Documentación de Oracle Cloud Infrastructure

Adición de una aplicación confidencial

Las aplicaciones confidenciales se ejecutan en un servidor protegido.

  1. En la página de lista Dominios, seleccione el dominio en el que desea realizar cambios. Si necesita ayuda para buscar la página de lista del dominio, consulte Lista de dominios de identidad.
  2. En la página de detalles, seleccione Aplicaciones integradas. Se muestra una lista de aplicaciones en el dominio.
  3. Seleccione Agregar aplicación.
  4. En la ventana Agregar aplicación, seleccione Aplicación confidencial.
  5. Seleccione Iniciar flujo de trabajo.
  6. En la página Agregar aplicación, utilice la siguiente tabla para configurar los detalles y los parámetros de visualización de la aplicación.
    Opción Descripción
    Nombre

    Introduzca un nombre para la aplicación confidencial. Puede introducir un máximo de 125 caracteres.

    Para aplicaciones con nombres largos, el nombre de la aplicación aparece truncado en la página Mis aplicaciones. Considere mantener los nombres de aplicación lo más cortos posible.
    Descripción

    Introduzca una descripción para la aplicación confidencial. Puede introducir un máximo de 250 caracteres.
    Icono de aplicación

    Seleccione Cerrar (X) en la ventana de icono de aplicación para suprimir el icono del aplicación por defecto y, a continuación, agregue su propio icono para la aplicación. Este icono aparece junto al nombre de la aplicación en la página Mis aplicaciones y en la página Aplicaciones.
    URL de aplicación

    Introduzca la URL (HTTP o HTTPS) a la que se redirecciona al usuario después de conectarse correctamente. Este valor también se conoce como el parámetro RelayState de SAML. Se sugiere el formato HTTPS. Utilice HTTP solo para fines de prueba.

    Para las aplicaciones empresariales , la URL de la aplicación es la URL que desea que utilicen los usuarios para acceder a la aplicación empresarial. Utilice el nombre de host y el número de puerto del gateway de aplicación. Si tiene varias instancias del gateway de aplicación, utilice el nombre de host y el número de puerto del equilibrador de carga.
    URL de conexión personalizada

    En el campo URL de conexión personalizada, especifique una URL de conexión personalizada. No obstante, si utiliza una página del enlace por defecto proporcionada por IAM, deje este campo en blanco.
    URL de desconexión personalizada

    En el campo URL de desconexión personalizada, especifique una URL de desconexión personalizada. No obstante, si utiliza una página del enlace por defecto proporcionada por IAM, deje este campo en blanco.
    URL de error personalizada

    Este campo es opcional. Introduzca la URL de las páginas de error a las que se debe redirigir a un usuario si hay un fallo. Si no se especifica, se utiliza la URL de la página de error específica del inquilino. Si ni está configurada la URL del error, el error se redirigirá a la página de errores de IAM (/ui/v1/error).

    Cuando un usuario intenta utilizar la autenticación social (por ejemplo de Google, Facebook, etc.) para conectarse a IAM, la URL del retorno de llamada se debe configurar en el campo URL del error personalizada. Los proveedores sociales necesitan esta URL de devolución de llamada para llamar a IAM y enviar la respuesta de vuelta tras la autenticación social. La URL de devolución de llamada proporcionada se utiliza para verificar si el usuario existe o no (si se trata de una primera conexión social) y mostrar un error si ha fallado la autenticación social. Esta es la URL que se envía a la devolución de llamada con los detalles de usuario de registro social si la cuenta de usuario social conectada correctamente no existe en IAM.
    URL de devolución de llamada de enlace social personalizada

    Este campo es opcional. Introduzca la URL que IAM puede redirigir después de haber completado el enlace de un usuario entre proveedores sociales e IAM.

    Cuando crea una aplicación personalizada mediante los SDK personalizados de IAM y se integra con las conexiones sociales de IAM, la aplicación personalizada debe tener la URL del enlace de llamada de llamada que se puede redirigir después de haber completado el enlace del usuario entre la red social e IAM.
    Mostrar en Mis aplicaciones

    Seleccione la casilla de verificación si desea que la aplicación confidencial se muestre a los usuarios en sus páginas Mis aplicaciones. En este caso, debe configurar la aplicación como servidor de recursos.

