OAuth 2.0: Mutual-TLS-Client-Authentifizierung und zertifikatsgebundene Zugriffstoken

• Status: Proposed Standard
• Veröffentlicht: February 2020
• Stream: IETF
• Errata: Keine Errata

---

Dokumentinformationen

• RFC-Nummer: 8705
• Titel: OAuth 2.0: Mutual-TLS-Client-Authentifizierung und zertifikatsgebundene Zugriffstoken
• Autoren: B. Campbell (Ping Identity), J. Bradley (Yubico), N. Sakimura (Nomura Research Institute), T. Lodderstedt (YES.com AG)
• Datum: Februar 2020
• Kategorie: Standards Track
• Aktualisiert: keine
• Ersetzt: keine

Abstract

Dieses Dokument beschreibt die OAuth-Client-Authentifizierung sowie zertifikatsgebundene Zugriffs- und Aktualisierungstoken (Access- und Refresh-Tokens) mittels gegenseitiger Transport Layer Security (TLS)-Authentifizierung mit X.509-Zertifikaten. OAuth-Clients erhalten ein Verfahren zur Authentifizierung beim Authorization Server über Mutual TLS, entweder auf Basis selbstsignierter Zertifikate oder einer Public Key Infrastructure (PKI). OAuth-Authorization-Server können ausgestellte Access Tokens an das Mutual-TLS-Zertifikat des Clients binden, und geschützte OAuth-Ressourcen können sicherstellen, dass ein vorgelegtes Access Token dem Client ausgestellt wurde, der es vorlegt.

Status dieses Memos

Dies ist ein Internet-Standards-Track-Dokument.

Es ist ein Produkt der Internet Engineering Task Force (IETF) und spiegelt den Konsens der IETF-Gemeinschaft wider. Es wurde öffentlich geprüft und von der Internet Engineering Steering Group (IESG) zur Veröffentlichung genehmigt. Weitere Informationen zu Internet Standards finden sich in Abschnitt 2 von RFC 7841.

Informationen zum aktuellen Status, zu Errata und zu Feedback: https://www.rfc-editor.org/info/rfc8705.

Copyright-Hinweis

Copyright (c) 2020 IETF Trust und die als Autoren genannten Personen. Alle Rechte vorbehalten.

Dieses Dokument unterliegt BCP 78 und den Legal Provisions des IETF Trust zu IETF-Dokumenten (https://trustee.ietf.org/license-info) zum Zeitpunkt der Veröffentlichung. Daraus extrahierte Codekomponenten müssen den Text der Simplified BSD License gemäß Abschnitt 4.e der Legal Provisions enthalten und ohne Gewähr bereitgestellt werden.

Contents

• 1. Einführung
  • 1.1. Anforderungsnotation und Konventionen
  • 1.2. Terminologie
• 2. Mutual TLS für OAuth-Client-Authentifizierung
  • 2.1. PKI-Mutual-TLS-Methode
    • 2.1.1. Metadatenwert der PKI-Methode
    • 2.1.2. Client-Registrierungsmetadaten
  • 2.2. Mutual-TLS-Methode mit selbstsigniertem Zertifikat
    • 2.2.1. Metadatenwert der selbstsignierten Methode
    • 2.2.2. Client-Registrierungsmetadaten
• 3. Mutual-TLS-Client-zertifikatsgebundene Access Tokens
  • 3.1. JWT-Zertifikats-Fingerabdruck-Bestätigungsmethode
  • 3.2. Bestätigungsmethode für Token-Introspection
  • 3.3. Authorization-Server-Metadaten
  • 3.4. Client-Registrierungsmetadaten
• 4. Öffentliche Clients und zertifikatsgebundene Tokens
• 5. Metadaten für Mutual-TLS-Endpunkt-Aliasse
• 6. Implementierungshinweise
  • 6.1. Authorization Server
  • 6.2. Resource Server
  • 6.3. Zertifikatsablauf und gebundene Access Tokens
  • 6.4. Implicit Grant nicht unterstützt
  • 6.5. TLS-Terminierung
• 7. Sicherheitsaspekte
  • 7.1. Zertifikatsgebundene Refresh Tokens
  • 7.2. Zertifikats-Fingerabdruck-Bindung
  • 7.3. TLS-Versionen und Best Practices
  • 7.4. X.509-Zertifikats-Spoofing
  • 7.5. Komplexität der X.509-Zertifikatsanalyse und -validierung
• 8. Datenschutzaspekte
• 9. IANA-Überlegungen
  • 9.1. Registrierung der JWT-Bestätigungsmethoden
  • 9.2. Registrierung der Authorization-Server-Metadaten
  • 9.3. Registrierung der Token-Endpunkt-Authentifizierungsmethode
  • 9.4. Registrierung der Token-Introspection-Antwort
  • 9.5. Registrierung der dynamischen Client-Registrierungsmetadaten
• 10. Referenzen
  • 10.1. Normative Referenzen
  • 10.2. Informative Referenzen
• Anhang A. Beispiel für „cnf"-Claim, Zertifikat und JWK
• Anhang B. Beziehung zu Token Binding
• Danksagungen
• Anschriften der Autoren