メインコンテンツへスキップ
このセクションでは、カスタマーエッジネットワークの設定方法について説明します。各種エッジネットワークの具体的な設定手順は、このドキュメントの対象外です。詳しくは、カスタムドメイン のドキュメントを参照してください。 顧客のエッジドメインは、登録済みの と一致している必要があります。mTLS エンドポイントエイリアスが有効になっている場合、カスタマーエッジは mTLS エイリアスで使用されるサブドメイン宛てのリクエストも受け付ける必要があります。mTLS サブドメインに到達するすべてのリクエストでは、クライアント TLS 証明書を要求し、その証明書が使用対象として登録されていることを検証する必要があります。詳しくは、クライアント証明書を検証する を参照してください。 mTLS ハンドシェイクは、エッジインフラストラクチャが要求されたパスを判別する前に実行されます。TLS セッションが確立されたら、必要に応じてパスを確認し、次のエンドポイント宛てのリクエストのみを転送できます。
  • /oauth/token
  • /oauth/par
  • /userinfo
インストール環境で FAPI 準拠を目指す場合は、TLS に関する追加要件がエッジネットワークに課されます。詳しくは、FAPI1 BaselineFAPI1 Advanced、および FAPI2 Baseline の仕様を参照してください。

クライアント証明書を検証する

カスタマーエッジネットワークは、想定されるクライアント証明書の種類に応じた検証を実行します。一般的なセキュリティ上の問題や落とし穴を避けるため、可能な場合は、十分に検証された証明書検証ライブラリを使用してください。クライアント証明書が検証に失敗した場合の想定される動作は、導入環境に依存するため、このドキュメントの対象外です。

CA 署名証明書

証明書が認証局 (CA) によって署名されている場合は、ルート証明書を含む証明書の信頼チェーンを検証する必要があります。また、証明書が登録済みで失効していないことを確認するために、許可リストまたは拒否リストと照合することもあります。公開認証局を使用してクライアント証明書に署名すると、クライアントアプリケーションになりすまされるリスクが高まる可能性があるため、使用しないことを推奨します。

自己署名証明書

自己署名証明書は信頼チェーンに基づいていないため、証明書チェーンを検証できません。代わりに、証明書のフィンガープリントを登録済みの証明書データベースと照合するか、この確認のために証明書を直接 Auth0 に転送できます。

リクエストを転送する

証明書が検証されると、リクエストは顧客から送られるいくつかの特別なヘッダーとともに、Auth0’s edge network 上のカスタムドメインの転送先にある同じエンドポイントへ転送されます。転送するリクエストには、次のヘッダーを含める必要があります。
  • cname-api-key ヘッダーとして Custom Domain API キーを含めます。
  • client-certificate ヘッダーとしてクライアント証明書を含めます。: HTTP ヘッダーはテキストである必要があるため、証明書は URL コンポーネントエンコード済みの PEM に変換する必要があります。ヘッダー値は 4096 バイトに制限されています。そのため、チェーン内の最初の証明書のみを Auth0 に転送してください。
  • client-certificate-ca-verified ヘッダーとして、クライアント証明書の CA 検証ステータスを含めます。client-certificate-ca-verified ヘッダーには、次の値を指定できます。
    • SUCCESS: クライアント証明書が有効であり、認証局によって検証されていることを示します。
    • FAILED: 提示されたクライアント証明書は有効ですが、証明書の信頼チェーンは認証局によって検証されていません。つまり、自己署名証明書です。失敗理由を任意で含めることもできます。
設定で CA 署名証明書のみをサポートしている場合、自己署名証明書を Auth0 edge network に転送する必要はなく、より早い段階でリクエストを終了できます。一方、クライアントが自己署名証明書を使用して認証するように構成されている場合、Auth0 はネットワークエッジから client-certificate-ca-verified:FAILED ヘッダーが送信されることを想定しています。このヘッダー値に基づいて、Auth0 はどのクライアント認証方式が使用されたか、およびどのクライアント資格情報と照合して検証すべきかを判断します。

詳細情報