Adición de una aplicación confidencial

Introduzca un nombre para la aplicación confidencial. Puede introducir un máximo de 125 caracteres.

Para las aplicaciones con nombres largos, el nombre de la aplicación aparece truncado en la página Mis aplicaciones. Tenga en cuenta que los nombres de la aplicación son lo más cortos posible.

Introduzca una descripción para la aplicación confidencial. Puede introducir un máximo de 250 caracteres.

Haga clic en Cerrar (X) en la ventana del icono de aplicación para suprimir el icono de aplicación por defecto y, a continuación, agregue su propio icono para la aplicación. Este icono aparece junto al nombre de la aplicación en la página Mis aplicaciones y en la página Aplicaciones.

Introduzca la URL (HTTP o HTTPS) a la que se redirecciona al usuario después de conectarse correctamente. Este valor también se conoce como el parámetro RelayState de SAML. Se sugiere el formato HTTPS. Utilice HTTP solo para fines de prueba.

Para las aplicaciones empresariales , la URL de la aplicación es la URL que desea que utilicen los usuarios para acceder a la aplicación empresarial. Utilice el nombre de host y el número de puerto del gateway de aplicación. Si tiene varias instancias del gateway de aplicación, utilice el nombre de host y el número de puerto del equilibrador de carga.

En el campo URL de conexión personalizada, especifique una URL de conexión personalizada. No obstante, si utiliza una página de conexión por defecto proporcionada por IAM, deje este campo en blanco.

En el campo URL de desconexión personalizada, especifique una URL de desconexión personalizada. No obstante, si utiliza una página de conexión por defecto proporcionada por IAM, deje este campo en blanco.

Este campo es opcional. Introduzca la URL de la página de error a la que se debe redireccionar a un usuario si se produce un fallo. Si no se especifica, se utiliza la URL de la página de error específica del inquilino. Si ambas URL de error no están configuradas, el error se redirecciona a la página de error de IAM (/ui/v1/error).

Cuando un usuario intenta utilizar la autenticación social (por ejemplo, de Google, Facebook, etc.) para conectarse a IAM, la URL de devolución de llamada se debe configurar en el campo URL de error personalizada. Los proveedores sociales necesitan esta URL de devolución de llamada para llamar a IAM y enviar la respuesta después de la autenticación social. La URL de devolución de llamada proporcionada se utiliza para verificar si el usuario existe o no (si se trata de una primera conexión social) y mostrar un error si ha fallado la autenticación social. Esta es la URL a la que se envía la devolución de llamada con los detalles del usuario de registro social si no existe una cuenta de usuario social conectada correctamente en IAM.

Este campo es opcional. Introduzca la URL a la que IAM puede redirigir después de que se haya completado el enlace de un usuario entre proveedores sociales e IAM.

Cuando crea una aplicación personalizada mediante el SDK personalizado de IAM y la integrar con la conexión social de IAM, la aplicación personalizada debe tener la URL de devolución de llamada de enlace que se puede redirigir después de que se haya completado el enlace del usuario entre el proveedor social e IAM.

Seleccione esta casilla de control si desea que se muestre la aplicación confidencial a los usuarios en sus páginas de Mis aplicaciones. En este caso, debe configurar la aplicación como servidor de recursos.

Si selecciona la casilla de control Mostrar en mis aplicaciones en las aplicaciones, la aplicación estará visible en la página Mis aplicaciones, pero la selección de esta casilla de control no activa ni desactiva la SSO en la aplicación.

El indicador para activar o desactivar la SSO proviene de la plantilla de aplicación.

Seleccione la casilla de control si desea que los usuarios finales puedan solicitar acceso a la aplicación desde su página Mis aplicaciones haciendo clic en Agregar acceso. Si el autoservicio no está activado, los usuarios no verán el botón Agregar acceso.

Para las aplicaciones confidenciales: Forzar permisos como autorización

Para las aplicaciones de empresa: El usuario debe tener otorgada esta aplicación

Si desea que IAM controle el acceso a la aplicación según los permisos para usuarios y grupos, seleccione esta opción. Si desactiva esta opción, cualquier usuario autenticado tendrá acceso a la aplicación.

