Rotation des identifiants

Auth0 recommande d’effectuer régulièrement une rotation du matériel cryptographique afin de répondre à vos besoins de conformité et d’éviter que la sécurité soit compromise en cas de fuite de clés privées. Vous pouvez utiliser le ou pour mettre de nouvelles clés en service. Vous devez créer un nouvel identifiant, l’associer à la méthode d’authentification private_key_jwt, puis supprimer les anciens identifiants ou ceux qui ne sont plus utilisés.

Une application peut stocker au maximum deux identifiants à la fois. Pour effectuer à répétition une rotation vers de nouveaux identifiants, vous devez supprimer les identifiants inutilisés.

Utiliser Auth0 Dashboard
Utiliser Management API

Pour effectuer la rotation des identifiants de votre application dans Auth0 Dashboard :

Accédez à Auth0 Dashboard > Applications > Application, puis sélectionnez l’application à mettre à jour.
Ouvrez l’onglet Credentials.
Dans la section Available Credentials, sélectionnez Add New Key.
Définissez un nom pour le nouvel identifiant, la clé publique au format PEM et l’algorithme à utiliser.
Sélectionnez Add Credential.
Pour activer le nouvel identifiant, ouvrez son menu et sélectionnez Enable for Private Key JWT use.
Une fois vos applications mises à jour pour utiliser le nouvel identifiant, désactivez l’identifiant d’origine :
1. Sélectionnez Disable for Private Key JWT Use.
2. Une fois l’identifiant désactivé, retournez dans son menu et sélectionnez Delete Credential.

Dans les exemples de rotation ci-dessous, credential1 est un identifiant existant actuellement utilisé, et credential2 est un nouvel identifiant qui le remplace.

Générez une nouvelle paire de clés.
Créez la ressource d’identifiant au moyen d’une requête POST à la Management API.
La limite de stockage actuelle par application est de deux identifiants simultanément. Pour effectuer plusieurs rotations de nouveaux identifiants, vous devez supprimer les identifiants inutilisés.

Effectuez une requête PATCH vers le point de terminaison Update a Client de la Management API pour associer l’identifiant à la méthode d’authentification private_key_jwt :

curl --location --request PATCH 'https://{domain}/api/v2/clients/{clientId} \
  --header 'Authorization: Bearer {managementApiAccessToken} \
  --header 'Content-Type: application/json' \
  --data-raw '{
          "client_authentication_methods": {
             "private_key_jwt": {
                "credentials": [{ "id": {credentialId1} }, { "id": {credentialId2} }]
             }
          }
   }'

Paramètre	Description
`clientId`	Application à mettre à jour.
`credentialId1`	ID de l’identifiant existant actuellement utilisé.
`credentialId2`	ID du nouvel identifiant.
`managementApiAccessToken`	Jeton d’accès pour la Management API avec les scopes `update:clients` et `update:credentials`.

Mettez à jour votre application pour utiliser la nouvelle clé privée afin de signer les assertions pour l’Auth0 Authentication API.

Retirez la clé inutilisée de votre application.

curl --location --request PATCH 'https://{domain}/api/v2/clients/{clientId} \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
          "client_authentication_methods": {
             "private_key_jwt": {
                "credentials": [{ "id": {credentialId2} }]
             }
          }
   }'

Supprimez la clé inutilisée de votre application. Cela supprimera définitivement l’identifiant du stockage. Vous devez dissocier l’identifiant de votre application, sinon vous ne pourrez pas le supprimer.

curl --location --request DELETE 'https://{domain}/api/v2/clients/{clientId}/credentials/{credentialId}' \
  --header 'Authorization: Bearer {managementApiAccessToken}

Paramètre	Description
`clientId`	Application à mettre à jour.
`credentialId`	ID de l’ancien identifiant à supprimer.
`managementApiAccessToken`	Jeton d’accès pour la Management API avec le scope `delete:credentials`.

Identifiants actifs

Pour éviter toute interruption de service, vous pouvez laisser plusieurs identifiants actifs pendant la rotation. Les applications peuvent continuer de fonctionner normalement avec d’anciennes clés jusqu’à ce qu’elles soient mises à jour. Les applications peuvent envoyer des assertions signées avec n’importe quel ensemble d’identifiants actifs. Auth0 recommande de réduire au minimum la période pendant laquelle plusieurs identifiants sont utilisés. L’exemple ci-dessous utilise plusieurs identifiants associés :

curl --location --request PATCH 'https://$tenant/api/v2/clients/$client_id' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
          "client_authentication_methods": {
             "private_key_jwt": {
                "credentials": [{ "id": $credential1.id }, { "id": $credential2.id }]
             }
          }
 }'

​Identifiants actifs

​En savoir plus

Identifiants actifs

En savoir plus