Documentation sur Oracle Cloud Infrastructure

Types d'autorisation d'accès

L'étape la plus importante pour une application dans le flux OAuth est la façon dont l'application reçoit un jeton d'accès (et éventuellement un jeton d'actualisation). Un type d'autorisation est le mécanisme utilisé pour extraire le jeton. OAuth définit plusieurs types d'autorisation d'accès différents qui représentent différents mécanismes d'autorisation.

Les applications peuvent demander un jeton d'accès pour accéder aux points d'extrémité protégés de différentes manières, selon le type d'autorisation spécifié dans l'application client. Une autorisation est une donnée d'identification représentant l'autorisation du responsable de la ressource d'accéder à une ressource protégée. Les applications de confiance (telles que les services dorsaux) peuvent demander des jetons d'accès directement pour le compte des utilisateurs. Il s'agit d'un flux d'autorisation à deux branches OAuth. Les applications Web OAuth doivent généralement d'abord valider l'identité de l'utilisateur et éventuellement obtenir le consentement de l'utilisateur. Il s'agit d'un flux d'autorisation à trois branches OAuth.

Par exemple, lors de l'utilisation du type d'autorisation Responsable de ressource, les données d'identification du mot de passe du responsable de la ressource (nom d'utilisateur et mot de passe) peuvent être utilisées directement comme autorisation pour obtenir un jeton d'accès. Lors de l'utilisation du type d'autorisation Données d'identification de client, le client s'authentifie auprès du service OAuth, puis demande un jeton d'accès. Lors de l'utilisation de l'autorisation Assertion, une assertion utilisateur est envoyée avec les informations client lors de la demande d'accès.

Note

Bien que vous puissiez associer plusieurs types de subvention à une application, nous vous recommandons de sélectionner uniquement ce que votre application doit utiliser. Chaque type d'autorisation que vous ajoutez signifie que l'application peut communiquer avec des domaines d'identité à l'aide de l'un de ces types d'autorisation. Toutefois, l'application choisit au moment de l'exécution le type d'autorisation à utiliser.

Application d'authentification de client mTLS

L'authentification client mTLS est appliquée à tous les types d'autorisation si la demande de jeton passe par la couche de transport sécurisé (mTLS). Voir les détails dans les paragraphes suivants :

  • Si la demande de jeton provient d'une couche de transport sécurisée (mTLS), le service OAuth vérifie à la fois la validation du certificat et l'autorisation OAuth, par exemple, les données d'identification du client, le mot de passe de l'utilisateur, etc.
  • Même si l'octroi (données d'identification du client, mot de passe de l'utilisateur) est correct, si le certificat n'est pas correct ou ne correspond pas à la configuration dans le profil du client, la demande de jeton est rejetée. De même, la demande de jeton est rejetée lorsque le certificat est correct, mais l'octroi principal des données d'identification du client ou du mot de passe de l'utilisateur est incorrect.

Obtenir secureDomainURL pour mTLS

  1. Allez à la page de détails du domaine et recherchez l'URL du domaine. Par exemple,
    https://<domainURL>/.well-known/idcs-configuration
  2. Ajoutez /.well-known/idcs-configuration après .com dans l'URL du domaine et allez à la page de configuration du domaine.
  3. L'URL à secure_token_endpoint est secureDomainURL.

En savoir plus sur les types de subventions

Sélectionnez un lien pour obtenir plus de renseignements sur chacun des types de subvention suivants :