Authentification client TLS mutuelle OpenID Connect et jeton d'accès lié au certificat
Les applications OpenID Connect for Open Banking peuvent être configurées pour utiliser un certificat client TLS (MTLS) pour l'authentification client. Enregistrez les détails du certificat du client de sorte que l'authentification du client puisse être effectuée avec le certificat au lieu de stocker et d'utiliser un secret client.
https://{{tenant}}/oauth2/token. Cette connexion est utilisée comme « preuve de possession » lorsque le serveur de ressources doit valider le jeton et appliquer que le même certificat doit être présent pour utiliser ce jeton d'accès particulier. Cette « preuve de possession » empêche l'utilisation de jetons d'accès volés pour accéder aux ressources protégées. L'introspection de ce jeton renvoie la demande de méthode de confirmation « cnf », qui contient l'empreinte du certificat.{
"iss": "https://server.example.com",
"sub": "ty.webb@example.com",
"exp": 1493726400,
"nbf": 1493722800,
"cnf": {
"x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
}
}Remarque : l'authentification client MTLS n'est pas une condition préalable à l'utilisation de jetons d'accès liés à un certificat. Une autre méthode d'authentification du client, par exemple la clé privée JWT, peut être utilisée pour l'authentification du client, tandis que le jeton d'accès généré peut toujours être lié à un certificat.
Prérequis
- Configurez un nom de domaine personnalisé pour le titulaire, ainsi qu'un regroupement CA enregistré. Cette option est généralement fournie lors de la création ou de la mise à jour du titulaire Verify.
- Configurez le client de la partie de confiance pour qu'il utilise l'authentification mutuelle du client TLS.
- Configurez le serveur de ressources ou la passerelle d'API de ressource pour vérifier les jetons d'accès liés au certificat.
Procédure
- Créez le client API avec le droit « Gérer les fédérations » activé. Voir la section « Création de clients API ».
- Obtenez un jeton à l'aide des données d'identification du client de l'API. Voir la section « Gestion des jetons OIDC ».
- Utilisez le jeton pour accéder au nœud final afin de configurer la fédération. Mettez à jour la fédération OpenID Connect avec une nouvelle valeur pour
mtlsEndpointBaseURI. La valeur de ce paramètre de configuration est l'URL qui contient le schéma HTTPS et le nom de domaine personnalisé. Par exemple, https://customdomain.jke.com. Voir la documentation de l'API pour Nœud final de fédération OpenID Connect. - Pour créer ou modifier l'application OpenID Connect for Open Banking, vérifiez que les paramètres suivants sont configurés.
- Définissez la méthode d'authentification du client sur
Mutual TLS. - Définissez l'attribut d'authentification du client TLS sur l'un des attributs pris en charge. Par exemple, l'adresse électronique de nom alternatif de sujet
SAN email address. Cet attribut est l'attribut de certificat qui est mis en correspondance lors de l'authentification du client TLS. - Définissez la valeur de l'attribut d'authentification du client TLS sur la valeur qui va être mise en correspondance. Par exemple, si l'attribut
SAN email addressa été sélectionné, cet attribut est l'adresse électronique. - Activez
certificate-bound access tokens.
- Définissez la méthode d'authentification du client sur