Documentación de Oracle Cloud Infrastructure

Tokens admitidos

Un token se utiliza para tomar decisiones de seguridad a fin de autorizar a un usuario y almacenar información a prueba de alteraciones sobre una entidad del sistema en un dominio de identidad.

Los dominios de identidad soportan tokens web JSON (JWT). Un JWT es un estándar abierto basado en JSON (RFC 7519) que define un método compacto y autónomo para enviar información de forma segura entre partes como un objeto JSON. Esta información puede ser verificada y confiable porque está firmada digitalmente. Los tokens web JSON constan de tres partes separadas por puntos (xxxx.yyyy.zzzz):

  • Header. Consta de dos partes: el tipo de token (JWT) y el algoritmo de hash que se utiliza, como SHA256

  • Carga Útil. Contiene las reclamaciones (los datos de token)

  • Firma. Consta de la cabecera del token codificado y la carga útil codificada firmada con la clave privada del dominio de identidad. La firma se utiliza para verificar que el remitente del JWT es quien dice que es y garantiza que el mensaje no se cambió en el camino.

Los dominios de identidad soportan tres tokens diferentes: token de identidad, token de acceso y afirmación de cliente.

Para acceder a información detallada sobre cada token admitido, seleccione cualquiera de los siguientes enlaces:

Para obtener información sobre la caducidad del token, vaya a:

Token de identidad

Un token de identidad es un token protegido por integridad y autónomo (en formato de token web JSON (JWT) que se define en el estándar OpenID Connect que contiene reclamaciones sobre el usuario final. El token de identidad es la extensión principal que OpenID Connect realiza en OAuth 2.0 para activar la autenticación en un dominio de identidad.

El JWT de token de identidad consta de tres componentes, una cabecera, una carga útil y la firma digital. Siguiendo el estándar JWT, estas tres secciones están codificadas y separadas por puntos en Base64URL.

Nota

Las solicitudes de Connect de OpenID deben contener el valor de ámbito openid.

OpenID Connect 1.0 es una capa de identidad simple sobre el protocolo OAuth 2.0. Permite a una aplicación cliente de dominio de identidad de IAM (registrada como cliente OAuth 2 con ID de cliente y secreto de cliente) verificar la identidad del usuario final en función de la autenticación realizada por un servidor de autorización (AS) y obtener información de perfil básica sobre el usuario final de una manera interoperable y similar a REST. OpenID Connect permite a los clientes de todo tipo, incluidos los clientes basados en web, móviles y JavaScript, solicitar y recibir información sobre las sesiones autenticadas y los usuarios finales. Consulte OpenID Connect para obtener más información.

Nombre Valor
amr Referencias de métodos de autenticación. Matriz JSON de cadenas que son identificadores de los métodos de autenticación utilizados en la autenticación. Por ejemplo, los valores pueden indicar que se han utilizado métodos de autenticación OTP y contraseña.
at_hash OAuth 2 Valor hash de token de acceso.
aud Identifica los destinatarios para los que está destinado este token de ID. Debe ser OAuth 2.0 client_id (según la especificación de OpenID Connect). Éste es el nombre de cliente OAuth (app.name) que está realizando la solicitud. Aud también contiene el emisor del dominio de identidad de IAM, con lo que se convierte el tipo de token (IT) en una afirmación de usuario del dominio de identidad de IAM.
authn_strength* Valor devuelto por el inicio de sesión único en la nube que indica la solidez de autenticación del contexto AuthN.
auth_time Tiempo (tiempo de época UNIX) en el que el inicio de sesión único en la nube autenticó realmente al usuario (en segundos, procedente del contexto AuthN).
azp Parte autorizada. Parte a la que se emitió el token de ID. Si está presente, DEBE contener el ID de cliente OAuth 2.0 de esta parte. Esta reclamación solo es necesaria cuando el token de ID tiene un valor de público único y ese público es diferente de la parte autorizada. Puede ser incluido incluso cuando la parte autorizada es la misma que la única audiencia. El valor azp es una cadena sensible a mayúsculas/minúsculas que contiene un valor StringOrURI.
exp Tiempo de caducidad (tiempo de época UNIX) en el que no se debe aceptar el token de ID para su procesamiento o después de este. Este valor debe ser igual que session_exp.
iat Tiempo (tiempo de época UNIX) en que se creó el JWT (en segundos). El tiempo de época de UNIX es un número JSON que representa el número de segundos desde 1970-01-01T0:0:0Z medido en el tiempo universal coordinado (UTC) hasta la fecha/hora.
iss El principal que emitió el token: https://<domainURL>
jti Identificador único generado por el servidor para el ID de JWT.
nonce Valor de cadena utilizado para asociar una sesión de cliente a un token de ID y para mitigar los ataques de reproducción. Este valor lo proporciona Cloud Gate.
session_exp* Tiempo (tiempo de época de UNIX) en que caduca la sesión de SSO en la nube (segundos, debe ser la misma caducidad de sesión de SSO en el contexto AuthN).
sid ID de sesión de SSO en la nube (255 caracteres ASCII como máximo) del contexto AuthN.
sub Identifica al usuario. El identificador de asunto es localmente único, nunca se reasigna y está destinado a ser consumido por el cliente: ID de conexión de usuario (255 caracteres ASCII como máximo). ID de conexión del usuario del contexto AuthN.
sub_mappingattr* Atributo utilizado para buscar el sub en el almacén de ID.
tok_type* Identifica el tipo de token: IT
user_displayname* Nombre mostrado del usuario (255 caracteres ASCII como máximo) del contexto AuthN.
user_csr* Indica (true) que el usuario es un representante de servicio al cliente (CSR).
user_id* GUID de dominio de identidad de IAM del usuario desde el contexto AuthN.
user_lang* El idioma preferido del usuario.
user_locale* Configuración regional del usuario.
user_tenantname* Nombre de inquilino de usuario (255 caracteres ASCII como máximo). El GUID del inquilino no se guarda específicamente en el token
user_tz* Zona horaria del usuario.