Décrit comment configurer de nouvelles applications et des applications existantes pour utiliser l’authentification Private Key JWT.
Private Key JWT est offert aux clients du forfait Enterprise. Pour passer à un forfait supérieur, consultez les tarifs Auth0.
L’authentification Private Key prend en charge l’authentification d’application selon OIDC Connect Core Client Authentication 1.0, au moyen d’assertions JWT signées à l’aide de paires de clés asymétriques. Vous pouvez créer une nouvelle application pour utiliser private_key_jwt ou activer cette méthode d’authentification pour des applications existantes au moyen de paires de clés.
Vous pouvez utiliser l’Auth0 Dashboard pour créer une nouvelle application et configurer les identifiants, ou pour mettre à jour une application existante.Nous vous recommandons de stocker de façon sécuritaire le paramètre client_secret actuel avant de définir la méthode d’authentification de votre application sur Private Key JWT. Le paramètre client_secret sera masqué une fois la configuration de Private Key JWT terminée.
Dans les paramètres de l’application, sélectionnez l’onglet Credentials.
Sous Authentication Methods, sélectionnez Private Key JWT.
Configurez les détails de l’identifiant :
Entrez un nom pour l’identifiant.
Téléversez votre certificat au format PEM ou X.509.
Sélectionnez l’algorithme pour signer les assertions.
Facultatif : activez l’expiration personnalisée. Sélectionnez Set an explicit expiry date for this Credential et définissez une date future.
Vous pourriez recevoir une erreur de certificat invalide si vous soumettez un élément de clé mal formé. Pour éviter tout problème, il est préférable de téléverser directement le fichier créé par openssl.
Configurer une nouvelle application pour private_key_jwt
Vous pouvez créer une nouvelle application avec private_key_jwt comme méthode d’authentification à l’aide de la Management API. Effectuez un appel POST vers l’endpoint Create a Client avec le payload suivant :
Algorithme utilisé pour signer les assertions. Les valeurs prises en charge sont RS256, RS384 et PS256. S’il n’est pas précisé, l’algorithme par défaut sera RS256.
clientName
Nom de votre nouvelle application.
credentialName
Nom de la clé publique.
expires_at
Facultatif. Date d’expiration de l’information d’identification au format ISO 8601. Par exemple, 2020-08-20T19:10:06.299Z. Une fois cette date passée, l’information d’identification n’est plus valide.
Clé publique ou certificat x.509, encodé au format PEM.
parse_expiry_from_cert
Facultatif. Un booléen indiquant qu’Auth0 doit analyser la date d’expiration lorsqu’un certificat est fourni. Si aucun certificat n’est fourni, Auth0 retournera une erreur. parse_expiry_from_cert et expires_at s’excluent également l’un l’autre. Dans ce cas, Auth0 retournera une erreur.
La clé publique au format PEM doit être échappée pour JSON avant d’être transmise à Auth0. Dans notre exemple, voici le contenu à transmettre :-----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA53VzmIVVZZWyNm266l82 mnoDc9g/snXklax5kChEhqK/WnTUvuXP4Gd4THj8rchxgUGKXd4PF3SUcKyn/qPm Tet0idVHk2PwP//FOVgYo5Lb04js0pgZkbyB/WjuMp1w+yMuSn0NYAP7Q9U7DfTb jmox8OQt4tCB4m7UrJghGqT8jkPyZO/Ka6/XsyjTYPOUL3t3PD7JShVAgo1mAY6g Sr4SORywIiuHsg+59ad7MXGy78LirhtqAcDECKF7VZpxMuEjMLg3o2yzNUeWI2Mg IF+t0HbO1E387fvLcuSyai1yWbSr1PXyiB2aXyDpbD4u7d3ux4ahU2opH11lBqvx +wIDAQAB -----END PUBLIC KEY-----
La réponse contient la propriété client_id qui liera votre application au serveur de ressources. Elle contient également un kid généré pour le credential que vous avez créé. Ce kid sera utilisé plus tard pour générer le client_assertion.
Auth0 respecte la norme JSON Web Key Thumbprint pour générer le kid de vos identifiants.Le kid se compose d’un condensé SHA-256 de la représentation JWK de votre clé publique, encodé en base64URL.
Vous pouvez également configurer une application existante pour utiliser l’authentification Private Key JWT avec l’Auth0 Management API. Vous devrez supprimer toutes les valeurs du champ token_endpoint_auth_method et ajouter des valeurs dans le champ client_authentication_methods.
