> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurer l’authentification mTLS pour un locataire

> Décrit comment configurer l’authentification mTLS pour un locataire.

Apprenez comment configurer l’authentification mTLS pour un locataire.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Les exemples suivants spécifient **\$management\_access\_token**, ou un [jeton d’accès de Management API](/docs/fr-ca/secure/tokens/access-tokens/management-api-access-tokens). Il doit être remplacé par un jeton d’accès contenant au moins les permissions suivantes :

  * `create:custom_domains`
  * `read:custom_domains`
  * `create:clients`
  * `update:clients`
  * `update:client_credentials`
  * `update:client_keys`
  * `update:tenant_settings`

  Pour en savoir plus sur la récupération d’un jeton d’accès avec les permissions requises, lisez [Obtenir des jetons d’accès](/docs/fr-ca/secure/tokens/access-tokens/get-access-tokens).
</Callout>

Pour commencer, vous devez configurer et vérifier un [domaine personnalisé](/docs/fr-ca/customize/custom-domains).

### Création du domaine personnalisé

Au niveau du locataire, vous devez configurer un [domaine personnalisé](/docs/fr-ca/customize/custom-domains) pour accepter des en-têtes mTLS avec [Management API](https://auth0.com/docs/api/management/v2). Étant donné que l’[avantage client](/docs/fr-ca/get-started/applications/configure-mtls/set-up-the-customer-edge) est responsable pour valider les certificats du client, réglez le `type` comme `self_managed_certs` dans la requête POST :

```json lines theme={null}
curl --location --request POST 'https://$tenant/api/v2/custom-domains' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
  "domain":"string",
  "type":"self_managed_certs",
  "verification_method":"txt", 
  "tls_policy":"recommended",
  "custom_client_ip_header":"true-client-ip"
}'
```

Une requête réussie renvoie un identifiant utilisé pour vérifier le domaine personnalisé. Plus en savoir plus, consultez la documentation API [Configurer un nouveau domaine personnalisé](https://auth0.com/docs/api/management/v2/custom-domains/post-custom-domains).

### Corriger un domaine personnalisé existant

Vous pouvez configurer un domaine personnalisé existant pour accepter des en-têtes mTLS avec [Management API](https://auth0.com/docs/api/management/v2). Cependant, vous ne pouvez pas mettre le `type` à jour pour un domaine personnalisé existant.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Seuls les domaines personnalisés de type `self_managed_certs` peuvent être utilisés pour mTLS. Auth0 ne prend actuellement pas en charge le type `auth0_managed_certs` pour mTLS.
</Callout>

La requête POST suivante configure un domaine personnalisé existant pour accepter les en-têtes mTLS :

```json lines theme={null}
curl --location --request POST 'https://$tenant/api/v2/custom-domains/:id' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
  "tls_policy":"recommended",
  "custom_client_ip_header":"true-client-ip"
}'
```

Plus en savoir plus, consultez la documentation API [Mettre à jour la configuration d’un domaine personnalisé](https://auth0.com/docs/api/management/v2/custom-domains/patch-custom-domains-by-id).

### Vérifier le domaine personnalisé

Avant qu’Auth0 accepte les requêtes pour créer et mettre à jour le domaine personnalisé, il doit premièrement vérifier le domaine. Utilisez [Management API](https://auth0.com/docs/api/management/v2) pour envoyer la requête POST suivante afin de vérifier le domaine personnalisé :

```json lines theme={null}
curl --location --request POST 'https://$tenant/api/v2/custom-domains/:id/verify'
```

Vérifiez le champ `status` pour voir le statut des vérifications. Une fois la vérification terminée, il peut s’écouler jusqu’à 10 minutes avant que le domaine personnalisé puisse commencer à accepter des requêtes.

Quand Auth0 vérifie le domaine personnalisé pour la première fois, la réponse comprend la `cname_api_key`, qui est nécessaire pour configurer votre proxy Edge/inverse. Cette clé doit rester secrète et est utilisée pour valider les requêtes transférées.

Pour en savoir plus, consultez la documentation API [Vérifier un domaine personnalisé](https://auth0.com/docs/api/management/v2/custom-domains/patch-custom-domains-by-id).

### Activer les alias de points de terminaison mTLS

Quand l’établissement d’une liaison mTLS demande le certificat d’un client directement à ce dernier, le navigateur présente une boîte de dialogue modale à l’utilisateur pour qu’il sélectionne un certificat. Cela introduit des frictions dans l’expérience utilisateur et doit être évité pour les points de terminaison où mTLS n’est pas nécessaire, comme le point de terminaison `/authorize`. Par conséquent, les clients prenant en charge le trafic mTLS et non-mTLS sur différents domaines doivent activer les alias de point de terminaison mTLS.