    Si selecciona la casilla de control de Mostrar en Mis Aplicaciones en la aplicación, la aplicación será visible en la página Mis Aplicaciones, pero al seleccionar esta casilla de verificación no activa ni desactiva el SSO de la aplicación.

    El indicador para activar o desactivar la SSO proviene de la plantilla de aplicación.
    El usuario puede solicitar acceso

    Seleccione la Casilla de Control si desea que los usuarios finales puedan solicitar acceso a la aplicación desde su página Mis aplicaciones haciendo clic en el botón Agregar acceso Si el autoservicio no está activado, los usuarios no verán el botón Agregar acceso.

    Para las aplicaciones confidenciales: Forzar permisos como autorización

    Para las aplicaciones de empresa: El usuario debe tener otorgada esta aplicación

    Si desea que IAM controle la aplicación según los permisos para usuarios y grupos, seleccione esta opción. Si desactiva esta opción, cualquier usuario autenticado tendrá acceso a la aplicación.
  7. Seleccione Next (Siguiente).
  8. En el panel Configurar OAuth, para proteger los recursos de las aplicaciones ahora y hacer que la aplicación esté visible en la página Mis aplicaciones, seleccione Configurar esta aplicación como un servidor de recursos ahora.
    Utilice la siguiente tabla para proporcionar la información necesaria para configurar esta aplicación como un servidor de recursos.
    Opción Descripción
    Caducidad de token de acceso (segundos)

    Defina durante cuánto tiempo (en segundos) seguirá siendo válido el token de acceso asociado a su aplicación confidencial.
    Permitir refrescamiento de token

    Seleccione esta casilla de verificación si desea utilizar el token de refrescamiento que ha recibido al utilizar los tipos de permisos Propietario del recurso, Código de autorización o Afirmación.
    Caducidad de token de refrescamiento (segundos)

    Defina cuánto tiempo (en segundos) seguirá siendo válido el token de refrescamiento, que se devuelve con el token de acceso y está asociado a la aplicación confidencial.
    Público principal

    Introduzca el destinatario principal en el que se procesa el token de acceso de la aplicación confidencial.
    Agregar destinatario secundario

    Introduzca el destinatario secundario en el que se procese el token de acceso a la aplicación confidencial y seleccione Agregar. El destinatario secundario aparecerá en la columna de Destinatario secundario y la columna de Protección le permitirá saber si el público secundario está protegido o no.
    Agregar ámbitos

    Para especificar a qué partes de otras aplicaciones desea que tenga acceso la aplicación, agregue esos ámbitos a la aplicación confidencial.

    Las aplicaciones deben interactuar de forma segura con el partner externo o las aplicaciones confidenciales. Además, las aplicaciones de un servicio de Oracle Cloud deben interactuar de forma segura con las aplicaciones de otro servicio de Oracle Cloud. Cada aplicación tiene ámbitos de aplicación que determinan cuáles de sus recursos están disponibles para otras aplicaciones.
  9. En el panel Configurar OAuth, seleccione Configurar esta aplicación como un cliente ahora.
    Utilice la siguiente tabla para proporcionar la información necesaria para configurar esta aplicación como cliente.
    Opción Descripción
    Propietario de recurso Se utiliza cuando el propietario del recurso tiene una relación de confianza con la aplicación confidencial, como un sistema operativo informático o una aplicación con muchos privilegios, ya que la aplicación confidencial debe desechar la contraseña después de usarla para obtener el token de acceso.
    Credenciales de cliente

    Se utiliza cuando el ámbito de autorización está limitado a los recursos protegidos bajo el control del cliente o a los recursos protegidos registrados en el servidor de autorización.

    El cliente presenta sus propias credenciales para obtener un token de acceso. Este token de acceso está asociado a los recursos propios del cliente, no a un propietario de recurso concreto, o bien está asociado a un propietario de recurso para el que el cliente está autorizado a actuar de cualquier otro modo
    Afirmación JWT

    Utilice esta opción si desea usar una relación de confianza existente expresada como afirmación y sin un paso de aprobación de usuario directo en el servidor de autorización.

    El cliente solicita un token de acceso proporcionando una afirmación de token web JSON de usuario (JWT) o una afirmación JWT de usuario de terceros y credenciales de cliente. Una afirmación JWT es un paquete de información que facilita el uso compartido de la información de identidad y seguridad en el dominio de seguridad.
    Afirmación SAML2

    Utilice esta opción si desea usar una relación de confianza existente expresada como afirmación SAML2 y sin un paso de aprobación de usuario directo en el servidor de autorización.

