Configurer la contrainte de l’émetteur

La contrainte de l’émetteur pour les jetons au moyen de Demonstrating Proof-of-Possession (DPoP) est actuellement en accès anticipé. Pour demander l’accès à cette fonctionnalité, communiquez avec votre représentant Auth0.

La contrainte de l’émetteur est un et Connect (OIDC) qui lie cryptographiquement les jetons d’accès et les à l’application cliente précise qui les a obtenus, afin d’empêcher le vol et l’utilisation abusive des jetons. Auth0 prend en charge la contrainte de l’émetteur par mTLS et Demonstrating Proof-of-Possession (DPoP). Si vous activez la contrainte de l’émetteur pour une application cliente, vous devez aussi l’imposer pour le auquel vous envoyez des appels d’API. Pour configurer la contrainte de l’émetteur dans Auth0, vous devez :

Configurer la contrainte de l’émetteur pour une application cliente.
Configurer la contrainte de l’émetteur pour un serveur de ressources.

Fonctionnement

sont assujettis à une contrainte de l’émetteur dans Auth0 selon la façon dont vous configurez cette contrainte pour votre application cliente et votre serveur de ressources :

Audience demandée : Dans une demande de jeton, le fait que l’audience demandée soit uniquement /userinfo, qu’elle soit destinée à être utilisée seulement avec le point de terminaison /userinfo, ou qu’il s’agisse d’une API personnalisée pouvant inclure /userinfo lorsque vous demandez aussi le scope openid, influe sur le fait que les jetons d’accès soient assujettis à une contrainte de l’émetteur.
Application cliente : Le fait que vous définissiez la contrainte de l’émetteur à required pour l’application cliente.
Serveur de ressources : Le fait que vous configuriez la contrainte de l’émetteur pour le serveur de ressources :
1. none : Vous n’avez pas configuré de contrainte de l’émetteur pour le serveur de ressources.
2. allowed : Vous avez configuré la contrainte de l’émetteur pour le serveur de ressources en définissant une méthode de contrainte de l’émetteur.
3. required : Vous avez configuré la contrainte de l’émetteur comme obligatoire pour le serveur de ressources, ce qui signifie que les jetons d’accès doivent être assujettis à une contrainte de l’émetteur pour une application. Nécessite une méthode de contrainte de l’émetteur.

Preuve de possession : Le fait que l’application cliente ait envoyé une assertion de preuve de possession dans la demande de jeton :
- Contrainte de l’émetteur mTLS : La preuve de possession est démontrée par la présentation réussie, par l’application cliente, d’une clé privée précise (associée à un certificat client) pendant la négociation TLS.
- DPoP : La preuve de possession est obtenue lorsque l’application cliente crée un JWT de preuve DPoP en le signant de façon cryptographique avec sa clé privée et en incluant le JWT de preuve DPoP dans l’en-tête HTTP DPoP de chaque requête où le jeton d’accès associé est utilisé.

Le tableau suivant décrit comment les jetons d’accès sont émis et s’ils sont assujettis à une contrainte de l’émetteur selon divers paramètres de demande de l’application et les configurations du serveur de ressources Auth0 :

Type d’audience demandée	L’application exige une preuve de possession ?	Preuve de possession (PoP) envoyée par l’application ?	Politique du serveur de ressources Auth0 : None	Politique du serveur de ressources Auth0 : Allowed (non requis)	Politique du serveur de ressources Auth0 : Required
`/userinfo` uniquement	Non	Non	Émis, non assujetti à une contrainte de l’émetteur	N/A	N/A
`/userinfo` uniquement	Non	Oui	Émis, assujetti à une contrainte de l’émetteur	N/A	N/A
`/userinfo` uniquement	Oui	Non	Non émis	N/A	N/A
`/userinfo` uniquement	Oui	Oui	Émis, assujetti à une contrainte de l’émetteur	N/A	N/A
Audience personnalisée (peut inclure `/userinfo`)	Non	Non	Émis, non assujetti à une contrainte de l’émetteur	Émis, non assujetti à une contrainte de l’émetteur	Non émis
Audience personnalisée (peut inclure `/userinfo`)	Non	Oui	Émis, non assujetti à une contrainte de l’émetteur	Émis, assujetti à une contrainte de l’émetteur	Émis, assujetti à une contrainte de l’émetteur
Audience personnalisée (peut inclure `/userinfo`)	Oui	Non	Non émis	Non émis	Non émis
Audience personnalisée (peut inclure `/userinfo`)	Oui	Oui	Non émis	Émis, assujetti à une contrainte de l’émetteur	Émis, assujetti à une contrainte de l’émetteur

