生産準備チェック:ベストプラクティス
以下のチェックは自動化できないため、生産導入前に手動でチェックすることをお勧めします。
| 確認事項 | 説明 |
|---|---|
| 構成パラメーターの外部化 | ルールやフック、カスタムデータベース接続の開発では、資格情報、接続文字列、APIキーなどの構成パラメーターはコードに埋め込むのではなく、すべて外部化します。 |
| シングルサインオン(SSO)のタイムアウト値の見直し | デフォルトのSSOクッキーのタイムアウト値を見直して、Auth0の要件に合致していることを確認します。 |
| テナントと管理者 | すべてのテナントと管理者を見直して、正しいことを確認します。使用されなくなったテナントは廃止します。テナント管理者が必要なユーザーのみに限定されていることを確認します。 |
| アプリのコードにあるクライアントIDの照合 | アプリケーションのコードにあるクライアントIDがAuth0アプリケーションの構成と合致していることを確認します。 |
| Auth0のパブリックIPをAllowlistに追加 | ルールやフック、カスタムデータベースを使って内部サービスやファイアウォール内部のサービスに接続する場合は、Auth0のIPをAllowlistに追加します。IPアドレスのリストは、これらのいずれかを構成する際にツールチップで取得することができます。 |
| 攻撃防御の見直し | Auth0の防御機能と構成を見直すことをお勧めします。 |