Aller au contenu principal

2.1. PKI Mutual-TLS Method (Méthode mutual-TLS PKI)

2.1. PKI Mutual-TLS Method (Méthode mutual-TLS PKI)

La méthode PKI (infrastructure à clés publiques) d'authentification client OAuth mutual-TLS suit la manière dont les certificats X.509 sont traditionnellement utilisés pour l'authentification. Elle repose sur une chaîne de certificats validée [RFC5280] et un seul nom distinctif (DN) de sujet ou un seul nom alternatif de sujet (SAN, subject alternative name) pour authentifier le client. Une seule valeur de nom de sujet de tout type est utilisée pour chaque client. La poignée de main TLS sert à valider la possession par le client de la clé privée correspondant à la clé publique du certificat et à valider la chaîne de certificats correspondante. Le client est authentifié avec succès si les informations de sujet du certificat correspondent au sujet unique attendu configuré ou enregistré pour ce client particulier (noter qu'un traitement prévisible des valeurs DN, tel que la règle distinguishedNameMatch de [RFC4517], est nécessaire pour comparer le DN sujet du certificat au DN enregistré du client). La vérification de révocation est possible avec la méthode PKI, mais le fait de vérifier ou non l'état de révocation d'un certificat et la manière de le faire relèvent d'une décision de déploiement à la discrétion du serveur d'autorisation. Les clients peuvent faire pivoter leurs certificats X.509 sans modifier les données d'authentification correspondantes au serveur d'autorisation en obtenant un nouveau certificat avec le même sujet auprès d'une autorité de certification (CA) de confiance.

Dernière mise à jour le