Configurar Sender Constraining

El sender constraining de tokens mediante Demonstrating Proof-of-Possession (DPoP) se encuentra actualmente en Early Access. Para solicitar acceso a esta función, póngase en contacto con su representante de Auth0.

Sender constraining es un mecanismo de seguridad de y Connect (OIDC) que vincula criptográficamente los tokens de acceso y los con la aplicación cliente específica que los obtuvo, para evitar el robo y el uso indebido de tokens. Auth0 admite sender constraining con mTLS y Demonstrating Proof-of-Possession (DPoP). Si habilita sender constraining para una aplicación cliente, también debe aplicarlo al al que realiza llamadas a la API. Para configurar Sender Constraining en Auth0, debe hacer lo siguiente:

Configurar Sender Constraining para una aplicación cliente.
Configurar Sender Constraining para un servidor de recursos.

Cómo funciona

en Auth0 pueden estar restringidos por remitente según cómo configure Sender Constraining para su aplicación cliente y su servidor de recursos:

Audiencia solicitada: En una solicitud de token, si la audiencia solicitada es solo /userinfo, si está pensada para usarse únicamente con el endpoint /userinfo, o si es una API personalizada que puede incluir /userinfo cuando también solicita el scope openid, influye en si los tokens de acceso están restringidos por remitente.
Aplicación cliente: Si configura Sender Constraining como required para la aplicación cliente.
Servidor de recursos: Si configura Sender Constraining para el servidor de recursos:
1. none: No ha configurado Sender Constraining para el servidor de recursos.
2. allowed: Ha configurado Sender Constraining para el servidor de recursos al establecer un método de Sender Constraining.
3. required: Ha configurado Sender Constraining como obligatoria para el servidor de recursos, lo que significa que los tokens de acceso deben estar restringidos por remitente a una aplicación. Requiere un método de Sender Constraining.

Prueba de posesión: Si la aplicación cliente envió una aserción de prueba de posesión en la solicitud de token:
- Restricción por remitente con mTLS: La prueba de posesión se demuestra mediante la presentación satisfactoria por parte del cliente de una clave privada específica (asociada a un certificado de cliente) durante el protocolo de enlace TLS.
- DPoP: La prueba de posesión se logra cuando el cliente crea un JWT de prueba DPoP, lo firma criptográficamente con su clave privada e incluye el JWT de prueba DPoP en el encabezado HTTP DPoP de cada solicitud en la que se usa el token de acceso asociado.

La siguiente tabla describe cómo se emiten los tokens de acceso y si están restringidos por remitente según varios parámetros de solicitud del cliente y las configuraciones del servidor de recursos de Auth0:

Tipo de audiencia solicitada	¿El cliente requiere PoP?	¿El cliente envió prueba de posesión (PoP)?	Política del servidor de recursos de Auth0: None	Política del servidor de recursos de Auth0: Allowed (Not Required)	Política del servidor de recursos de Auth0: Required
Solo `/userinfo`	No	No	Emitido, no restringido por remitente	N/A	N/A
Solo `/userinfo`	No	Sí	Emitido, restringido por remitente	N/A	N/A
Solo `/userinfo`	Sí	No	No emitido	N/A	N/A
Solo `/userinfo`	Sí	Sí	Emitido, restringido por remitente	N/A	N/A
Audiencia personalizada (puede incluir `/userinfo`)	No	No	Emitido, no restringido por remitente	Emitido, no restringido por remitente	No emitido
Audiencia personalizada (puede incluir `/userinfo`)	No	Sí	Emitido, no restringido por remitente	Emitido, restringido por remitente	Emitido, restringido por remitente
Audiencia personalizada (puede incluir `/userinfo`)	Sí	No	No emitido	No emitido	No emitido
Audiencia personalizada (puede incluir `/userinfo`)	Sí	Sí	No emitido	Emitido, restringido por remitente	Emitido, restringido por remitente

Configurar sender constraining para una aplicación cliente

Cuando exiges sender constraining para una aplicación cliente, los tokens de acceso quedan restringidos a esa aplicación. Auth0 verifica las solicitudes para garantizar que solo la aplicación que solicitó el token pueda usarlo para acceder al recurso asociado. Una vez que configures una aplicación cliente para exigir sender constraining, puedes establecer el método de sender constraining, ya sea mTLS o DPoP, al configurar tu servidor de recursos. Puedes configurar sender constraining para una aplicación cliente con el o la .

Auth0 Dashboard
Management API

Ve a Dashboard > Applications > Applications. Selecciona la aplicación que quieras configurar.
En Settings, desplázate hasta Token Sender-Constraining.
Activa Require Sender Constraining. Desactívalo para quitar el requisito de Sender Constraining de la aplicación.

Para configurar sender constraining para un cliente, usa la Management API.Para exigir Sender Constraining para un cliente, envía una solicitud PATCH para actualizar la configuración del cliente. Establece el parámetro require_proof_of_possession en true.

"require_proof_of_possession": true

Para quitar el requisito de Sender Constraining, establece el parámetro require_proof_of_possession en false.

"require_proof_of_possession": false

Configure Sender Constraining para un servidor de recursos

Los tokens de acceso emitidos por Auth0 pueden restringirse al emisor (es decir, la aplicación cliente) que necesita acceder a las API de un servidor de recursos. Puede configurar Sender Constraining para un servidor de recursos con Auth0 Dashboard o la Management API.

Auth0 Dashboard
Management API

Para habilitar Token Binding o Sender Constraining, configure la sección API Settings de su API.

Vaya a Auth0 Dashboard > Applications > APIs.
Seleccione la API que desea configurar.
En la pestaña Settings, busque la sección Token Sender-Constraining.
Configure lo siguiente:
1. Método de Sender Constraining:
  1. None: No habilite ningún método de Sender Constraining para su servidor de recursos.
  2. mTLS: Habilite mTLS como método de Sender Constraining para su servidor de recursos.
  3. DPoP: Habilite DPoP como método de Sender Constraining para su servidor de recursos.

B. Active Require Token Sender Constraining. Todos los tokens de acceso emitidos a una aplicación para esta API quedarán restringidos a esa aplicación.

Auth0 Dashboard > APIs > Settings > Vinculación de tokens

Para habilitar Sender Constraining con la Management API, envíe una solicitud PATCH para actualizar el servidor de recursos. Establezca los parámetros del objeto proof_of_possession de la siguiente manera:

Parámetro	Descripción
`mechanism`	Establece el método de Sender Constraining: `none`, `mtls` o `dpop`.
`required`	Cuando se establece en `true`, todos los tokens de acceso emitidos a una aplicación para esta API quedarán restringidos a esa aplicación. Cuando se establece en `false`, Sender Constraining no es obligatoria para la aplicación.

La siguiente muestra de código es un ejemplo de cuerpo de solicitud que configura un servidor de recursos para Sender Constraining con mTLS:

"proof_of_possession": {
    "mechanism": "mtls",
    "required": true
  }

​Cómo funciona

​Configurar sender constraining para una aplicación cliente

​Configure Sender Constraining para un servidor de recursos

Cómo funciona

Configurar sender constraining para una aplicación cliente

Configure Sender Constraining para un servidor de recursos