Clés de connexion
Lorsque vous sélectionnez notre algorithme de signature recommandé (RS256), Auth0 utilise le chiffrement à clé publique pour établir la confiance avec vos applications. En termes plus généraux, nous utilisons une clé de connexion composée d’une paire de clés publique et privée.
Les clés de connexion sont utilisées pour signer les jetons d’ID, les jetons d’accès, les assertions SAML et les assertions WS-Fed envoyées à votre application ou à votre API. La clé de connexion est une clé Web JSON (JWK) qui contient une clé publique bien connue, utilisée pour valider la signature d’un jeton Web JSON signé (JWT). Un jeu de clés Web JSON (JWKS) est un ensemble de clés contenant les clés publiques utilisées pour vérifier tout JWT émis par le serveur d’autorisations et signé à l’aide de l’algorithme de signature RS256. Le service ne peut utiliser qu’un seul JWK pour valider les jetons Web. Toutefois, le JWKS peut contenir plusieurs clés si le service a effectué une rotation des certificats de signature.
Fonctionnement
Lorsqu’un utilisateur se connecte à votre application, nous créons un jeton qui contient des informations à propos de cet utilisateur et nous signons le jeton à l’aide de sa clé privée avant de le renvoyer à votre application. Auth0 sécurise la clé privée, qui est unique par locataire.
Pour vérifier que le jeton est valide et provient d’Auth0, votre application valide la signature du jeton à l’aide de la clé publique. Nous fournissons d’autres capacités de gestion des clés de sécurité des applications par le biais de notre Dashboard et de notre Management API.
Auth0 recommande d’effectuer une rotation régulière des clés afin d’être prêt à agir en cas de violation de la sécurité.
Des certificats de signature d’application supplémentaires sont énumérés ci-dessous.
Ces liens sont renseignés en utilisant votre locataire actif pour vous fournir une information précise. Vous devez être connecté à auth0.com/docs avec les identifiants de votre locataire pour accéder à ces liens.
Pour vous connecter, sélectionnez Connexion en haut à droite. Après la connexion, vous pouvez changer de locataire en sélectionnant votre icône de profil et en choisissant Changer de locataire.
Vous pouvez également récupérer ces informations pour des applications individuelles via Auth0 Dashboard. Pour ce faire, accédez à la page Paramètres d’une application spécifique. Développez ensuite les Paramètres avancés et choisissez l’onglet Certificats.
Nous utilisons la clé de connexion d’application pour signer les assertions qui sont envoyées aux applications. Ces assertions peuvent inclure des jetons d’ID, des jetons d’accès, des assertions SAML et des assertions WS-Fed. Notez que ces clés sont différentes de celles utilisées pour signer les interactions avec les connexions, y compris la signature des demandes SAML aux fournisseurs d’identité (IdP) et le chiffrement des réponses des IdP.
Par défaut, les assertions SAML pour les connexions IdP sont signées, ce que nous recommandons. Pour obtenir les clés publiques que vous pouvez utiliser pour configurer l’IdP, consultez Configuration du fournisseur d’identités SAML : assertions signées.
Le processus de rotation et de révocation prend en compte vos préférences personnelles et favorise une transition harmonieuse pour votre application. Si vous préférez tout d’abord mettre à jour votre application, puis effectuer la rotation et la révocation de votre clé, vous pouvez le faire. Alternativement, si vous préférez effectuer une rotation de votre clé, puis mettre à jour votre application et révoquer votre ancienne clé, vous pouvez également le faire.
Les clés disponibles comprennent :
Actuellement utilisée : Clé actuellement utilisée pour signer toutes les nouvelles assertions.
Utilisée précédemment : Clé qui a été utilisée précédemment, mais qui a été retirée par rotation. Les assertions qui ont été générées avec cette clé fonctionneront toujours.
Next in queue (Suivante dans la file d’attente) : Clé en attente qui remplacera la clé actuelle lors de la prochaine rotation de la clé de connexion de l’application.
Testez toujours la rotation des clés de connexion sur un locataire de développement avant de procéder à la rotation des clés de connexion des applications en production.
Limites
La rotation de votre clé de connexion sera soumise à une limite de débit inférieure à celle des autres points de terminaison de l’API. Pour en savoir plus, consultez Limites anti-attaques de Management API.