Passer au contenu principal
Vous pouvez faire pivoter manuellement et périodiquement une clé de connexion afin de modifier la clé Web JSON (JWK) utilisée par les applications et les API pour valider les jetons. Si votre application ou API ne permet pas ce changement de clé et tente d’utiliser une clé de connexion expirée pour vérifier un jeton, la demande d’authentification échouera.
Auth0 vous recommande d’exécuter d’abord la rotation des clés de connexion sur un locataire de développement, puis de vérifier que vos applications et API fonctionnent comme prévu. Après avoir vérifié que tout fonctionne correctement, effectuez la même rotation des clés de connexion sur votre locataire de production.
Bien qu’Auth0 n’utilise qu’une seule clé de connexion à la fois, le document de découverte Connect (OIDC) de votre locataire contient en permanence différentes clés. Le document de découverte OIDC inclura systématiquement la clé actuelle et la clé suivante, et il peut également inclure la clé précédente si cette dernière n’a pas encore été révoquée. Pour offrir une expérience transparente en cas d’urgence, votre application doit pouvoir utiliser n’importe laquelle des clés spécifiées dans le document. Pour en savoir plus sur les documents de découverte OpenID Connect, consultez Localiser les ensembles de clés JSON Web.
Pour vous donner le temps de mettre à jour votre application avec la nouvelle clé de connexion, tous les jetons signés avec la clé précédente resteront valides jusqu’à révocation de celle-ci. Pour en savoir plus, consultez Révoquer les clés de connexion.
Vous pouvez faire pivoter la clé de connexion de l’application de votre locataire à l’aide de ou de Auth0.

Utiliser le Dashboard

  1. Allez à Dashboard > Paramètres > Clés de connexion.
    Tableau de bord Paramètres de locataire Onglet Clés d’authentification
  2. Sous Rotation Settings (Paramètres de rotation), localisez Rotate Signing Key (Faire pivoter la clé de connexion) et sélectionnez Rotate Key (Faire pivoter la clé).
  3. Cliquez sur Rotation pour confirmer.
    Tableau de bord Paramètres Clés d’authentification Onglet Confirmation de la rotation

Utilisation de Management API

  1. Pour obtenir une liste des clés d’authentification, effectuez un appel GET au point de terminaison Obtenir toutes les clés de connexion d’application.
  2. Pour faire pivoter la clé de connexion, effectuez un appel POST au point de terminaison Rotate the Application Signing Key (Faire pivoter la clé de connexion d’application). Assurez-vous de remplacer la valeur de remplacement MGMT_API_ACCESS_TOKEN par votre jeton d’accès de Management API. 
    curl --request POST \
   --url 'https://{yourDomain}/api/v2/keys/signing/rotate' \
   --header 'authorization: Bearer {yourMgmtApiAccessToken}'
ValeurDescription
MGMT_API_ACCESS_TOKENAccess Token for the Management API (Jeton d’accès pour Management API) avec les permissions create:signing_keys et update:signing_keys.

Impact de la rotation des clés

API et passerelles API qui acceptent les jetons d’accès

La plupart des logiciels médiateurs et des passerelles API utilisent le point de terminaison JSON web key set (JWKS) pour récupérer les clés de connexion actuelles et futures à un certain intervalle. Si votre logiciel médiateur et/ou vos passerelles API ne prennent pas en charge ce point de terminaison et nécessitent que vous configuriez manuellement un fichier *.cer, vous allez devoir coordonner la rotation des clés de connexion dans Auth0 avec la reconfiguration de votre logiciel médiateur et de vos passerelles.

Applications Web standard

Lors de la rotation de la clé de connexion dans Auth0, vous devrez coordonner la reconfiguration de vos applications qui utilisent ou . Cela se produit généralement lorsque vous téléversez le nouveau certificat public ou que vous reconfigurez l’application en saisissant l’URL des métadonnées WS-Fed/SAMLURL. Cela modifiera la clé JWKS, qui est utilisée par les applications pour valider les jetons. Assurez-vous que votre implémentation ne suppose pas que les clés JWKS ne sont pas modifiées.

En savoir plus

I