テナントのmTLS認証を構成する方法を説明します。
以下の例では、$management_access_token またはManagement APIのアクセストークンを指定します。これは、少なくとも以下のスコープを含むアクセストークンで置き換えなければなりません。
create:custom_domainsread:custom_domainscreate:clientsupdate:clientsupdate:client_credentialsupdate:client_keysupdate:tenant_settings
必要なスコープを含んだアクセストークンの取得については、「 アクセストークンを取得する」をお読みください。 typeをself_managed_certsに設定します。
curl --location --request POST 'https://$tenant/api/v2/custom-domains' \
--header 'Authorization: Bearer $management_access_token' \
--header 'Content-Type: application/json' \
--data-raw '{
"domain":"string",
"type":"self_managed_certs",
"verification_method":"txt",
"tls_policy":"recommended",
"custom_client_ip_header":"true-client-ip"
}'
typeは変更できません。
mTLSには、種類がself_managed_certsのカスタムドメインのみ使用できます。Auth0は、現在、mTLSにauth0_managed_certsの種類を使用することをサポートしていません。
curl --location --request POST 'https://$tenant/api/v2/custom-domains/:id' \
--header 'Authorization: Bearer $management_access_token' \
--header 'Content-Type: application/json' \
--data-raw '{
"tls_policy":"recommended",
"custom_client_ip_header":"true-client-ip"
}'
curl --location --request POST 'https://$tenant/api/v2/custom-domains/:id/verify'
statusフィールドで検証ステータスを確認します。検証が完了後、カスタムドメインが要求を受け入れ始めるまで最大10分かかる場合があります。
Auth0がこのカスタムドメインを初めて検証した場合、応答にはcname_api_keyが含まれます。これはエッジ/リバースプロキシを構成する際に必要です。このキーは秘密にしておく必要があり、転送された要求の検証に使われます。
詳しくは、APIドキュメントの「カスタムドメインの検証」をご覧ください。
mTLSハンドシェイクでクライアントからのクライアント証明書が要求される場合、Webブラウザーはユーザーに証明書を選択するためのモーダルダイアログを表示します。これではユーザーエクスペリエンスに摩擦が生じるため、/authorizeエンドポイントのようにmTLSが不要なエンドポイントでは回避すべきです。結果として、異なるドメインでmTLSトラフィックと非mTLSトラフィックに対応するお客様は、mTLSエンドポイントエイリアスを有効にするべきです。
mTLSエンドポイントエイリアスは、クライアントがOIDCディスカバリードキュメントのmtls_endpoint_aliasesプロパティで指定するエンドポイントにmTLSトラフィックを送るべきであることを示します。クライアントは非mTLSトラフィックを通常のエンドポイントに送ります。mtls_endpoint_aliasesプロパティに関する詳細は、「リソースサーバーの呼び出し」をお読みください。
mTLSエンドポイントエイリアスは、とで有効にすることができます。
Auth0 Dashboard
Management API
Auth0 Dashboardを使用して、mTLSエンドポイントエイリアスを有効にする方法:
- [Auth0 Dashboard]に行き、サイドメニューの [Settings(設定)] を選択します。
- [Tenant Settings(テナント設定)]の下の、[Advanced(詳細設定)] タブを選択します。
- [Allow mTLS Endpoint Aliases(mTLSエンドポイントエイリアスを許可する)] を見つけ、有効にしますこれにより
mtls.<your custom domain>というエンドポイントにmTLSトラフィックを定めます。
Management APIを使用したmTLSエンドポイントエイリアスを有効にするには、テナントに対するenable_endpoint_aliasesプロパティをtrueに設定します。curl --location --request PATCH 'https://$tenant/api/v2/tenants/settings' \
--header 'Authorization: Bearer $management_access_token' \
--header 'Content-Type: application/json' \
--data-raw '{
"mtls": {
"enable_endpoint_aliases": true
}
}'
mtls.プレフィックスを追加します。たとえば、構成されたカスタムドメインがauth.saasapp.comの場合、mTLSエンドポイントエイリアスはドメイン mtls.auth.saasapp.comを使用します。フィードバックによって、お客様は将来的にmTLSエンドポイントエイリアスを構成できるようになるかもしれません。mTLSサブドメインはAuth0の制御外です。管理者は、サブドメインのリスクについて理解し、それに応じて対応する必要があります。これには次のことが含まれますが、これらに限定されません。
- mTLSの最上位ドメインおよびサブドメインの所有権および管理能力を持つこと。そうしないと、ログインハンドラーとmTLSサブドメインの両方を失う可能性があります。これは、カスタムドメインを使用する際に特に重要です。
- mTLSサブドメイン(例:
mtls.auth.saasapp.com)のSSL証明書を持っていること。*.saasapp.comのワイルドカード証明書には、mTLSサブドメインは含まれません。
IPが使用されていない場合のダングリングDNSエントリーによるサブドメインの乗っ取りを防止すること。詳細については、Mozilla Developer Network(MDN)の「サブドメインの乗っ取り」ドキュメントを参照してください。 enable_endpoint_aliases値をfalseに設定します。詳細については、「テナント設定の更新」のAPIドキュメントを参照してください。 