Configurer la contrainte de l’émetteur pour une application cliente

Lorsque vous exigez la contrainte de l’émetteur pour une application cliente, les jetons d’accès sont liés à cette application. Auth0 vérifie les requêtes pour s’assurer que seule l’application qui a demandé le jeton peut l’utiliser pour accéder à la ressource associée. Une fois votre application cliente configurée pour exiger la contrainte de l’émetteur, vous pouvez définir la méthode de contrainte de l’émetteur, soit mTLS ou DPoP, lors de la configuration de votre serveur de ressources. Vous pouvez configurer la contrainte de l’émetteur pour une application cliente à l’aide de ou de la .

Auth0 Dashboard
Management API

Accédez à Dashboard > Applications > Applications. Sélectionnez l’application que vous souhaitez configurer.
Sous Settings, faites défiler jusqu’à Token Sender-Constraining.
Activez Require Sender Constraining. Désactivez cette option pour supprimer l’exigence de contrainte de l’émetteur pour l’application.

Pour configurer la contrainte de l’émetteur pour une application, utilisez la Management API.Pour exiger la contrainte de l’émetteur pour une application, envoyez une requête PATCH pour mettre à jour les paramètres de l’application. Définissez le paramètre require_proof_of_possession sur true.

"require_proof_of_possession": true

Pour supprimer l’exigence de contrainte de l’émetteur, définissez le paramètre require_proof_of_possession sur false.

"require_proof_of_possession": false

Configurer la contrainte de l’émetteur pour un serveur de ressources

Les jetons d’accès émis par Auth0 peuvent être liés à l’émetteur (c.-à-d. l’application cliente) qui doit accéder aux API sur un serveur de ressources. Vous pouvez configurer la contrainte de l’émetteur pour un serveur de ressources dans Auth0 Dashboard ou avec la Management API.

Auth0 Dashboard
Management API

Pour activer le Token Binding ou la contrainte de l’émetteur, configurez les API Settings de votre API.

Accédez à Auth0 Dashboard > Applications > APIs.
Sélectionnez l’API que vous voulez configurer.
Sous l’onglet Settings, repérez la section Token Sender-Constraining.
Configurez les éléments suivants :
1. Méthode de contrainte de l’émetteur :
  1. None: N’activez aucune méthode de contrainte de l’émetteur pour votre serveur de ressources.
  2. mTLS: Activez mTLS comme méthode de contrainte de l’émetteur pour votre serveur de ressources.
  3. DPoP: Activez DPoP comme méthode de contrainte de l’émetteur pour votre serveur de ressources.

B. Activez Require Token Sender Constraining. Tous les jetons d’accès émis à une application pour cette API seront liés à cette application.

Auth0 Dashboard > APIs > Settings > Token binding

Pour activer la contrainte de l’émetteur avec la Management API, envoyez une requête PATCH pour mettre à jour le serveur de ressources. Définissez les paramètres de l’objet proof_of_possession comme suit :

Paramètre	Description
`mechanism`	Définit la méthode de contrainte de l’émetteur : `none`, `mtls` ou `dpop`.
`required`	Lorsque la valeur est `true`, tous les jetons d’accès émis à une application pour cette API seront liés à cette application. Lorsque la valeur est `false`, la contrainte de l’émetteur n’est pas requise pour l’application.

L’exemple de code suivant montre un corps de requête qui configure un serveur de ressources pour la contrainte de l’émetteur mTLS :

"proof_of_possession": {
    "mechanism": "mtls",
    "required": true
  }

​Fonctionnement

​Configurer la contrainte de l’émetteur pour une application cliente

​Configurer la contrainte de l’émetteur pour un serveur de ressources

Fonctionnement

Configurer la contrainte de l’émetteur pour une application cliente

Configurer la contrainte de l’émetteur pour un serveur de ressources