Aller au contenu principal

2.2. Self-Signed Certificate Mutual-TLS Method (Méthode mutual-TLS à certificat auto-signé)

2.2. Self-Signed Certificate Mutual-TLS Method (Méthode mutual-TLS à certificat auto-signé)

Cette méthode d'authentification client OAuth mutual-TLS vise à prendre en charge l'authentification du client au moyen de certificats auto-signés. Préalablement, le client enregistre ses certificats X.509 (via jwks défini dans [RFC7591]) ou une référence vers une source de confiance pour ses certificats X.509 (via jwks_uri de [RFC7591]) auprès du serveur d'autorisation. Lors de l'authentification, TLS est utilisé pour valider que le client possède la clé privée correspondant à la clé publique présentée dans le certificat lors de la poignée de main TLS concernée. Contrairement à la méthode PKI, la chaîne de certificats du client n'est pas validée par le serveur dans ce cas. Le client est authentifié avec succès si le certificat qu'il a présenté lors de la poignée de main correspond à l'un des certificats configurés ou enregistrés pour ce client particulier. La méthode à certificat auto-signé permet d'utiliser mutual TLS pour authentifier les clients sans devoir maintenir une PKI. Utilisée conjointement avec un jwks_uri pour le client, elle permet également au client de faire pivoter ses certificats X.509 sans avoir à modifier directement auprès du serveur d'autorisation les données d'authentification correspondantes.

Dernière mise à jour le