruptions de service qui ne sont pas liées à Auth0 ainsi que la dégradation des performances, ce qui vous permettra de réagir de manière plus proactive.

Il existe plusieurs types de notifications émises par Auth0 que vous devez surveiller, car elles contiennent des informations importantes qui peuvent avoir une incidence sur votre ou vos locataires et votre projet.

Auth0 peut envoyer de temps à autre un message important à propos de votre locataire. Ces annonces concernant votre service seront envoyées à l’Auth0 Dashboard, ou par courriel aux administrateurs enregistrés de l’Auth0 Dashboard selon l’importance du message. Vous devez vous connecter régulièrement au tableau de bord et vérifier l’icône de la cloche en haut pour tout avis important. De plus, vous devriez rester à l’affût des courriels d’Auth0, car ils peuvent contenir des informations importantes sur des changements ou des actions que vous devez entreprendre.

Auth0 effectue régulièrement un certain nombre de tests de sécurité et, si des problèmes sont détectés, identifie et avise de manière proactive les clients qui doivent effectuer des changements en matière de sécurité. Cependant, en raison de la nature extensible du produit Auth0, il se peut qu’il ne soit pas en mesure d’identifier tous les clients concernés, d’où l’importance de consulter régulièrement les bulletins de sécurité d’Auth0.

Auth0 fournit des informations sur les changements apportés au service dans le journal des modifications d’Auth0. Il est conseillé de consulter régulièrement le journal des modifications d’Auth0 afin de prendre connaissance des changements opérés. Les équipes d’assistance qui examinent un problème peuvent juger utile de consulter le journal des modifications pour déterminer si des changements récents ont un lien avec le problème, en particulier s’il s’agit de changements de rupture. Les équipes de développement voudront également examiner les journaux des modifications afin d’identifier les nouvelles fonctionnalités qui pourraient être utiles.

Lors du provisionnement d’organisations, il est essentiel de prendre en compte les éléments suivants :

• Vous devrez ajouter l’organisation à la configuration de votre application et/ou à votre base de données interne.

• Plusieurs modifications seront nécessaires dans votre configuration Auth0, parmi lesquelles :

  • Création d’un locataire unique

  • Ajout d’une connexion à la base de données (si vous avez séparé les utilisateurs par organisation)

  • Ajout d’une connexion d’entreprise pour cette organisation

    • Cela inclura la collaboration avec l’organisation pour mettre à jour sa configuration existante ou ajouter une configuration pour votre locataire Auth0 s’il ne s’agit pas d’une ancienne organisation.

  • Provisionner un administrateur pour l’organisation

• Pour éviter les erreurs, il pourrait être judicieux de créer un portail d’administration d’organisation, afin de simplifier le processus de provisionnement des nouvelles organisations.

Un portail d’administration d’organisation est un portail qui permet à vos administrateurs de créer, de modifier et de supprimer des organisations. Plusieurs actions doivent être réalisées à la fois dans votre système interne et dans votre locataire Auth0. Ce portail devra probablement exister dans votre propre système afin d’avoir accès à vos magasins de données et à votre configuration. Cependant, Auth0 fournit Management API d’Auth0 afin que vous puissiez intégrer les modifications à votre locataire Auth0 en même temps que vous créez les modifications dans votre propre système.

Il existe deux principales approches qui peuvent être adoptées pour créer une nouvelle organisation. Le choix de l’une ou l’autre dépend fortement de votre tolérance concernant le temps nécessaire pour mettre en place cette nouvelle organisation.

• Mises à jour en direct de votre locataire Auth0 : Si vous souhaitez créer de nouvelles organisations en temps réel, il serait probablement judicieux d’apporter les modifications directement à votre locataire Auth0 en utilisant Management API. Cela permet des changements en temps réel et que l’ajout d’une nouvelle organisation prenne effet immédiatement.

• Modifier le référentiel et redéployer : Si vous utilisez l’outil Deploy CLI (ou une ligne de commande personnalisée) dans le cadre de votre pipeline CI/CD, vous préférerez peut-être envoyer vos modifications directement à votre référentiel, puis lancer un nouveau déploiement. Cela peut prendre un peu plus de temps, mais offre des avantages tels que la gestion de l’historique des versions et la possibilité de revenir en arrière en réimplantant une version antérieure.

Si les connexions Auth0 facilitent la configuration des IdPs, ceux des organisations clientes peut prendre beaucoup de temps à intégrer, surtout si vous faites régulièrement affaire avec de nouveaux clients si les organisations existantes ont des exigences qui évoluent en matière d’IdP. Par conséquent, bon nombre de nos clients ont jugé utile de créer un portail en libre-service pour les administrateurs des organisations clientes afin qu’ils puissent configurer leurs propres IdPs. Cela réduit la charge de travail qui pèse sur votre service informatique. Management API d’Auth0 offre toutes les fonctionnalités de gestion des connexions nécessaires à cet effet.

Nous fournissons un guide de planification en format PDF que vous pouvez télécharger; vous pouvez vous y référer pour de plus amples détails concernant nos stratégies recommandées.

Plusieurs plateformes mettent en œuvre une forme d’isolation et/ou d’image de marque pour les organisations de leurs clients, ce qui peut ajouter de la complexité à tout système de Gestion des identités et des accès (IAM). Si cela s’applique à vous, nous vous conseillons de prendre le temps de lire nos conseils et bonnes pratiques pour ce type d’environnement.

Architecture à organisations multiples