Types d'octroi d'accès
L'étape la plus importante pour une application dans le flux OAuth est la façon dont l'application reçoit un jeton d'accès (et éventuellement un jeton d'actualisation). Un type d'autorisation est le mécanisme utilisé pour extraire le jeton. OAuth définit plusieurs types d'autorisation d'accès différents représentant différents mécanismes d'autorisation.
Les applications peuvent demander un jeton d'accès pour accéder aux points d'extrémité protégés de différentes façons, selon le type d'autorisation spécifié dans l'application client. Une autorisation est une donnée d'identification représentant l'autorisation du propriétaire de la ressource d'accéder à une ressource protégée. Les applications approuvées (telles que les services dorsaux) peuvent demander des jetons d'accès directement au nom des utilisateurs. Il s'agit d'un flux d'autorisation à deux branches OAuth. Les applications Web OAuth doivent généralement d'abord valider l'identité de l'utilisateur et éventuellement obtenir son consentement. Il s'agit d'un flux d'autorisation à trois branches OAuth.
Par exemple, lorsque vous utilisez le type d'autorisation Responsable de la ressource, les données d'identification du mot de passe du responsable de la ressource (nom d'utilisateur et mot de passe) peuvent être utilisées directement comme autorisation pour obtenir un jeton d'accès. Lors de l'utilisation du type d'autorisation Données d'identification de client, le client s'authentifie auprès du service OAuth, puis demande un jeton d'accès. Lors de l'utilisation de l'autorisation d'accès à l'assertion, une assertion utilisateur est envoyée avec les informations du client lors de la demande d'accès.
Bien que vous puissiez associer plusieurs types d'autorisation à une application, nous vous recommandons de sélectionner uniquement ce que votre application doit utiliser. Chaque type d'autorisation que vous ajoutez signifie que l'application peut communiquer avec des domaines d'identité à l'aide de l'un de ces types d'autorisation. Toutefois, l'application choisit au moment de l'exécution le type d'autorisation à utiliser.
Application d'authentification de client mTLS
L'authentification client mTLS est appliquée à tous les types d'autorisation si la demande de jeton passe par la couche de transport sécurisé (mTLS). Voir les détails dans les paragraphes suivants :
- Si la demande de jeton provient d'une couche de transport sécurisée (mTLS), le service OAuth vérifie à la fois la validation du certificat et l'autorisation OAuth, par exemple, les données d'identification du client, le mot de passe de l'utilisateur, etc.
- Même si l'octroi (données d'identification du client, mot de passe de l'utilisateur) est correct, si le certificat n'est pas correct ou ne correspond pas à la configuration dans le profil du client, la demande de jeton est rejetée. De même, la demande de jeton est rejetée lorsque le certificat est correct, mais l'octroi principal des données d'identification du client ou du mot de passe de l'utilisateur est incorrect.
Obtenir secureDomainURL pour mTLS
- Allez à la page de détails du domaine et recherchez l'URL du domaine. Par exemple,
https://<domainURL>/.well-known/idcs-configuration - Ajoutez /.well-known/idcs-configuration après .com dans l'URL du domaine et allez à la page de configuration du domaine.
- L'URL à
secure_token_endpointestsecureDomainURL.