| 確認事項 | 説明 |
|---|---|
| 構成パラメーターの外部化 | ルールやフック、カスタムデータベース接続の開発では、資格情報、接続文字列、APIキーなどの構成パラメーターはコードに埋め込むのではなく、すべて外部化します。 |
| のタイムアウト値の見直し | デフォルトのSSOクッキーのタイムアウト値を見直して、Auth0の要件に合致していることを確認します。 |
| テナントと管理者 | すべてのテナントと管理者を見直して、正しいことを確認します。使用されなくなったテナントは廃止します。テナント管理者が必要なユーザーのみに限定されていることを確認します。 |
| アプリのコードにあるクライアントIDの照合 | アプリケーションのコードにあるクライアントIDがAuth0アプリケーションの構成と合致していることを確認します。 |
| Auth0のパブリックIPをAllowlistに追加 | ルールやフック、カスタムデータベースを使って内部サービスやファイアウォール内部のサービスに接続する場合は、Auth0のIPをAllowlistに追加します。IPアドレスのリストは、これらのいずれかを構成する際にツールチップで取得することができます。 |
| 攻撃防御の見直し | Auth0の防御機能と構成を見直すことをお勧めします。 |
生産準備チェック:ベストプラクティス
アプリケーションがAuth0のベストプラクティスに準拠していることを確認するためのチェック
以下のチェックは自動化できないため、生産導入前に手動でチェックすることをお勧めします。
⌘I