Defina durante cuánto tiempo (en segundos) seguirá siendo válido el token de acceso asociado a su aplicación confidencial.

Seleccione esta casilla de control si desea utilizar el token de refrescamiento que ha obtenido al utilizar los tipos de permiso Propietario de recurso, Código de autorización o Afirmación.

Defina cuánto tiempo (en segundos) seguirá siendo válido el token de refrescamiento, que se devuelve con el token de acceso y está asociado a la aplicación confidencial.

Introduzca el destinatario principal en el que se procesa el token de acceso de la aplicación confidencial.

Introduzca el destinatario secundario en el que se procesa el token de acceso de la aplicación confidencial y haga clic en Agregar. El destinatario secundario aparecerá en la columna Destinatario secundario y la columna Protección le permitirá saber si el destinatario secundario está protegido o no.

Para especificar a qué partes de otras aplicaciones desea que tenga acceso la aplicación, agregue esos ámbitos a la aplicación confidencial.

Las aplicaciones deben interactuar de forma segura con el partner externo o las aplicaciones confidenciales. Además, las aplicaciones de un servicio de Oracle Cloud deben interactuar de forma segura con las aplicaciones de otro servicio de Oracle Cloud. Cada aplicación tiene ámbitos de aplicación que determinan cuáles de sus recursos están disponibles para otras aplicaciones.

Se utiliza cuando el ámbito de autorización está limitado a los recursos protegidos bajo el control del cliente o a los recursos protegidos registrados en el servidor de autorización.

El cliente presenta sus propias credenciales para obtener un token de acceso. Este token de acceso está asociado a los recursos propios del cliente, no a un propietario de recurso concreto, o bien está asociado a un propietario de recurso para el que el cliente está autorizado a actuar de cualquier otro modo

Utilice esta opción si desea usar una relación de confianza existente expresada como afirmación y sin un paso de aprobación de usuario directo en el servidor de autorización.

El cliente solicita un token de acceso proporcionando una afirmación de token web JSON de usuario (JWT) o una afirmación JWT de usuario de terceros y credenciales de cliente. Una Afirmación JWT es un paquete de información que facilita el uso compartido de la información de identidad y seguridad en los dominios de seguridad.

Utilice esta opción si desea usar una relación de confianza existente expresada como afirmación SAML2 y sin un paso de aprobación de usuario directo en el servidor de autorización.

El cliente solicita un token de acceso proporcionando una afirmación SAML2 de usuario o una afirmación SAML2 de usuario de terceros y credenciales de cliente. Una Afirmación SAML2 es un paquete de información que facilita el uso compartido de la información de identidad y seguridad en los dominios de seguridad.

Seleccione este tipo de permiso cuando desee obtener un código de autorización mediante un servidor de autorización como intermediario entre la aplicación cliente y el propietario del recurso.

Mediante un redireccionamiento del explorador se devuelve un código de autorización al cliente después de que el propietario del recurso dé su consentimiento al servidor de autorización. A continuación, el cliente intercambia el código de autorización por un token de acceso (y a menudo por un token de refrescamiento). Las credenciales del propietario del recurso nunca se exponen al cliente.

Si la aplicación no puede mantener la confidencialidad de las credenciales del cliente para su uso en la autenticación con el servidor de autorización, seleccione esta casilla de control. Por ejemplo, la aplicación se implanta en un explorador web mediante un lenguaje de scripts, como JavaScript. Se devuelve un token de acceso al cliente mediante un redireccionamiento del explorador en respuesta a la solicitud de autorización del propietario del recurso (en lugar de una autorización intermedia).

Seleccione el tipo de permiso Código de dispositivo si el cliente no tiene la capacidad de recibir solicitudes del servidor de autorización OAuth; por ejemplo, si no puede actuar como servidor HTTP, como las consolas de juegos, los reproductores de medios de transmisión o los marcos de imágenes digitales, entre otros.