    El cliente solicita un token de acceso proporcionando una afirmación SAML2 de usuario o una afirmación SAML2 de usuario de terceros y credenciales de cliente. Una Afirmación SAML2 es un paquete de información que facilita el uso compartido de la información de identidad y seguridad en el dominio de seguridad.
    Token de refrescamiento Seleccione este tipo de permiso cuando desee que el servidor de autorización proporcione un token de refrescamiento y, a continuación, utilícelo para obtener un nuevo token de acceso. Los tokens de refrescamiento se utilizan cuando el token de acceso actual deja de ser válido o caduca y no es necesario que el propietario del recurso vuelva a autenticarse.
    Código de autorización

    Seleccione este tipo de permiso cuando desee obtener un código de autorización mediante un servidor de autorización como intermediario entre la aplicación cliente y el propietario del recurso.

    Mediante un códigos de autorización se devuelve al cliente mediante un redireccionamiento del explorador después de que el propietario del recurso dé su consentimiento al servidor de autorización. A continuación, el cliente intercambia el código de autorización por un token de acceso (y a menudo por un token de refrescamiento). Las credenciales del propietario del recurso nunca se exponen al cliente.
    Implícito

    Si la aplicación no puede mantener el carácter confidencial de las credenciales de cliente para su uso en el servidor de autorización, seleccione esta casilla de control Por ejemplo, la aplicación se implanta en un explorador web mediante un lenguaje de scripts, como JavaScript. Se devuelve un token de acceso al cliente mediante un redireccionamiento del explorador en respuesta a la solicitud de autorización del propietario del recurso (en lugar de una autorización intermedia).
    Código de dispositivo

    Seleccione el tipo del permiso Código de producto si el cliente no tiene el poder de recibir solicitudes del servidor OAuth de autorización; por ejemplo, si no pueden actuar como servidor HTTP, como consolas de videojuegos, los reproductores del medio de transmisión o los marcos del imágenes digitales, entre otros.

    En este flujo, el cliente obtiene el código de usuario, el código de dispositivo y la URL de verificación. A continuación, el usuario accede a la URL de verificación en un explorador independiente para aprobar la solicitud de acceso. Solo entonces puede el cliente obtener el token de acceso mediante el código de dispositivo.
    Autenticación de cliente TLS

    Seleccione el tipo del permiso Autenticación de Cliente TLS para utilizar el certificado de cliente para autenticarse con el cliente. Si una solicitud de token incluye un certificado del cliente X.509 y el cliente solicitado está configurado con el tipo del permiso Autenticación del cliente TLS, el servicio OAuth utiliza el Client_ID de la solicitud para identificar al cliente y validar el certificado del cliente con el certificado en la configuración de cliente. El cliente se autenticará correctamente solo si estos dos valores coinciden.

    Para mayor seguridad, antes de activar el tipo del permiso Autenticación de Cliente TLS, active y configure el certificado OCSP e impórtelo.

    Permitir direcciones URL de HTTP

    Seleccione esta casilla de verificación si desea utilizar URL HTTP para los campos URL del redireccionamiento, URL del cierre de sesión o URL del redireccionamiento posterior al cierre de sesión. Por ejemplo, si envía solicitudes internamente, desea una comunicación no cifrada o desea ser compatible con versiones anteriores de OAuth 1.0, puede utilizar una URL HTTP.

    Además, seleccione esta casilla de control cuando esté desarrollando o probando la aplicación y es posible que no haya configurado SSL. Esta opción no se recomienda para despliegues de producción.
    URL de redirección

    Introduzca la URL de la aplicación a la que se redirige al usuario después de la autenticación.

    Nota: Proporcione una URL absoluta. Las URL relativas no están soportadas.
    URL de redirección posterior a la desconexión

    Introduzca la URL a la que desea redirigir al usuario después de desconectarse de la aplicación.
    URL de Desconexión

    Introduzca la URL a la que se redirige al usuario después de desconectarse de la aplicación confidencial.
    Tipo de cliente

    Seleccione el tipo de cliente. Los tipos de cliente disponibles son De confianza y Confidencial. Seleccione De confianza si el cliente puede generar afirmaciones de usuario autofirmadas. A continuación, para importar la firma de certificado que utiliza el cliente para firmar su afirmación autofirmada, seleccione Importar certificado.
    Operaciones permitidas

    • Seleccione la casilla de control de Introspección si desea permitir el acceso a un punto final de introspección de token para su aplicación.