Les alias de point de terminaison mTLS indiquent que les clients devraient envoyer le trafic mTLS aux points de terminaison indiqués dans la propriété `mtls_endpoint_aliases` du document de découverte OIDC. Les clients enverront le trafic non-mTLS aux points de terminaison normaux. Pour obtenir plus d’information sur la propriété `mtls_endpoint_aliases`, consultez [Appeler le serveur de ressources](/docs/fr-ca/get-started/authentication-and-authorization-flow/authenticate-with-mtls#call-the-resource-server).

Vous pouvez activer les alias de points de terminaison mTLS avec <Tooltip href="/docs/fr-ca/glossary?term=auth0-dashboard" tip="Auth0 Dashboard
Principal produit d’Auth0 pour configurer vos services." cta="Voir le glossaire">Auth0 Dashboard</Tooltip> (Tableau de bord Auth0) et <Tooltip href="/docs/fr-ca/glossary?term=management-api" tip="Management API
Un produit permettant aux clients d’effectuer des tâches administratives." cta="Voir le glossaire">Management API</Tooltip>.

<Tabs>
  <Tab title="Auth0 Dashboard">
    Pour activer les alias des points de terminaison mTLS à l’aide du Auth0 Dashboard :

    1. Naviguez jusqu’à [Auth0 Dashboard](/docs/fr-ca/%24manage_url/#) et sélectionnez **Settings (Paramètres)** dans le menu latéral.
    2. Sous Tenant Settings (Paramètres du locataire), sélectionnez l’onglet **Advanced (Avancé)**.
    3. Trouvez l’option **Allow mTLS Endpoint Aliases (Autoriser les alias de point de terminaison mTLS)** et activez-la. Cela dirigera le trafic mTLS vers un point de terminaison appelé `mtls.<your custom domain>`**.**
  </Tab>

  <Tab title="Management API">
    Pour activer les alias des points de terminaison mTLS à l’aide de la [Management API](https://auth0.com/docs/api/management/v2), `enable_endpoint_aliases` property à `true` pour votre locataire :

    ```json lines theme={null}
    curl --location --request PATCH 'https://$tenant/api/v2/tenants/settings' \
      --header 'Authorization: Bearer $management_access_token' \
      --header 'Content-Type: application/json' \
      --data-raw '{
      "mtls": {
        "enable_endpoint_aliases": true
      }
    }'
    ```

    Les alias des points de terminaison mTLS ajoute le préfixe `mtls.` au domaine personnalisé configuré. Par exemple, si le domaine personnalisé configuré est `auth.saasapp.com`, les alias des points de terminaison mTLS utiliseront le domaine `mtls.auth.saasapp.com`. En fonction de la rétroaction, les clients peuvent être en mesure de configurer les alias des points de terminaison mTLS à l’avenir.

    <Warning>
      Le sous-domaine mTLS est hors du contrôle d’Auth0. Les administrateurs doivent être conscients des risques liés aux sous-domaines et agir en conséquence. Cela inclut, mais n’est pas limité à :

      * Garantir la propriété et la capacité d’administrer le domaine de premier niveau et les sous-domaines utilisés avec mTLS. Dans le cas contraire, le gestionnaire de connexion et le sous-domaine mTLS pourraient être perdus. Cela est particulièrement important lors de l’utilisation de [domaines personnalisés](/docs/fr-ca/customize/custom-domains).
      * Vous assurer que vous disposez d’un certificat SSL pour le sous-domaine mTLS, c’est-à-dire `mtls.auth.saasapp.com`. Un certificat générique (« wildcard »), tel que `*.saasapp.com` n’inclut pas le sous-domaine mTLS.

      Prévenir des prises de contrôle de sous-domaines dues à des entrées DNS en suspens si une adresse IP n’est plus utilisée. Pour plus d’informations, consultez la documentation Mozilla Developer Network (MDN) [Subdomain takeovers (Prises de contrôle de sous-domaine)](https://developer.mozilla.org/en-US/docs/Web/Security/Subdomain_takeovers).
    </Warning>

    Pour désactiver les alias de point de terminaison mTLS, définissez la valeur `enable_endpoint_aliases` sur `false`. Pour plus d’informations, consultez la documentation de l’API [Mettre à jour les paramètres du locataire](https://auth0.com/docs/api/management/v2/tenants/patch-settings).
  </Tab>
</Tabs>

## En savoir plus

* [Authentification avec mTLS](/docs/fr-ca/get-started/authentication-and-authorization-flow/authenticate-with-mtls)
* [Configurer le réseau de périphérie client](/docs/fr-ca/get-started/applications/configure-mtls/set-up-the-customer-edge)
* [Configurer l’authentification mTLS pour un client](/docs/fr-ca/get-started/applications/configure-mtls/configure-mtls-for-a-client)
