Passer au contenu principal
Auth0 protège les secrets et les données de votre locataire à l’aide d’une clé racine d’environnement Auth0, située au sommet de la hiérarchie des clés de chiffrement par enveloppe. La clé racine d’environnement Auth0 et la clé racine fournie par le client sont stockées dans le module matériel de sécurité (HSM) du fournisseur de services infonuagiques Auth0 correspondant, AWS ou Azure.

Bring Your Own Key

Avec Bring Your Own Key, les utilisateurs disposant du rôle Key Management Editor peuvent utiliser la Management API d’Auth0 pour remplacer la clé racine d’environnement Auth0 par défaut par leur propre clé racine fournie par le client. Les clients peuvent téléverser leur propre clé racine de façon sécurisée, laquelle contient leur propre matériel cryptographique, afin de :
  • Répondre à des exigences personnalisées en matière de génération et de provenance des clés pour la clé racine d’environnement
  • Répondre à des exigences précises d’installation ou de durée de vie des clés pour la clé racine d’environnement
  • Conserver une copie de la clé racine fournie par le client dans leurs propres locaux.
En important votre propre clé racine fournie par le client avec Bring Your Own Key, vous retirez implicitement à Auth0 la gestion du cycle de vie de cette clé, sauf pour sa suppression.
Vous pouvez créer et gérer votre clé racine fournie par le client à l’aide de la , en suivant les étapes ci-dessous :
  1. Appelez le point de terminaison Create the new encryption key pour lancer le processus Bring Your Own Key et obtenir le kid (identifiant de clé) de la clé racine fournie par le client, préactivée mais sans matériel cryptographique.
    Ce point de terminaison renvoie la valeur kid, qui correspond à l’identifiant unique de la clé.
  2. Appelez le point de terminaison Create the public wrapping key pour créer et renvoyer une clé publique d’encapsulation.
  3. Dans votre environnement, générez votre propre matériel de clé cryptographique et encapsulez-le (chiffrez-le) avec la clé publique d’encapsulation afin de créer une clé de chiffrement encapsulée (la clé racine fournie par le client).
  4. Appelez le point de terminaison Import the encryption key pour importer votre clé racine fournie par le client dans Auth0.

Exigences relatives au matériel cryptographique

Utilisez votre système de gestion des clés pour encapsuler votre propre matériel cryptographique à l’aide de la clé publique d’encapsulation afin de créer la clé de chiffrement encapsulée. Utilisez les paramètres suivants pour l’algorithme CKM_RSA_AES_KEY_WRAP, selon le fournisseur de services infonuagiques d’Auth0 (AWS ou Azure) :

Auth0 sur le cloud AWS

  • Longueur de la clé publique d’encapsulation : 3072 bits
  • Algorithme : CKG_MGF1_SHA256
  • Longueur de la clé AES temporaire pour CKM_AES_KEY_WRAP_PAD : 256 bits
  • Type de clé racine fournie par le client : clé symétrique AES de 256 bits

Auth0 sur Azure

  • Longueur de la clé d’encapsulation publique : 2048 bits
  • Algorithme : CKG_MGF1_SHA-1
  • Longueur de la clé AES temporaire pour CKM_AES_KEY_WRAP_PAD : 256 bits
  • Type de clé racine fournie par le client : clé privée RSA de 2048 bits
  • Encodage de la clé privée : PKCS #8 - ASN.1 DER

Autorisations

Utilisez les autorisations suivantes pour accorder l’accès aux points de terminaison des clés de chiffrement.
AutorisationsDescriptions
read:encryption_keysLes utilisateurs peuvent rechercher et récupérer des clés dans le locataire Auth0. Cela comprend la lecture des points de terminaison /api/v2/keys/encryption et /api/v2/keys/encryption/{kid}.
create:encryption_keysLes utilisateurs peuvent créer leur propre clé racine fournie par le client ainsi que leur clé d’encapsulation publique au moyen des points de terminaison /api/v2/keys/encryption et /api/v2/keys/encryption/{kid}/wrapping-key.
delete:encryption_keysLes utilisateurs peuvent supprimer leur propre clé racine fournie par le client au moyen du point de terminaison /api/v2/keys/encryption/{kid}.
update:encryption_keysLes utilisateurs peuvent importer leur propre clé racine fournie par le client au moyen du point de terminaison /api/v2/keys/encryption/{kid}.

Points de terminaison

  • Utilisez le point de terminaison Get all encryption keys pour obtenir des renseignements sur la clé racine d’environnement actuellement en place ou la clé racine fournie par le client, ainsi que sur la clé maître du locataire.
  • Utilisez le point de terminaison Get the encryption key by its key id pour obtenir des renseignements sur la clé spécifiée.
  • Utilisez le point de terminaison Create the new encryption key pour créer un espace réservé préactivé pour une clé racine fournie par le client.
  • Utilisez le point de terminaison Create the public wrapping key pour obtenir une clé d’encapsulation publique afin d’encapsuler votre matériel cryptographique.
  • Utilisez le point de terminaison Import the encryption key pour importer le matériel d’une nouvelle clé racine fournie par le client.
  • Utilisez le point de terminaison Delete the encryption key by its key id pour supprimer une clé racine fournie par le client existante et cesser d’utiliser Bring Your Own Keys. La clé racine d’environnement d’Auth0 est utilisée pour rechiffrer la hiérarchie des clés. Cette opération n’a pas d’incidence négative sur les données existantes ni sur les flux d’authentification.
Si la fonctionnalité Customer Managed Keys n’est pas activée dans votre locataire, l’appel de ce ou ces points de terminaison d’API renverra l’erreur : This feature is not enabled for this tenant.