Jetons pris en charge
Un jeton est utilisé pour prendre des décisions de sécurité afin d'autoriser un utilisateur et de stocker des informations infalsifiables sur une entité de système dans un domaine d'identité.
Les domaines d'identité prennent en charge les jetons Web JSON (JWT). Un JWT est un standard ouvert basé sur JSON (RFC 7519) qui définit un moyen compact et autonome d'envoyer des informations en toute sécurité entre les parties en tant qu'objet JSON. Ces informations peuvent être vérifiées et approuvées car elles sont signées numériquement. Les jetons Web JSON se composent de trois parties séparées par des points (xxxx.yyyy.zzzz) :
-
En-tête. Se compose de deux parties : le type de jeton (JWT) et l'algorithme de hachage utilisé, par exemple SHA256
-
Données utiles. Contient les réclamations (données du jeton)
-
Signature. Se compose de l'en-tête de jeton encodé et des données utiles encodées signées avec la clé privée du domaine d'identité. La signature est utilisée pour vérifier que l'expéditeur du JWT est bien celui qu'il dit être et s'assure que le message n'a pas été modifié en cours de route.
Les domaines d'identité prennent en charge trois jetons différents : jeton d'identité, jeton d'accès et assertion de client.
Pour accéder aux informations détaillées sur chaque jeton pris en charge, sélectionnez l'un des liens suivants :
Pour plus d'informations sur l'expiration du jeton, allez à :
Jeton d'identité
Un jeton d'identité est un jeton autonome sécurisé par intégrité (au format JWT (JSON Web Token) défini dans la norme OpenID Connect contenant des revendications sur l'utilisateur final. Le jeton d'identité est l'extension principale qu'OpenID Connect fait à OAuth 2.0 pour activer l'authentification dans un domaine d'identité.
Le jeton d'identité JWT se compose de trois composants, un en-tête, une charge utile et la signature numérique. Conformément à la norme JWT, ces trois sections sont encodées en Base64URL et séparées par des points.
Les demandes OpenID Connect doivent contenir la valeur de portée
openid. OpenID Connect 1.0 est une couche d'identité simple au-dessus du protocole OAuth 2.0. Elle permet à une application client de domaine d'identité IAM (enregistrée en tant que client OAuth 2 avec l'ID client et la clé secrète client) de vérifier l'identité de l'utilisateur final en fonction de l'authentification effectuée par un serveur d'autorisation et d'obtenir des informations de profil de base sur l'utilisateur final de manière interopérable, de type REST. OpenID Connect permet aux clients de tous types, y compris les clients Web, mobiles et JavaScript, de demander et de recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. Pour plus d'informations, voir OpenID Connect.
| Nom | Valeur |
|---|---|
amr
|
Références des méthodes d'authentification. Tableau JSON de chaînes qui sont des identificateurs pour les méthodes d'authentification utilisées dans l'authentification. Par exemple, des valeurs peuvent indiquer que les méthodes d'authentification par mot de passe et par mot de passe à usage unique ont été utilisées. |
at_hash
|
OAuth 2 Valeur de hachage du jeton d'accès. |
aud
|
Identifie les destinataires auxquels ce jeton d'ID est destiné. Doit être la OAuth 2.0 client_id (selon la spécification OpenID Connect). Il s'agit du nom de client OAuth (app.name) qui effectue la demande. Aud contient également l'émetteur du domaine d'identité IAM, transformant ainsi le type de jeton (IT) en une assertion d'utilisateur de domaine d'identité IAM. |
authn_strength*
|
Valeur retournée par l'authentification unique en nuage indiquant la force d'authentification à partir du contexte AuthN. |
auth_time
|
Heure (heure UNIX) à laquelle l'authentification unique en nuage a réellement authentifié l'utilisateur (en secondes, à partir du contexte AuthN). |
azp
|
Partie autorisée. Partie à laquelle le jeton d'identification a été émis. S'il est présent, il DOIT contenir l'ID client OAuth 2.0 de cette partie. Cette réclamation n'est nécessaire que lorsque le jeton d'identification a une seule valeur d'audience et que cette audience est différente de la partie autorisée. Il peut être inclus même lorsque la partie autorisée est la même que l'audience unique. La valeur azp est une chaîne sensible à la casse qui contient une valeur StringOrURI. |
exp
|
Délai d'expiration (heure UNIX) à partir duquel le jeton d'ID ne doit pas être accepté pour traitement. Cette valeur doit être identique à session_exp. |
iat
|
Heure (heure UNIX) à laquelle le jeton JWT a été créé (en secondes). UNIX Epoch Time est un nombre JSON représentant le nombre de secondes entre 1970-01-01T0 :0 :0Z mesuré en temps universel coordonné (UTC) et cette date/heure. |
iss
|
Principal ayant émis le jeton : https://<domainURL>
|
jti
|
Identificateur unique généré par le serveur pour l'ID JWT. |
nonce
|
Valeur de chaîne utilisée pour associer une session client à un jeton d'ID et atténuer les attaques de réexécution. Cette valeur est fournie par Cloud Gate. |
session_exp*
|
Heure (heure UNIX) à laquelle la session d'authentification unique en nuage expire (en secondes, doit être l'expiration de la même session d'authentification unique dans le contexte AuthN). |
sid
|
ID session de l'authentification unique en nuage (255 caractères ASCII au maximum) à partir du contexte AuthN. |
sub
|
Identifie l'utilisateur. L'identificateur de sujet est localement unique, jamais réaffecté, et est destiné à être consommé par le client : ID de connexion d'utilisateur (255 caractères ASCII maximum). Il s'agit de l'ID connexion de l'utilisateur à partir du contexte AuthN. |
sub_mappingattr*
|
Attribut utilisé pour rechercher le sous-inventaire dans le magasin d'ID. |
tok_type*
|
Identifie le type de jeton : IT |
user_displayname*
|
Nom d'affichage de l'utilisateur (255 caractères ASCII au maximum) à partir du contexte AuthN. |
user_csr*
|
Indique (vrai) que l'utilisateur est un représentant du service à la clientèle. |
user_id*
|
GUID du domaine d'identité IAM de l'utilisateur à partir du contexte AuthN. |
user_lang*
|
Langue de préférence de l'utilisateur. |
user_locale*
|
Paramètres régionaux de l'utilisateur. |
user_tenantname*
|
Nom du locataire de l'utilisateur (255 caractères ASCII au maximum). Le GUID du client n'est spécifiquement pas enregistré dans le jeton |
user_tz*
|
Fuseau horaire de l'utilisateur. |