立ち上げ前のヒント

Auth0サービスの利用を始めるにあたってユーザーが大いに役に立つと感じたヒントをまとめました。

  • 許可されているコールバック、CORSのURL、およびログアウト用に許可されているリダイレクトURLが正しいか、完全か、file:///またはlocalhostの使用を含んでいないかを確認してください。ワイルドカードの使用を最小限に抑え、ワイルドカードがもたらすセキュリティ面での予期しない影響を慎重に検討してください。

  • 本番、テスト、開発用に別々のテナントを使用する

  • 当社の公開APIセットとの間のトラフィックを許可するようにネットワークを正しく設定してください(本番環境は開発/ステージング環境とは設定が異なる場合があります)。

  • 設定に追加した証明書の有効期限を確認し、開発サイクル中にアップロードした証明書が、公開中または公開直後に期限切れにならないことを確認してください。

  • リモートIDPがNTPを実行していることを確認して、時刻が適切に同期されるようにしてください。

  • ログデータの利用可能日数はプランによって異なり、最大で30日間です。それよりも長期にわたってログデータを保持する必要がある場合は、当社のログストリーミングソリューションのいずれかを設定する必要があります。これにより、ログデータをさらに長期間保存できるようになります。システムの稼働を開始する前に必ずこれを設定し、必要なときにログデータが確実に取得できるようにしておいてください。

  • 当社のAPIの使用が許可された制限内に収まっていることを確認し、ヘッダーで返されるレート制限情報に動的に適応し、エラーを処理するコードを記述してください。もし、お客様のアプリケーションでレート制限が問題になることが予想される場合は、トラフィックが通常に戻るまでの間、一時的にレート制限を緩和できるかどうか、事前にご相談ください。必要以上にAPIエンドポイントに問い合わせを行わなくて済むように、ユーザーデータのキャッシュの使用を検討する必要があります。

  • ソーシャル接続を使用する場合は、必ずプロバイダーから認証情報を取得し、ソーシャル接続の設定に追加してください。

  • カスタムDB接続を使用している場合は、すべてのカスタムDBスクリプトが実装され、一意のユーザーIDを持つ一貫したユーザープロファイルが返されることを確認してください。

  • メールを送信する場合は、まずカスタムメールプロバイダーを設定して

  • Lockウィジェットに当社のCDNを利用する場合は、必ず特定のバージョンに固定してください。

  • アクション、ルール、フック、およびカスタムデータベース接続スクリプトから呼び出される外部コンポーネントが、想定される負荷を処理できることを確認してください。

  • クライアントのシークレット値を適切に保護してください。

  • アプリケーションの付与タイプを確認してください。正しい付与タイプが有効になっていることを確認してください。また、必要のない付与タイプを無効にすることはさらに重要です。

  • user_metadataを利用する場合は、それがユーザー自身で変更できるデータであることを確認してください(例:「支払い状況」ではないこと)。

  • 攻撃防御の設定を再確認し、攻撃防御を読んで、ブロックされたユーザーのブロックを解除する方法について理解してください。

  • テナント設定 - 管理セクションを再確認し、適切な管理者のみがAuth0 Dashboardにアクセスできるようにしてください。詳細については、Dashboardへのアクセス管理を参照してください。

  • アプリケーションのエンドユーザーが使用する可能性のあるすべてのデバイスで、アプリケーションのすべてのコアユースケースをテストしたことを確認してください。ログイン、シングルサインオン(サポートされている場合)、ログのほか、ユーザーが複数のブラウザータブでアプリケーションを実行した場合の動作も必ずテストしてください。

  • ルールのリストを再確認し、適切なルールのみが有効になっていることを確認してください。

  • ルールコード、カスタムDBスクリプト、ログインページ内のカスタムコードを再確認して、すべての呼び出しに適切なエラーとラッピングと処理がされていることを確認してください。また、return/callbackのステートメントが正しく呼び出されていることも再確認してください。

  • エラーが発生した際にエンドユーザーが適切なページにリダイレクトされるように、テナント設定 - 一般セクションでアプリケーション名、サポートURL、サポートメールを設定してください。

  • アプリケーションが動的に管理APIトークンを取得していることを確認してください。

  • console.logのステートメントをルールまたはカスタムDBスクリプトから削除してください。特に、メールアドレス、ユーザー名、パスワードなど、ユーザーを特定できる情報が漏洩する可能性があるものです。

  • ルールやDB接続でプレーンテキストのシークレットを使用しないでください。それらはインターフェイスの構成部分に追加する必要があります。そうすることで構成が暗号化され、ジャストインタイムで提供されます。構成オブジェクトをログに記録しないでください。

もっと詳しく