OpenID Connect 상호 TLS 클라이언트 인증 및 인증서 바인드 액세스 토큰입니다.
OpenID Connect for Open Banking 애플리케이션은 클라이언트 인증을 위한 MTLS(mutual TLS) 클라이언트 인증서를 사용하도록 구성할 수 있습니다. 클라이언트 시크릿을 저장하고 사용하는 대신 인증을 사용하여 클라이언트 인증을 수행할 수 있도록 클라이언트 인증서의 세부사항을 등록하십시오.
https://{{tenant}}/oauth2/token과(와) 상호 TLS 연결을 설정하는 데 사용되는 인증서에 액세스 및 새로 고치기 토큰을 바인드할 수 있습니다. 이 연결은 자원 서버가 토큰의 유효성을 검증하고 특정 액세스 토큰을 사용하기 위해 동일한 인증서를 제시해야 하는 경우 "소유 증명"으로 사용됩니다. 이 "점유 증명" 은 도난된 액세스 토큰을 사용하여 보호된 자원에 액세스하는 것을 방지합니다. 이 토큰을 소개하면 인증 지문이 포함된 "cnf" 확인 메소드가 리턴됩니다.{
"iss": "https://server.example.com",
"sub": "ty.webb@example.com",
"exp": 1493726400,
"nbf": 1493722800,
"cnf": {
"x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
}
}참고: MTLS 클라이언트 인증은 인증서 기반 액세스 토큰의 필수 조건이 아닙니다. 예를 들어 개인 키 JWT와 같은 다른 클라이언트 인증 메소드는 클라이언트 인증에 사용될 수 있는 반면, 생성된 액세스 토큰은 여전히 인증서에 바인드될 수 있습니다.
전제조건
- 등록된 CA번들과 함께 테넌트에 대한 사용자 정의 도메인 이름을 구성하십시오. 이는 일반적으로 Verify 테넌트를 작성하거나 업데이트할 때 제공됩니다.
- 상호 TLS 클라이언트 인증을 사용하도록 신뢰 당사자 클라이언트를 구성하십시오.
- 인증서 바인딩 액세스 토큰을 확인하도록 자원 서버 또는 자원 API 게이트웨이를 구성하십시오.
프로시저
- "연합 관리" 인타이틀먼트가 사용 가능한 API 클라이언트를 작성합니다. “API 클라이언트 만들기 ”를 참조하십시오.
- API 클라이언트 신임 정보를 사용하여 토큰을 얻습니다. “OIDC 토큰 관리”를 참조하십시오.
- 토큰을 사용하여 연합을 구성하기 위해 엔드포인트에 액세스합니다.
mtlsEndpointBaseURI의 새 값으로 OpenID Connect 연합을 갱신하십시오. 이 구성 매개변수의 값은 HTTPS 스키마와 커스텀 도메인 이름을 포함하는 URL 입니다. 예를 들어, https://customdomain.jke.com입니다. OpenID Connect 연합 엔드포인트에 대한 API 문서를 참조하십시오. - Open Banking 애플리케이션용 OpenID Connect를 작성하거나 수정하려면 다음 설정이 구성되어 있는지 확인합니다.
- 클라이언트 인증 메소드를
Mutual TLS(으)로 설정하십시오. - TLS 클라이언트 인증 속성을 지원되는 속성 중 하나로 설정합니다. 예를 들어, 제목 대체 이름 이메일 주소는
SAN email address입니다. 이 속성은 TLS 클라이언트 인증을 수행할 때 일치하는 인증 속성입니다. - TLS 클라이언트 인증 속성 값을 일치시킬 값으로 설정합니다. 예를 들어,
SAN email address속성을 선택한 경우 이 속성은 이메일 주소입니다. certificate-bound access tokens을(를) 사용하십시오.
- 클라이언트 인증 메소드를