En este flujo, el cliente obtiene el código de usuario, el código de dispositivo y la URL de verificación. A continuación, el usuario accede a la URL de verificación en un explorador independiente para aprobar la solicitud de acceso. Solo entonces puede el cliente obtener el token de acceso mediante el código de dispositivo.

Seleccione el tipo de permiso Autenticación de cliente TLS para utilizar el certificado de cliente para autenticarse con el cliente. Si una solicitud de token incluye un certificado de cliente X.509 y el cliente solicitado está configurado con el tipo de permiso Autenticación de cliente TLS, el servicio OAuth utiliza el Client_ID de la solicitud para identificar al cliente y validar el certificado de cliente con el certificado de la configuración de cliente. El cliente se autenticará correctamente solo si estos dos valores coinciden.

Para mayor seguridad, antes de activar el tipo de permiso Autenticación de cliente TLS, active y configure la validación OCSP e importe un certificado de partner de confianza.

Seleccione esta casilla de control si desea utilizar URL HTTP para los campos URL de redirección, URL de desconexión o URL de redirección posterior a la desconexión. Por ejemplo, si envía solicitudes internamente, desea una comunicación no cifrada o desea ser compatible con versiones anteriores de OAuth 1.0, puede utilizar una URL HTTP.

Además, seleccione esta casilla de control cuando esté desarrollando o probando la aplicación y es posible que no haya configurado SSL. Esta opción no se recomienda para despliegues de producción.

Introduzca la URL de la aplicación a la que se redirige al usuario después de la autenticación.

Nota: Proporcione una URL absoluta. Las URL relativas no se admiten.

Introduzca la URL a la que desea redirigir al usuario después de desconectarse de la aplicación.

Introduzca la URL a la que se redirige al usuario después de desconectarse de la aplicación confidencial.

Seleccione el tipo de cliente. Los tipos de cliente disponibles son De confianza y Confidencial. Seleccione De confianza si el cliente puede generar afirmaciones de usuario autofirmadas. A continuación, para importar el certificado de firma que utiliza el cliente para firmar su afirmación autofirmada, haga clic en Importar certificado.

Seleccione uno de los algoritmos de cifrado de contenido.

Si está activado, este atributo sobrescribe el atributo Requerir consentimiento para todos los ámbitos configurados para la aplicación, por lo que ningún ámbito requerirá consentimiento.

Seleccione una de las siguientes opciones para permitir a una aplicación cliente acceder a recursos autorizados:

• Todo: permite acceder a cualquier recurso dentro de un dominio (Todo). Consulte Acceso a todos los recursos.

• Específicos: acceda solo a los recursos en los que exista una asociación explícita entre el cliente y el recurso (Específicos). Consulte Acceso a recursos con ámbitos específicos.

Nota: La opción para definir un recurso autorizado solo está disponible para las aplicaciones confidenciales. No se puede definir el ámbito de confianza para las aplicaciones móviles.

Si desea que la aplicación acceda a las API desde otras aplicaciones, marque Agregar recursos en la sección Política de emisión de tokens. A continuación, en la ventana Agregar ámbito, seleccione las aplicaciones a las que hace referencia la aplicación.

Nota: Puede suprimir ámbitos haciendo clic en el icono x situado junto al ámbito. Sin embargo, no puede suprimir ámbitos protegidos.

Marque Agregar roles de aplicación. En la ventana Agregar roles de aplicación, seleccione los roles de aplicación que desea asignar a esta aplicación. Esto permite a la aplicación acceder a las API de REST a las que puede acceder cada uno de los roles de aplicación asignados.

Por ejemplo, seleccione Administrador de dominio de identidad en la lista. La aplicación podrá acceder a todas las tareas de la API de REST disponibles para el administrador del dominio de identidad.

Puede suprimir los roles de aplicación seleccionando el rol de aplicación y haciendo clic a continuación en Eliminar.

Nota: No puede suprimir los roles de aplicación protegidos.