一般的な使用と運用のベストプラクティス

以下は、Auth0の一般的な使用と運用について推奨されるベストプラクティスです。

ログファイルをキャプチャする

Auth0は一定の期間、テナントログを保持します。(詳細については、「ログ」をお読みください。)ログデータを取得して別の場所に保管するには、Auth0 Management APIログイベント検索エンドポイントを使用するか、外部のサービスにログをストリーミングするか、LogglyやSplunkなどのサービスの拡張機能でログイベントをエクスポートすることができます。

独自のメールプロバイダーをセットアップして、メールテンプレートをカスタマイズする

Auth0はテストメールプロバイダーを提供して、デフォルトの歓迎メールや確認メッセージをテナント構成中にテストできるようにしています。詳細については、「メール」をお読みください。テストプロバイダーが送信できるメールの数は限られているため、独自のメールサーバーを構成する必要があります。また、それぞれのテナントには一意のメールプロバイダーアカウントを設定することをお勧めします。テナント間でメールアカウントを共有すると、サービスを変更した際に、対象外のテナントで問題の原因やサービスの中断に繋がる可能性があります。

Auth0から送信するメールには、必ずテンプレートを構成してカスタマイズしてください。そのようなテンプレートには、メール確認メッセージ、歓迎メッセージ、パスワードリセットのメッセージなどがあります。カスタムテンプレートについては、差出人のアドレス、分かりやすい件名、カスタムの内容、(パスワードリセットのリンクなど)リンクのあるメールにはリンクのタイムアウトを指定します。

Auth0のエンドポイントにTLS証明書のピン留めや指紋指定は行わない

Auth0は、Auth0 APIエンドポイントでのTLS証明書のピン留めや指紋指定には対応していません。そのような処理は、アプリケーションやサービス内で中断や予期しない動作の原因になります。

Auth0のエンドポイントで提示される証明書は、さまざまな有効期限で発行されています。それらの証明書を更新する中間認証局やルート認証局もさまざまです。証明書チェーンの何らかがいつ変更されるかは分からないため、ピン留めや指紋指定は避けてください。

Auth0ステータスページの最新情報を受け取る

Auth0のステータスページで通知に登録します。Auth0で何らかが利用できない場合には、登録者とサポートスタッフに通知が送信されます。

カスタムコードをソースコードリポジトリに保管する

CI/CD(継続的インテグレーション/継続的デプロイメント)の完全なパイプラインがある場合には、Auth0 Deploy CLIツールを使用して柔軟性を向上させることができます。詳細については、「Deploy CLIツール」をお読みください。

auth0-deploy-cliツールは、機能の拡張やセキュリティの改善、バグ修正を提供するために、定期的に更新されます。新しいバージョンにアップグレードする前に、リリースノートを確認し、状況に応じて構成ファイルを更新してください。

構成値をDashboardに保管する

アクション、ルール、フック、カスタムデータベーススクリプトまたはWebタスクに構成値(資格情報やAPIキーなど)が必要な場合には、Auth0 Dashboardに保管しておきます。構成値をDashboardに保管すると、テナント間で構成を移行しやすくなります。詳細については、「複数の環境をセットアップする」をお読みください。

Auth0のパブリックIPアドレスをAllowListに追加する

アクション、ルール、フック、カスタムデータベーススクリプトまたはWebタスクが、イントラネットやファイアウォールの内側にあるサービスを呼び出す場合には、必ずAuth0のパブリックIPアドレスをAllowListに追加してください。それらのIPアドレスから要求が送信できるようになります。Auth0 Dashboardでは各リージョンのIPアドレスを見つけて、ルール、フックまたはカスタムデータベースを編集することができます。

テナントの構成チェックを実行する

Auth0サポートセンターは構成チェッカーツールを提供しています。開発中やデプロイメント前には、構成チェッカーを定期的に実行してください。

構成チェックを実行するには、[Auth0 Support Center(Auth0サポートセンター)]>[Tenant(テナント)]に移動し、歯車アイコンを選択してから[Run Production Check(運用チェックの実行)]を選択します。

ASNバインディングの最適化

自律システム番号(ASN)は、自律システムに割り当てられた一意の識別子です。自律システムは、サービスプロバイダーが所有する管理ドメイン(AD)に制御されたIPネットワークとルーティングデバイスで構成されます。DashboardユーザーにはASNバインディングがデフォルトで有効化され、構成はできません。

TeamsやAuth0 Dashboardへのアクセスでリダイレクトループが発生したり、パスワードが頻繁に求められたりする場合は、以下のベストプラクティスに従って潜在的な問題を軽減させてください:

  • 企業または商用のVPN接続が不安的な場合には、IPとASNが変化している可能性があります。VPNに接続されている間は、インターネットへの接続に使用されているパブリックIPが変わらないことを確認します。

  • VPNの使用中にVPN接続が安定していることを確認します。ネットワークが不安定で接続や切断がランダムに発生する場合には、パブリックIPとASNが頻繁に変わっている可能性があります。

  • 企業によっては、ネットワークやファイアウォールのロードバランサーを使用して、1つのインターネットサービスプロバイダーに依存していることから発生するインターネットサービスの中断を防止しています。TeamsやAuth0 Dashboardへのアクセス中に、パブリックIPが頻繁に変わっていないことを確認します。別のネットワークを使用して、ログインに成功するかを試してみます。