Autenticação do cliente TLS mútuo do OpenID Connect e token de acesso ligado a certificado

Editar online

Os aplicativos OpenID Connect for Open Banking podem ser configurados para usar um certificado de cliente TLS (MTLS) mútuo para autenticação de cliente. Registre os detalhes do certificado do cliente para que a autenticação do cliente possa ser realizada com o certificado em vez de armazenar e usar um segredo de cliente.

Os tokens de acesso e atualização podem ser ligados ao certificado que é usado para estabelecer uma conexão TLS mútua com IBM® Verify no terminal https://{{tenant}}/oauth2/token. Essa conexão é usada como uma "prova de posse" quando o servidor de recursos precisa validar o token e reforçar que o mesmo certificado deve estar presente para usar esse token de acesso específico. Essa "prova de posse" impede o uso de tokens de acesso roubados para acessar recursos protegidos. A introspecção desse token retorna a solicitação do método de confirmação "cnf", que contém a impressão digital do certificado.
{
	"iss": "https://server.example.com",
	"sub": "ty.webb@example.com",
	"exp": 1493726400,
	"nbf": 1493722800,
	"cnf": {
		"x5t#S256": "bwcK0esc3ACC3DB2Y5_lESsXE8o9ltc05O89jdN-dg2"
	}
}
Observação: a autenticação de cliente MTLS não é um pré-requisito para tokens de acesso vinculados a certificados. Outro método de autenticação do cliente, por exemplo, chave privada JWT, pode ser usado para a autenticação do cliente, enquanto o token de acesso gerado ainda pode ser ligado a um certificado.

Pré-requisitos

  • Configure um nome de domínio customizado para o locatário, juntamente com um pacote configurável de CA registrado. Isso tipicamente seria fornecido ao criar ou atualizar o locatário do Verify.
  • Configure o cliente do terceiro confiável para usar a autenticação de cliente TLS mútuo.
  • Configure o servidor de recursos ou o gateway de API de recursos para verificar os tokens de acesso ligados ao certificado.

Procedimento

  1. Crie o cliente de API com a autorização "Gerenciar federações" ativada. Consulte “Criação de clientes de API ”.
  2. Obtenha um token usando as credenciais do cliente de API. Consulte “Gerenciamento de tokens OIDC ”.
  3. Use o token para acessar o terminal para configurar a federação. Atualize a federação do OpenID Connect com um novo valor para mtlsEndpointBaseURI. O valor deste parâmetro de configuração é a URL que contém o esquema HTTPS e o nome de domínio customizado. Por exemplo, https://customdomain.jke.com Consulte a documentação da API para Terminal da federação do OpenID Connect.
  4. Para criar ou modificar o aplicativo OpenID Connect for Open Banking, certifique-se de que as configurações a seguir estejam configuradas.
    • Configure o método de autenticação do cliente para Mutual TLS.
    • Configure o atributo de autenticação do cliente TLS para um dos atributos suportados. Por exemplo, o endereço de e-mail do nome alternativo do assunto SAN email address. Esse atributo é o atributo de certificado que é correspondido quando a autenticação do cliente TLS é realizada.
    • Configure o valor do atributo de autenticação do cliente TLS para o valor que será correspondido. Por exemplo, se o atributo SAN email address foi selecionado, esse atributo será o endereço de e-mail.
    • Ative certificate-bound access tokens.