Si vous mettez à jour une application de production existante afin de l’authentifier avec private_key_jwt, nous vous recommandons de conserver de manière sécurisée votre valeur client_secret actuelle pour pouvoir vous y référer ultérieurement.Après avoir configuré private_key_jwt, vous ne pourrez plus accéder à la valeur client_secret, sauf si vous rétablissez la configuration de votre application pour utiliser un Secret client.
Créer la ressource credential
Une fois la paire de clés générée, créez la ressource d’identification. Envoyez la requête POST suivante au point de terminaison /clients de la Management API.
Algorithme utilisé pour signer les assertions. Les valeurs prises en charge sont RS256, RS384 et PS256. S’il n’est pas précisé, l’algorithme par défaut est RS256.
Facultatif. Date d’expiration du justificatif d’authentification au format ISO 8601. Par exemple, 2020-08-20T19:10:06.299Z. Une fois cette date dépassée, le justificatif d’authentification n’est plus valide.
parse_expiry_from_cert
Facultatif. Un Boolean indiquant qu’Auth0 doit analyser la date d’expiration lorsqu’un certificat est fourni. Si aucun certificat n’est fourni, Auth0 renverra une erreur. parse_expiry_from_cert et expires_at s’excluent mutuellement. Dans ce cas, Auth0 renverra une erreur.
La clé publique PEM doit être échappée au format JSON avant d’être transmise à Auth0. Dans cet exemple, le contenu que nous devons transmettre est :
-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA53VzmIVVZZWyNm266l82mnoDc9g/snXklax5kChEhqK/WnTUvuXP4Gd4THj8rchxgUGKXd4PF3SUcKyn/qPmTet0idVHk2PwP//FOVgYo5Lb04js0pgZkbyB/WjuMp1w+yMuSn0NYAP7Q9U7DfTbjmox8OQt4tCB4m7UrJghGqT8jkPyZO/Ka6/XsyjTYPOUL3t3PD7JShVAgo1mAY6gSr4SORywIiuHsg+59ad7MXGy78LirhtqAcDECKF7VZpxMuEjMLg3o2yzNUeWI2MgIF+t0HbO1E387fvLcuSyai1yWbSr1PXyiB2aXyDpbD4u7d3ux4ahU2opH11lBqvx+wIDAQAB-----END PUBLIC KEY-----
Un credential ID est retourné dans la réponse. Utilisez cet ID pour l’étape suivante.
Associer le credential
Après avoir créé l’identifiant, associez-le à votre application. Votre application utilise ces identifiants lors de l’authentification avec private_key_jwt.Effectuez une requête PATCH vers l’endpoint Update a Client de la Management API :
Identifiant de l’objet d’authentification que vous avez créé.
pem
La clé publique au format PEM.
Auth0 ne prend pas en charge l’utilisation de l’algorithme HS256 pour signer les JWT de l’application. Le champ jwt_configuration.alg doit être défini sur l’algorithme RS256. Pour savoir comment modifier l’algorithme de signature, consultez Modifier les algorithmes de signature de l’application.
Configurer une application pour utiliser l’authentification par Secret client
Pour rétablir la configuration de votre application afin d’utiliser un Secret client, vous devez désactiver client_authentication_methods et réactiver token_endpoint_auth_method avec la méthode d’authentification.
Une fois que vous aurez configuré votre méthode d’authentification sur client_secret, vos applications ne pourront plus s’authentifier à l’aide de private_key_jwt tant que vous ne les aurez pas mises à jour pour utiliser client_secret.
Jetons d’accès pour la Management API avec le scope update:credentials.
clientId
L’application que vous souhaitez mettre à jour.
expires_at
La date d’expiration des informations d’identification au format ISO 8601. Par exemple, 2020-08-20T19:10:06.299Z.
Le seul champ que vous pouvez mettre à jour est le champ expires_at. Les autres attributs sont immuables et nécessitent une rotation du credential pour être modifiés.
Auth0 impose une taille minimale de 2048 bits pour les clés RSA et une taille maximale de 4096 bits. Les applications peuvent avoir au plus deux identifiants configurés.
Pour éviter les fuites de clés, Auth0 recommande d’effectuer périodiquement une rotation des identifiants. Pour savoir comment faire, consultez Effectuer une rotation des identifiants.
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme
