Use this file to discover all available pages before exploring further.
Pour renforcer la sécurité de vos transactions, vous pouvez signer ou chiffrer à la fois vos requêtes et vos réponses dans le protocole . Dans cet article, vous trouverez des configurations pour des scénarios spécifiques, réparties selon deux cas d’utilisation :
Auth0 comme fournisseur de services SAML (par exemple, une connexion SAML)
Auth0 comme SAML (par exemple, une application configurée avec l’add-on SAML Web App)
Ces scénarios s’appliquent lorsque Auth0 est le fournisseur de services SAML, ce qui signifie qu’Auth0 se connecte à un fournisseur d’identité SAML en créant une Connexion SAML.
Par défaut, les requêtes d’authentification SAML sont envoyées par HTTP-Redirect et utilisent le codage deflate, ce qui place la signature dans un paramètre de requête.Pour désactiver le codage deflate, vous pouvez effectuer un appel PATCH vers le point de terminaison Update a Connection de la Management API et définir l’option deflate sur false.La mise à jour de l’objet options pour une connexion remplace l’ensemble de l’objet options. Pour conserver les options de connexion existantes, récupérez l’objet options actuel et ajoutez-y les nouvelles paires clé/valeur.Point de terminaison : https://{yourDomain}/api/v2/connections/{yourConnectionId}Charge utile :
{ { "options" : { [...], // toutes les autres options de connexion "deflate": false }}
Utiliser une clé personnalisée pour signer les requêtes
Par défaut, Auth0 utilise la clé privée du tenant pour signer les requêtes SAML (lorsque l’option Sign Request est activée). Vous pouvez aussi fournir votre propre paire de clés privée/publique pour signer les requêtes provenant d’une connexion spécifique.Vous pouvez générer votre propre certificat et clé privée à l’aide de cette commande :
La clé utilisée pour signer les requêtes dans la connexion ne peut pas être modifiée dans l’interface du tableau de bord, vous devrez donc utiliser le point de terminaison Update a Connection de la v2 et ajouter une propriété signing_key à l’objet options, comme illustré dans l’exemple de charge utile ci-dessous.Mettre à jour l’objet options pour une connexion remplace l’intégralité de l’objet options. Pour conserver les options de connexion précédentes, récupérez l’objet options existant et ajoutez-y les nouvelles paires clé-valeur.Point de terminaison : https://{yourDomain}/api/v2/connections/{yourConnectionId}Charge utile :
{ { "options" : { [...], // toutes les autres options de la connexion "signing_key": { "key":"-----BEGIN PRIVATE KEY-----\n...{votre clé privée ici}...\n-----END PRIVATE KEY-----", "cert":"-----BEGIN CERTIFICATE-----\n...{votre certificat de clé publique ici}...\n-----END CERTIFICATE-----" } } }}
Recevoir des réponses d’authentification SAML signées
Si Auth0 est le fournisseur de services SAML, toutes les réponses SAML de votre fournisseur d’identité doivent être signées pour indiquer qu’elles n’ont pas été altérées par un tiers non autorisé.Vous devrez configurer Auth0 pour valider les signatures des réponses en obtenant un certificat de signature auprès du fournisseur d’identité et en important ce certificat du fournisseur d’identité dans votre Connexion Auth0 :
Recevoir des assertions d’authentification SAML chiffrées
Si Auth0 est le fournisseur de services SAML, il peut être amené à recevoir des assertions chiffrées d’un fournisseur d’identité. Pour ce faire, vous devez fournir à l’IdP le certificat de la clé publique du tenant. L’IdP chiffre l’assertion SAML à l’aide de la clé publique et l’envoie à Auth0, qui la déchiffre à l’aide de la clé privée du tenant.Utilisez les liens suivants pour obtenir la clé publique dans différents formats :
Utiliser votre paire de clés pour déchiffrer les réponses chiffrées
Comme indiqué ci-dessus, Auth0 utilisera par défaut la paire de clés privée/publique de votre tenant pour gérer le chiffrement. Vous pouvez également fournir votre propre paire de clés publique/privée si un scénario avancé l’exige.La modification de la paire de clés utilisée pour chiffrer et déchiffrer les requêtes pour la connexion ne peut pas être effectuée dans l’interface du Dashboard. Vous devrez donc utiliser le point de terminaison Update a Connection de la Management API v2 et ajouter une propriété decryptionKey à l’objet options, comme illustré dans l’exemple de charge utile ci-dessous.La mise à jour de l’objet options pour une connexion remplace l’intégralité de l’objet options. Pour conserver les options de connexion précédentes, récupérez l’objet options existant et ajoutez-y les nouvelles paires clé-valeur.Point de terminaison : https://{yourDomain}/api/v2/connections/{yourConnectionId}Charge utile :
{ { "options" : { [...], // toutes les autres options de connexion "decryptionKey": { "key":"-----BEGIN PRIVATE KEY-----\n...{votre clé privée ici}...\n-----END PRIVATE KEY-----", "cert":"-----BEGIN CERTIFICATE-----\n...{votre certificat de clé publique ici}...\n-----END CERTIFICATE-----" } }}
Les métadonnées SAML disponibles pour la connexion seront mises à jour avec le certificat fourni afin que le fournisseur d’identité puisse y accéder pour signer la réponse SAML.
Ce scénario s’applique lorsque Auth0 agit comme fournisseur d’identité SAML pour une application. Dans le Dashboard, cela est représenté par une Application dans laquelle le module complémentaire SAML Web App est activé.
Si Auth0 est le fournisseur d’identité SAML, il signera les assertions SAML avec la clé privée du locataire et fournira au fournisseur de services la clé publique/le certificat nécessaire pour valider la signature.Pour signer les assertions SAML :
Sélectionnez Application Web SAML2 pour afficher ses paramètres, et localisez le bloc de code Paramètres.
Localisez la clé "signResponse". Décommentez-la (ou ajoutez-la, si nécessaire), puis donnez-lui la valeur true (la valeur par défaut est false). La configuration devrait ressembler à ceci :
Modifier la clé de signature pour les réponses SAML
Par défaut, Auth0 utilise la paire de clés privée/publique associée à votre tenant pour signer les réponses ou assertions SAML. Pour certains scénarios très spécifiques, vous pourriez souhaiter fournir votre propre paire de clés. Vous pouvez le faire au moyen d’une règle comme celle‑ci :
/*** Handler that will be called during the execution of a PostLogin flow.** @param {Event} event - Details about the user and the context in which they are logging in.* @param {PostLoginAPI} api - Interface whose methods can be used to change the behavior of the login.*/exports.onExecutePostLogin = async (event, api) => { // replace with the ID of the application that has the SAML Web App Addon enabled // for which you want to change the signing key pair. const samlIdpClientId = 'YOUR_SAML_APP_CLIENT_ID'; // only do this for the specific client ID. If you have multiple IdPs that require // custom certificates, you will have an "if" statement for each one. if (event.client.client_id === samlIdpClientId) { // fournir votre propre clé privée et certificat ici // voir https://auth0.com/docs/authenticate/protocols/saml/saml-sso-integrations/work-with-certificates-and-keys-as-strings // pour les instructions de formatage : vous commencez essentiellement avec un certificat au format PEM et // remplacez les fins de ligne par « \n » const signingCert = "-----BEGIN CERTIFICATE-----\nnMIIC8jCCAdqgAwIBAgIJObB6jmhG0QIEMA0GCSqGSIb3DQEBBQUAMCAxHjAcBgNV[..all the other lines..]-----END CERTIFICATE-----\n"; const signingKey = "-----BEGIN PRIVATE KEY-----\nnMIIC8jCCAdqgAwIBAgIJObB6jmhG0QIEMA0GCSqGSIb3DQEBBQUAMCAxHjAcBgNV[..all the other lines..]-----END PRIVATE KEY-----\n"; api.samlResponse.setCert(signingCert) api.samlResponse.setKey(signingKey); } };
Pour savoir comment convertir les fichiers de clé privée et de certificat en chaînes de caractères que vous pouvez utiliser dans une règle, consultez la page Work with Certificates and Keys and Strings.
Recevoir des demandes d’authentification SAML signées
Si Auth0 est le fournisseur d’identité SAML, il peut recevoir des demandes signées avec la clé privée du fournisseur de services. Auth0 utilise la clé publique/le certificat pour valider la signature.Pour configurer la validation de la signature :
Téléchargez le certificat du fournisseur de services avec la clé publique.
Sélectionnez Application Web SAML2 pour afficher ses paramètres, et localisez le bloc de code Paramètres .
Localisez la clé "signingCert". Décommentez-la (ou ajoutez-la, si nécessaire), puis définissez sa valeur en fonction du certificat que vous avez téléchargé depuis le fournisseur de services. La configuration devrait ressembler à ceci :
{ [...], // other settings "signingCert": "-----BEGIN CERTIFICATE-----\nMIIC8jCCAdqgAwIBAgIJObB6jmhG0QIEMA0GCSqGSIb3DQEBBQUAMCAxHjAcBgNV\n[..all the other lines..]-----END CERTIFICATE-----\n"}
Envoyer des assertions d’authentification SAML chiffrées
Si Auth0 est le fournisseur d’identité SAML, vous pouvez utiliser les Actions pour chiffrer les assertions SAML qu’il envoie.Vous devez obtenir le certificat et la clé publique auprès du fournisseur de services. Si vous n’avez reçu que le certificat, vous pouvez extraire la clé publique à l’aide de openssl. En supposant que le fichier de certificat s’appelle certificate.pem, vous pouvez exécuter la commande suivante :openssl x509 -in certificate.pem -pubkey -noout > public_key.pemUne fois que vous avez les fichiers de certificat et de clé publique, vous devez les convertir en chaînes de caractères pour les utiliser dans une Action. L’Action ressemblera à ce qui suit :
exports.onExecutePostLogin = async (event, api) => {// cette Action définit une clé publique spécifique pour chiffrer l'assertion SAML générée à partir d'Auth0 if ( event.client.client_id === "THE_CLIENT_ID_OF_THE_APP_WITH_THE_SAML_APP_ADDON" ) { const encryptionCert = "-----BEGIN CERTIFICATE-----\nnMIIC8jCCAdqgAwIBAgIJObB6jmhG0QIEMA0GCSqGSIb3DQEBBQUAMCAxHjAcBgNV[..all the other lines..]-----END CERTIFICATE-----\n"; const encryptionPublicKey = "-----BEGIN PUBLIC KEY-----\nnMIIC8jCCAdqgAwIBAgIJObB6jmhG0QIEMA0GCSqGSIb3DQEBBQUAMCAxHjAcBgNV[..all the other lines..]-----END PUBLIC KEY-----\n"; api.samlResponse.setEncryptionCert(encryptionCert); api.samlResponse.setEncryptionPublicKey(encryptionPublicKey); }};
