Passer au contenu principal
La clé de signature fournie par le client est actuellement en Accès anticipé. Pour en savoir plus, consultez les phases de lancement du produit. Si vous souhaitez participer au programme de clés publiques de signature fournies par le client, vous devez disposer d’une offre Enterprise. Communiquez avec votre gestionnaire de compte technique pour en savoir plus.
Auth0 utilise des clés cryptographiques pour signer les afin de garantir que les jetons sont émis par Auth0. Auth0 signe les jetons avec une clé de signature privée et publie la clé publique sur le point de terminaison Key Set (JWKS) « well-known » du locataire : https://{yourDomain}/.well-known/``jwks.json. Si vous générez vos propres clés de signature, vous pouvez importer la clé publique dans le point de terminaison JWKS /.well-known de votre locataire. Auth0 peut servir de point de distribution unique pour les clés de signature d’Auth0 et vos clés de signature personnalisées. Si votre cas d’utilisation exige que votre application soit intégrée à des appareils distants, vous pouvez migrer vos clés de signature existantes pour qu’Auth0 publie la clé publique sur votre point de terminaison /.well-known. Lorsque des jetons d’accès signés avec vos clés de signature personnalisées sont émis à la suite d’une authentification utilisateur et d’un  :
  • Le système de gestion des clés d’Auth0 assure la protection des clés de signature que vous générez et fournissez.
  • Auth0 émet des jetons pour l’authentification et l’autorisation en tant que .
  • Auth0 publie une liste de clés publiques valides à une URL de distribution propre au locataire.
  • Une solution proxy reçoit les jetons émis par Auth0 et les rend accessibles aux applications et aux API existantes.
    Les jetons signés par des clés client ne peuvent pas être utilisés par les API Auth0.
  • Les applications clientes utilisent les jetons d’accès émis pour consommer des API et des ressources.
  • Les serveurs d’API et de ressources valident la signature des jetons d’accès qui leur sont présentés en récupérant la clé publique à partir de la distribution JWKS d’Auth0 pour vérifier la signature du jeton.

Fonctionnement

  1. La partie publique de la clé de signature est importée dans Auth0, en vue d’être publiée parmi les clés d’Auth0 sous la forme d’un JWKS agrégé.
  2. La clé de signature publique est publiée au point de terminaison well-known du domaine personnalisé de votre locataire : {yourCustomDomain}/.well-known/jwks.json.
  3. Auth0 émet des jetons d’accès. Ces jetons sont personnalisés et signés de nouveau avec votre clé de signature.
  4. Votre application utilise les jetons personnalisés pour accéder à vos ressources, comme les API.
  5. Auth0 distribue votre clé en la publiant au point de terminaison /.wellknown.

Prérequis

Pour importer des clés de signature personnalisées dans Auth0, vous devez :
  • Configurer un . Le JWKS agrégé est fourni à partir d’un domaine personnalisé et n’est pas accessible sur le domaine canonique. Pour en savoir plus, consultez Custom Domains.
  • Utiliser le Private Cloud d’Auth0. Vous ne pouvez importer des clés de signature que dans des environnements Private Cloud. Pour en savoir plus, consultez notre documentation sur le Private Cloud sur AWS et Azure.

Configurez vos clés personnalisées avec Management API

Utilisez la pour importer vos clés personnalisées au format JWKS. Pour créer de nouvelles clés personnalisées (et remplacer toutes les clés existantes), effectuez un appel PUT au point de terminaison Create or replace custom signing keys afin d’importer un ensemble de clés publiques personnalisées dans Auth0. Les clés personnalisées existantes seront remplacées par ce nouvel ensemble. Vous pouvez importer jusqu’à dix clés personnalisées au format JWKS.
Une fois importées, les clés publiques personnalisées sont ajoutées au début de la liste des clés générées par Auth0 et publiées à l’URL du point de terminaison well-known de votre locataire pour la distribution des JWKS.
Pour obtenir la liste des clés personnalisées existantes, effectuez un appel GET au point de terminaison Get custom signing keys afin de récupérer l’ensemble des clés personnalisées sous la forme d’un tableau d’objets JWK. Pour supprimer des clés personnalisées existantes, effectuez un appel DELETE au point de terminaison Delete custom keys pour supprimer les clés personnalisées.