Rotar credenciales - Auth0 Docs

Auth0 recomienda que rote el material de claves con regularidad para cumplir sus requisitos de cumplimiento normativo y garantizar que la seguridad no se vea comprometida si se filtran claves privadas. Puede usar el o la para poner en uso nuevas claves. Debe crear una nueva credencial, asociarla con el método de autenticación private_key_jwt y eliminar las credenciales antiguas o sin usar.

El límite actual de almacenamiento de la aplicación es de dos credenciales simultáneamente. Para seguir rotando credenciales nuevas, debe eliminar las credenciales sin usar.

Usar Auth0 Dashboard
Usar Management API

Para rotar las credenciales de su aplicación con Auth0 Dashboard:

Vaya a Auth0 Dashboard > Applications > Application y seleccione la aplicación que desea actualizar.
Abra la pestaña Credentials.
En la sección Available Credentials, seleccione Add New Key.
Indique un nombre para la nueva credencial, la clave pública en formato PEM y el algoritmo de la nueva credencial.
Seleccione Add Credential.
Para activar la nueva credencial, vaya al menú de la credencial y elija Enable for Private Key JWT use.
Una vez que haya actualizado sus aplicaciones para usar la nueva credencial, desactive la credencial original:
1. Seleccione Disable for Private Key JWT Use.
2. Una vez desactivada, vuelva al menú de la credencial y seleccione Delete Credential.

En los siguientes ejemplos de rotación, credential1 es una credencial existente en uso y credential2 es una credencial nueva para reemplazarla.

Genere un nuevo par de claves.
Cree el recurso de credencial con una solicitud POST a la Management API.
El límite actual de almacenamiento por aplicación es de dos credenciales al mismo tiempo. Para rotar credenciales nuevas de forma repetida, debe eliminar las credenciales que no use.

Haga una solicitud PATCH al endpoint de Management API Update a Client para asociar la credencial con el método de autenticación private_key_jwt:

curl --location --request PATCH 'https://{domain}/api/v2/clients/{clientId} \
  --header 'Authorization: Bearer {managementApiAccessToken} \
  --header 'Content-Type: application/json' \
  --data-raw '{
          "client_authentication_methods": {
             "private_key_jwt": {
                "credentials": [{ "id": {credentialId1} }, { "id": {credentialId2} }]
             }
          }
   }'

Parámetro	Descripción
`clientId`	Aplicación que desea actualizar.
`credentialId1`	ID de la credencial existente en uso.
`credentialId2`	ID de la nueva credencial.
`managementApiAccessToken`	Token de acceso para Management API con los alcances `update:clients` y `update:credentials`.

Actualice su aplicación para usar la nueva clave privada y firmar aserciones para la API de autenticación de Auth0.

Elimine la clave sin usar de su aplicación.

curl --location --request PATCH 'https://{domain}/api/v2/clients/{clientId} \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
          "client_authentication_methods": {
             "private_key_jwt": {
                "credentials": [{ "id": {credentialId2} }]
             }
          }
   }'

Elimine la clave sin usar de su aplicación. Esto eliminará permanentemente la credencial del almacenamiento. Debe desasociar la credencial de su aplicación o no podrá eliminarla.

curl --location --request DELETE 'https://{domain}/api/v2/clients/{clientId}/credentials/{credentialId}' \
  --header 'Authorization: Bearer {managementApiAccessToken}

Parámetro	Descripción
`clientId`	Aplicación que desea actualizar.
`credentialId`	ID de la credencial anterior que desea eliminar.
`managementApiAccessToken`	Token de acceso para Management API con el scope `delete:credentials`.

Credenciales activas

Para garantizar un tiempo de inactividad nulo, puede dejar varias credenciales activas durante la rotación. Las aplicaciones pueden seguir funcionando normalmente con claves anteriores hasta que se actualicen las claves. Las aplicaciones pueden enviar aserciones firmadas con cualquier conjunto de credenciales activas. Auth0 recomienda minimizar el tiempo durante el que se usan varias credenciales. En el ejemplo siguiente se usan varias credenciales asociadas:

curl --location --request PATCH 'https://$tenant/api/v2/clients/$client_id' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
          "client_authentication_methods": {
             "private_key_jwt": {
                "credentials": [{ "id": $credential1.id }, { "id": $credential2.id }]
             }
          }
 }'

​Credenciales activas

​Más información

Credenciales activas

Más información