      Si la aplicación confidencial no puede mantener su confidencialidad en las credenciales de cliente para su uso en el servidor de autorización, seleccione esta casilla de control Por ejemplo, la aplicación confidencial se implementa en un explorador web mediante un lenguaje de scripts como JavaScript.

      Se devuelve un token de acceso al cliente mediante un redireccionamiento del explorador en respuesta a la solicitud de autorización del propietario del recurso (en lugar de un código de autorización intermedia).

    • Seleccione la casilla de controlEn nombre de si desea asegurarse que los privilegios del acceso sólo puedan generarse desde los privilegios del usuario. Esto permite a la aplicación cliente acceder a los puntos finales a los que tiene acceso el usuario aunque la aplicación cliente por sí misma no tuviera acceso normalmente.
    Algoritmo de cifrado de token de ID

    Seleccione uno de los algoritmos de cifrado de contenido.
    Omitir consentimiento

    Si está activado, este atributo sobrescribe el atributo Requerir consentimiento para todos los ámbitos configurados para la aplicación y, por lo tanto, ningún ámbito requerirá consentimiento.
    Dirección IP del Cliente
    • Cualquier ubicación: la solicitud de token está permitida desde cualquier lugar. No hay perímetro.
    • Restringir por perímetro de red: seleccione los perímetros de red para que solo se permita una solicitud del token desde estos.
    Recursos autorizados

    Seleccione una de las siguientes opciones para permitir a una aplicación cliente acceder a recursos autorizados:

    Nota: La opción para definir un recurso autorizado solo está disponible para las aplicaciones confidenciales. No se puede definir el alcance de confianza para las aplicaciones móviles.
    Agregar recursos

    Si desea que la aplicación acuerde a las API desde otras aplicaciones, marque Agregar recursos en la sección Política de emisión de token. A continuación, en la ventana Agregar ámbito, seleccione las aplicaciones a las que hace referencia su aplicación.

    Nota: Puede suprimir ámbitos seleccionando el icono x junto al ámbito. Sin embargo, no puede suprimir ámbitos protegidos.
    Agregar roles de aplicación

    Marque Agregar Roles de Aplicación. En la ventana de agregación de roles para la aplicación, seleccione los roles que desea asignar a esta aplicación. Esto permite a la aplicación acceder a las API de REST a las que puede acceder cada uno de los roles de aplicación asignados.

    Por ejemplo, seleccione Administrador de dominio de identidad en la lista. La aplicación podrá acceder a todas las tareas de la API de REST disponibles para el administrador del dominio de identidad.

    Puede suprimir los roles de aplicación seleccionando el rol de aplicación y, a continuación, seleccionando Eliminar.

    Nota: No puede suprimir los funciones de aplicación protegidas.
  10. Seleccione Next (Siguiente).
  11. Configure la política de nivel web. Importe la política existente de nivel web o edite manualmente la política en Modo simple rellenando los campos o en Modo avanzado editando un archivo JSON.
  12. Agregue los recursos que desee proteger.
  13. Haga clic en Terminar.
    La aplicación se agregará en estado desactivado.
  14. Registre el ID de cliente y el secreto de cliente en el recuadro de diálogo Aplicación agregada.
    Para integrarlo con la aplicación confidencial, utilice este identificador y este secreto como parte de la configuración de conexión. El ID de cliente y elsecreto de cliente equivalen a una credencial (por ejemplo, un identificador y la contraseña) que utiliza la aplicación para comunicarse con IAM.
  15. Seleccione Cerrar.

    Aparecerá a la página de detalles de la nueva aplicación.

  16. En la parte superior de la página, a la derecha del nombre de la aplicación, seleccione Activar.
  17. Confirme la activación.
  18. En la sección Recursos:
    1. Seleccione Información de consentimiento y, a continuación, agregue información de consentimiento.
    2. Seleccione Usuarios o Grupos para agregar usuarios, grupos y a la aplicación.