Décrit le fonctionnement des clés de signature de l’application de votre locataire.
Lorsque vous sélectionnez notre recommandé (RS256), Auth0 utilise la cryptographie à clé publique pour établir un lien de confiance avec vos applications. Plus généralement, nous utilisons une clé de signature composée d’une paire de clés publique et privée.Les clés de signature servent à signer les , les , les assertions et les assertions envoyées à votre application ou à votre API. La clé de signature est une clé Web JSON (JWK) qui contient une clé publique connue servant à valider la signature d’un (JWT) signé. Un ensemble de clés Web JSON (JWKS) est un ensemble de clés qui contient les clés publiques utilisées pour vérifier tout JWT émis par le et signé à l’aide de l’algorithme de signature RS256. Le service peut utiliser une seule JWK pour valider les jetons Web; toutefois, le JWKS peut contenir plusieurs clés si le service a fait une rotation des certificats de signature.
Lorsqu’un utilisateur se connecte à votre application, nous créons un jeton contenant des renseignements sur l’utilisateur et le signons au moyen de sa clé privée avant de le renvoyer à votre application. Auth0 sécurise la clé privée, qui est unique à chaque locataire.Pour vérifier que le jeton est valide et qu’il provient d’Auth0, votre application valide la signature du jeton à l’aide de la clé publique. Nous offrons également d’autres fonctionnalités de gestion des clés de sécurité des applications par l’intermédiaire de l’Auth0 Dashboard et de la .Auth0 recommande d’effectuer régulièrement une rotation des clés afin que vous soyez prêt à réagir en cas d’atteinte à la sécurité.Les certificats de signature d’application supplémentaires sont indiqués ci-dessous.
Ces liens utilisent votre locataire actif afin de vous fournir des renseignements exacts. Vous devez être connecté à auth0.com/docs avec les identifiants de votre locataire pour y accéder.Pour vous connecter, sélectionnez Se connecter dans le coin supérieur droit. Une fois connecté, vous pouvez passer d’un locataire à l’autre en sélectionnant l’icône de votre profil, puis Changer de locataire.
Vous pouvez aussi récupérer ces renseignements pour des applications individuelles dans l’. Pour ce faire, accédez à la page Paramètres d’une application donnée. Développez ensuite Paramètres avancés, puis sélectionnez l’onglet Certificats.
Nous utilisons la clé de signature de l’application pour signer les assertions envoyées aux applications. Ces assertions peuvent inclure des jetons d’identité, des jetons d’accès, des assertions SAML et des assertions WS-Fed. Notez que ces clés sont différentes de celles utilisées pour signer les interactions avec les connexions, notamment pour signer les requêtes SAML envoyées aux fournisseurs d’identité (IdP) et chiffrer les réponses des IdP.Par défaut, les assertions SAML pour les connexions IdP sont signées, ce que nous recommandons. Pour obtenir les clés publiques que vous pouvez utiliser pour configurer l’IdP, consultez SAML Identity Provider Configuration: Signed Assertions.
Le processus de rotation et de révocation tient compte de vos préférences et favorise une transition en douceur pour votre application. Si vous préférez d’abord mettre à jour votre application, puis effectuer la rotation et révoquer votre clé, vous pouvez le faire. Vous pouvez aussi choisir d’effectuer d’abord la rotation de votre clé, puis de mettre à jour votre application et de révoquer votre ancienne clé.Les clés disponibles comprennent :
Actuellement utilisée : clé actuellement utilisée pour signer toutes les nouvelles assertions.
Précédemment utilisée : clé utilisée auparavant, mais qui a été remplacée lors d’une rotation. Les assertions générées avec cette clé continueront de fonctionner.
Prochaine dans la file : clé en attente qui remplacera la clé actuelle lors de la prochaine rotation de la clé de signature de l’application.
Testez toujours la rotation de la clé de signature dans un locataire de développement avant d’effectuer une rotation des clés de signature d’application en production.
La rotation de votre clé de signature est soumise à une limite de requêtes plus restrictive que celle des autres points de terminaison de l’API. Pour en savoir plus, consultez les limites de requêtes de la Management API.
Authentification
Gérer les utilisateurs
Personnaliser
Auth0 AI
Plateforme