Configurer l’authentification mTLS pour un locataire
Apprenez comment configurer l’authentification mTLS pour un locataire.
Les exemples suivants spécifient $management_access_token, ou un jeton d’accès de Management API. Il doit être remplacé par un jeton d’accès contenant au moins les permissions suivantes :
create:custom_domainsread:custom_domainscreate:clientsupdate:clientsupdate:client_credentialsupdate:client_keysupdate:tenant_settings
Pour en savoir plus sur la récupération d’un jeton d’accès avec les permissions requises, lisez Obtenir des jetons d’accès.
Pour commencer, vous devez configurer et vérifier un domaine personnalisé.
Création du domaine personnalisé
Au niveau du locataire, vous devez configurer un domaine personnalisé pour accepter des en-têtes mTLS avec Management API. Étant donné que l’avantage client est responsable pour valider les certificats du client, réglez le type comme self_managed_certs dans la requête POST :
curl --location --request POST 'https://$tenant/api/v2/custom-domains' \
--header 'Authorization: Bearer $management_access_token' \
--header 'Content-Type: application/json' \
--data-raw '{
"domain":"string",
"type":"self_managed_certs",
"verification_method":"txt",
"tls_policy":"recommended",
"custom_client_ip_header":"true-client-ip"
}'Was this helpful?
Une requête réussie renvoie un identifiant utilisé pour vérifier le domaine personnalisé. Plus en savoir plus, consultez la documentation API Configurer un nouveau domaine personnalisé.
Corriger un domaine personnalisé existant
Vous pouvez configurer un domaine personnalisé existant pour accepter des en-têtes mTLS avec Management API. Cependant, vous ne pouvez pas mettre le type à jour pour un domaine personnalisé existant.
Seuls les domaines personnalisés de type self_managed_certs peuvent être utilisés pour mTLS. Auth0 ne prend actuellement pas en charge le type auth0_managed_certs pour mTLS.
La requête POST suivante configure un domaine personnalisé existant pour accepter les en-têtes mTLS :
curl --location --request POST 'https://$tenant/api/v2/custom-domains/:id' \
--header 'Authorization: Bearer $management_access_token' \
--header 'Content-Type: application/json' \
--data-raw '{
"tls_policy":"recommended",
"custom_client_ip_header":"true-client-ip"
}'Was this helpful?
Plus en savoir plus, consultez la documentation API Mettre à jour la configuration d’un domaine personnalisé.
Vérifier le domaine personnalisé
Avant qu’Auth0 accepte les requêtes pour créer et mettre à jour le domaine personnalisé, il doit premièrement vérifier le domaine. Utilisez Management API pour envoyer la requête POST suivante afin de vérifier le domaine personnalisé :
curl --location --request POST 'https://$tenant/api/v2/custom-domains/:id/verify'Was this helpful?
Vérifiez le champ status pour voir le statut des vérifications. Une fois la vérification terminée, il peut s’écouler jusqu’à 10 minutes avant que le domaine personnalisé puisse commencer à accepter des requêtes.
Quand Auth0 vérifie le domaine personnalisé pour la première fois, la réponse comprend la cname_api_key, qui est nécessaire pour configurer votre proxy Edge/inverse. Cette clé doit rester secrète et est utilisée pour valider les requêtes transférées.
Pour en savoir plus, consultez la documentation API Vérifier un domaine personnalisé.
Activer les alias de points de terminaison mTLS
Quand l’établissement d’une liaison mTLS demande le certificat d’un client directement à ce dernier, le navigateur présente une boîte de dialogue modale à l’utilisateur pour qu’il sélectionne un certificat. Cela introduit des frictions dans l’expérience utilisateur et doit être évité pour les points de terminaison où mTLS n’est pas nécessaire, comme le point de terminaison /authorize. Par conséquent, les clients prenant en charge le trafic mTLS et non-mTLS sur différents domaines doivent activer les alias de point de terminaison mTLS.
Les alias de point de terminaison mTLS indiquent que les clients devraient envoyer le trafic mTLS aux points de terminaison indiqués dans la propriété mtls_endpoint_aliases du document de découverte OIDC. Les clients enverront le trafic non-mTLS aux points de terminaison normaux. Pour obtenir plus d’information sur la propriété mtls_endpoint_aliases, consultez Appeler le serveur de ressources.
Vous pouvez activer les alias de points de terminaison mTLS avec Auth0 Dashboard (Tableau de bord Auth0) et Management API.
Pour activer les alias des points de terminaison mTLS à l’aide du Auth0 Dashboard :
Naviguez jusqu’à Auth0 Dashboard et sélectionnez Settings (Paramètres) dans le menu latéral.
Sous Tenant Settings (Paramètres du locataire), sélectionnez l’onglet Advanced (Avancé).
Trouvez l’option Allow mTLS Endpoint Aliases (Autoriser les alias de point de terminaison mTLS) et activez-la. Cela dirigera le trafic mTLS vers un point de terminaison appelé
mtls.<your custom domain>.
Pour activer les alias des points de terminaison mTLS à l’aide de la Management API, enable_endpoint_aliases property à true pour votre locataire :
curl --location --request PATCH 'https://$tenant/api/v2/tenants/settings' \
--header 'Authorization: Bearer $management_access_token' \
--header 'Content-Type: application/json' \
--data-raw '{
"mtls": {
"enable_endpoint_aliases": true
}
}'Was this helpful?
Les alias des points de terminaison mTLS ajoute le préfixe mtls. au domaine personnalisé configuré. Par exemple, si le domaine personnalisé configuré est auth.saasapp.com, les alias des points de terminaison mTLS utiliseront le domaine mtls.auth.saasapp.com. En fonction de la rétroaction, les clients peuvent être en mesure de configurer les alias des points de terminaison mTLS à l’avenir.
Le sous-domaine mTLS est hors du contrôle d’Auth0. Les administrateurs doivent être conscients des risques liés aux sous-domaines et agir en conséquence. Cela inclut, mais n’est pas limité à :
Garantir la propriété et la capacité d’administrer le domaine de premier niveau et les sous-domaines utilisés avec mTLS. Dans le cas contraire, le gestionnaire de connexion et le sous-domaine mTLS pourraient être perdus. Cela est particulièrement important lors de l’utilisation de domaines personnalisés.
Vous assurer que vous disposez d’un certificat SSL pour le sous-domaine mTLS, c’est-à-dire
mtls.auth.saasapp.com. Un certificat générique (« wildcard »), tel que*.saasapp.comn’inclut pas le sous-domaine mTLS.
Prévenir des prises de contrôle de sous-domaines dues à des entrées DNS en suspens si une adresse IP n’est plus utilisée. Pour plus d’informations, consultez la documentation Mozilla Developer Network (MDN) Subdomain takeovers (Prises de contrôle de sous-domaine).
Pour désactiver les alias de point de terminaison mTLS, définissez la valeur enable_endpoint_aliases sur false. Pour plus d’informations, consultez la documentation de l’API Mettre à jour les paramètres du locataire.