送信者制約を設定する

Demonstrating Proof-of-Possession (DPoP) による送信者制約は、現在 Early Access です。この機能へのアクセスをリクエストするには、Auth0 の担当者にお問い合わせください。

送信者制約は、アクセストークンとを、それらを取得した特定のクライアントアプリケーションに暗号学的に結び付けることで、トークンの盗難や不正使用を防ぐおよび Connect (OIDC) のセキュリティメカニズムです。 Auth0 は、mTLS 送信者制約と Demonstrating Proof-of-Possession (DPoP) をサポートしています。クライアントアプリケーションで送信者制約を有効にする場合は、API 呼び出し先のに対してもこれを強制する必要があります。 Auth0 で送信者制約を設定するには、次の作業が必要です。

クライアントアプリケーションで送信者制約を設定する。
リソースサーバーで送信者制約を設定する。

仕組み

が Auth0 で送信者制約付きになるかどうかは、クライアントアプリケーションとリソースサーバーで送信者制約をどのように設定しているかによって決まります。

要求するオーディエンス: トークンリクエストで、要求するオーディエンスが /userinfo のみか、/userinfo エンドポイントでのみ使用することを意図しているか、または openid スコープも要求した場合に /userinfo を含む可能性があるカスタム API かによって、アクセストークンが送信者制約付きになるかどうかが変わります。
クライアントアプリケーション: クライアントアプリケーションで送信者制約を required に設定しているかどうか。
リソースサーバー: リソースサーバーで送信者制約を設定しているかどうか。
1. none: リソースサーバーで送信者制約を設定していません。
2. allowed: 送信者制約方式を設定して、リソースサーバーで送信者制約を有効にしています。
3. required: リソースサーバーで送信者制約を必須に設定しています。つまり、アクセストークンはアプリケーションに対して送信者制約付きである必要があります。送信者制約方式の設定が必要です。

所持証明: クライアントアプリケーションがトークンリクエストで所持証明アサーションを送信したかどうか。
- mTLS 送信者制約: 所持証明は、TLS ハンドシェイク中にクライアントが特定の秘密鍵 (クライアント証明書に関連付けられたもの) を使用できることを正常に示すことで証明されます。
- DPoP: 所持証明は、クライアントが自身の秘密鍵で暗号学的に署名して DPoP Proof JWT を作成し、関連付けられたアクセストークンを使用するすべてのリクエストの DPoP HTTP ヘッダーに DPoP Proof JWT を含めることで実現されます。

次の表は、さまざまなクライアントリクエストパラメーターと Auth0 リソースサーバーの設定に基づいて、アクセストークンがどのように発行されるか、および送信者制約付きかどうかを示しています。

要求するオーディエンスの種類	クライアントで PoP が必須か	クライアントが所持証明 (PoP) を送信したか	Auth0 リソースサーバーポリシー: None	Auth0 リソースサーバーポリシー: Allowed (必須ではない)	Auth0 リソースサーバーポリシー: Required
Userinfo のみ	いいえ	いいえ	発行される、送信者制約なし	N/A	N/A
Userinfo のみ	いいえ	はい	発行される、送信者制約あり	N/A	N/A
Userinfo のみ	はい	いいえ	発行されない	N/A	N/A
Userinfo のみ	はい	はい	発行される、送信者制約あり	N/A	N/A
カスタムオーディエンス (Userinfo を含む場合がある)	いいえ	いいえ	発行される、送信者制約なし	発行される、送信者制約なし	発行されない
カスタムオーディエンス (Userinfo を含む場合がある)	いいえ	はい	発行される、送信者制約なし	発行される、送信者制約あり	発行される、送信者制約あり
カスタムオーディエンス (Userinfo を含む場合がある)	はい	いいえ	発行されない	発行されない	発行されない
カスタムオーディエンス (Userinfo を含む場合がある)	はい	はい	発行されない	発行される、送信者制約あり	発行される、送信者制約あり

クライアントアプリケーションの送信者制約を設定する

クライアントアプリケーションで送信者制約を必須にすると、アクセストークンはそのアプリケーションに制約されます。Auth0 はリクエストを検証し、トークンを要求したアプリケーションだけが、そのトークンを使用して関連リソースにアクセスできるようにします。クライアントアプリケーションで送信者制約を必須に設定すると、リソースサーバーの設定時に送信者制約方式として mTLS または DPoP を指定できます。クライアントアプリケーションの送信者制約は、またはを使用して設定できます。

Auth0 Dashboard
Management API

Dashboard > Applications > Applications に移動し、設定するアプリケーションを選択します。
Settings で、Token Sender-Constraining までスクロールします。
Require Sender Constraining をオンにします。アプリケーションの送信者制約必須設定を解除するには、オフにします。

クライアントの送信者制約を設定するには、Management API を使用します。クライアントで送信者制約を必須にするには、クライアント設定を更新する PATCH リクエストを送信します。require_proof_of_possession パラメーターを true に設定します。

"require_proof_of_possession": true

送信者制約の必須設定を解除するには、require_proof_of_possession パラメーターを false に設定します。

"require_proof_of_possession": false

リソースサーバーの送信者制約を設定する

Auth0 が発行するアクセストークンは、リソースサーバー上の API にアクセスする必要がある送信者 (つまりクライアントアプリケーション) に制約できます。 Auth0 Dashboard または Management API を使用して、リソースサーバーの送信者制約を設定できます。

Auth0 Dashboard
Management API

トークンバインディングまたは送信者制約を有効にするには、API の API Settings を設定します。

Auth0 Dashboard > Applications > APIs に移動します。
設定する API を選択します。
Settings タブで、Token Sender-Constraining セクションを探します。
以下を設定します。
1. Sender Constraining Method:
  1. None: リソースサーバーに対して送信者制約方式を有効にしません。
  2. mTLS: リソースサーバーの送信者制約方式として mTLS を有効にします。
  3. DPoP: リソースサーバーの送信者制約方式として DPoP を有効にします。

B. Require Token Sender Constraining をオンにします。この API 用にアプリケーションに発行されるすべてのアクセストークンは、そのアプリケーションに制約されます。

Auth0 Dashboard > APIs > Settings > トークンバインディング

Management API で送信者制約を有効にするには、リソースサーバーを更新するための PATCH リクエストを送信します。proof_of_possession オブジェクトのパラメーターを次のように設定します。

パラメーター	説明
`mechanism`	送信者制約方式を設定します: `none`、`mtls`、または `dpop`。
`required`	`true` に設定すると、この API 用にアプリケーションに発行されるすべてのアクセストークンは、そのアプリケーションに制約されます。`false` に設定すると、そのアプリケーションでは送信者制約は必須ではありません。

次のコードサンプルは、リソースサーバーに対して mTLS 送信者制約を設定するリクエストボディの例です。

"proof_of_possession": {
    "mechanism": "mtls",
    "required": true
  }

​仕組み

​クライアントアプリケーションの 送信者制約 を設定する

​リソースサーバーの送信者制約を設定する

仕組み

クライアントアプリケーションの送信者制約を設定する

リソースサーバーの送信者制約を設定する