Passer au contenu principal
Auth0 recommande de faire pivoter régulièrement les identifiants afin de répondre aux exigences de conformité et de garantir que la sécurité n’est pas compromise par des clés privées compromises. Vous pouvez utiliser le tableau de bord Auth0 ou pour faire pivoter de nouvelles clés. Vous devez créer un nouveau justificatif d’identité, l’associer à la méthode d’authentification private_key_jwt et supprimez les identifiants anciennes ou non utilisées.
La limite de stockage de l’application présente est de deux identifiants à la fois. Pour effectuer une rotation constante des identifiants, vous devez supprimer les identifiants non utilisés.
  • Utilisation de Auth0 Dashboard
  • Utiliser Management API
Pour effectuer une rotation des identifiants de votre demande à l’aide de Auth0 Dashboard :
  1. Naviguez vers Auth0 Dashboard > Applications > Application et sélectionnez l’application que vous voulez mettre à jour.
  2. Passez à l’onglet Credentials (Identifiants).
  3. Dans la section Available Credentials (Identifiants disponibles), sélectionnez Add New Key (Ajouter une nouvelle clé).
  4. Définissez un nom pour votre nouvel identifiant, la clé publique en format PEM et l’algorithme pour le nouvel identifiant.
  5. Sélectionnez Add Credential (Ajouter l’identifiant).
  6. Pour activer votre nouvel identifiant, naviguez jusqu’au menu correspondant à l’identifiant et sélectionnez Activer l’utilisation de la clé privée JWT.
  7. Une fois que vous avez mis à jour vos applications pour qu’elles utilisent le nouvel identifiant, désactivez votre identifiant d’origine :
    1. Sélectionnez Désactiver l’utilisation de la clé privée JWT.
    2. Une fois l’identifiant désactivé, retournez au menu de l’identifiant et sélectionnez Delete Credential (Supprimer l’identifiant).

Informations d’identification actives

Pour garantir un temps d’arrêt nul, vous pouvez laisser plusieurs identifiants actives pendant la rotation. Les applications peuvent fonctionner normalement en utilisant des clés plus anciennes jusqu’à ce que les clés soient mises à jour. Les applications peuvent envoyer des assertions signées avec n’importe quel ensemble d’identifiants actives. Auth0 recommande de minimiser le temps d’utilisation de plusieurs identifiants. L’exemple ci-dessous utilise plusieurs identifiants associées : 
curl --location --request PATCH 'https://$tenant/api/v2/clients/$client_id' \
  --header 'Authorization: Bearer $management_access_token' \
  --header 'Content-Type: application/json' \
  --data-raw '{
          "client_authentication_methods": {
             "private_key_jwt": {
                "credentials": [{ "id": $credential1.id }, { "id": $credential2.id }]
             }
          }
 }'

En savoir plus

I