Authentification TLS mutuelle

Le trafic réseau amorcé par Dialogflow pour les requêtes de webhook est envoyé sur un réseau public. Pour garantir la sécurité et la fiabilité du trafic dans les deux sens, Dialogflow offre la possibilité d'utiliser l'authentification TLS mutuelle (mTLS). Au cours du handshake TLS standard de Dialogflow, votre serveur de webhook présente un certificat qui peut être validé par Dialogflow, en suivant la chaîne d'autorité de certification ou en le comparant à un certificat CA personnalisé. En activant mTLS sur votre serveur de webhook, il pourra authentifier le certificat Google présenté par Dialogflow à votre serveur de webhook pour validation, ce qui établira la confiance mutuelle.

Demander l'authentification mTLS

Pour demander l'authentification mTLS, procédez comme suit :

1. Préparez votre serveur HTTPS de webhook de sorte qu'il demande le certificat client lors du handshake TLS.
2. Votre serveur de webhook doit valider le certificat client lors de sa réception.
3. Installez une chaîne de certificats pour votre serveur de webhook. Ce certificat doit pouvoir être approuvé conjointement par le client et le serveur. Les applications se connectant aux services Google doivent approuver toutes les autorités de certification répertoriées par Google Trust Services. Vous pouvez télécharger les certificats racine à l'adresse suivante : https://pki.goog/.

Exemple d'appel à un serveur webhook à l'aide de mTLS

Cet exemple utilise l'agent présenté dans le guide de démarrage rapide avec un serveur webhook exécutant openssl.

1. Exemple de configuration <ph type="x-smartling-placeholder">
   </ph>
   1. Un agent Dialogflow ES qui accueille l'utilisateur final et interroge une pointant vers un serveur Web autonome.
   2. Une clé privée pour la communication TLS dans un fichier nommé key.pem
   3. Chaîne de certificats signée par une autorité de certification (CA) approuvée publiquement dans un fichier nommé fullchain.pem.
2. Exécutez le programme openssl s_server sur la machine serveur.

   sudo openssl s_server -key key.pem -cert fullchain.pem -accept 443 -verify 1

3. Une requête est envoyée à l'agent à partir d'une machine cliente. Dans cet exemple, la requête est "Bonjour". Cette requête peut être envoyée à l'aide de la console Dialogflow, ou via un appel d'API.
4. Sortie de openssl s_server sur le serveur.

   verify depth is 1
   Using default temp DH parameters
   ACCEPT
   depth=2 C = US, O = Google Trust Services LLC, CN = GTS Root R1
   verify return:1
   depth=1 C = US, O = Google Trust Services LLC, CN = GTS CA 1D4
   verify return:1
   depth=0 CN = *.dialogflow.com
   verify return:1
   -----BEGIN SSL SESSION PARAMETERS-----
   MII...
   -----END SSL SESSION PARAMETERS-----
   Client certificate
   -----BEGIN CERTIFICATE-----
   MII...
   -----END CERTIFICATE-----
   subject=CN = *.dialogflow.com
   
   issuer=C = US, O = Google Trust Services LLC, CN = GTS CA 1D4
   
   Shared ciphers:TLS_AES_128_GCM_SHA256:...
   Signature Algorithms: ECDSA+SHA256:...
   Shared Signature Algorithms: ECDSA+SHA256:...
   Peer signing digest: SHA256
   Peer signature type: RSA-PSS
   Supported Elliptic Groups: 0x6A6A:...
   Shared Elliptic groups: X25519:...
   CIPHER is TLS_AES_128_GCM_SHA256
   Secure Renegotiation IS NOT supported
   POST /dialogflowFulfillment HTTP/1.1
   authorization: Bearer ey...
   content-type: application/json
   Host: www.example.com
   Content-Length: 1011
   Connection: keep-alive
   Accept: */*
   User-Agent: Google-Dialogflow
   Accept-Encoding: gzip, deflate, br
   
   {
     "responseId": "96c0029a-149d-4f5d-b225-0b0bb0f0c8d9-afbcf665",
     "queryResult": {
       "queryText": "Hi",
       "action": "input.welcome",
       "parameters": {
       },
       "allRequiredParamsPresent": true,
       "outputContexts": [{
         "name": "projects/PROJECT-ID/agent/sessions/58ab33f3-b57a-aae9-fb23-8306242d4871/contexts/__system_counters__",
         "parameters": {
           "no-input": 0.0,
           "no-match": 0.0
         }
       }],
       "intent": {
         "name": "projects/PROJECT-ID/agent/intents/399277d6-2ed7-4329-840d-8baa0f60480e",
         "displayName": "Default Welcome Intent"
       },
       "intentDetectionConfidence": 1.0,
       "languageCode": "en",
       "sentimentAnalysisResult": {
         "queryTextSentiment": {
           "score": 0.2,
           "magnitude": 0.2
         }
       }
     },
     "originalDetectIntentRequest": {
       "source": "DIALOGFLOW_CONSOLE",
       "payload": {
       }
     },
     "session": "projects/PROJECT-ID/agent/sessions/58ab33f3-b57a-aae9-fb23-8306242d4871"
   }ERROR
   shutting down SSL
   CONNECTION CLOSED
         

Bonne pratique

Pour vous assurer que les requêtes de webhook sont lancées à partir de vos propres agents Dialogflow, vérifiez que le support jeton d'identité de service à partir de l'en-tête "Authorization" de la requête. Vous pouvez également vérifier un paramètre de session fourni précédemment par un serveur d'authentification de votre côté.

Erreurs

Si la validation du certificat client échoue (par exemple, le serveur de webhook n'approuve pas le certificat client). le handshake TLS échoue et la session se termine.

Messages d'erreur fréquents :

Message d'erreur	Explication
Échec de la validation du certificat du client : x509 : certificat signé par une autorité inconnue	Dialogflow envoie son certificat client au webhook externe, qui ne peut pas le valider. Cela est peut-être dû au fait que le webhook externe n'a pas correctement installé la chaîne d'autorité de certification. Toutes les autorités de certification racine de Google doivent être approuvées.