Ajout d'une application confidentielle

Entrez un nom pour l'application confidentielle. Vous pouvez entrer jusqu'à 125 caractères.

Pour les applications portant des noms longs, le nom de l'application apparaît tronqué dans la page Mes applications. Essayez d'utiliser des noms d'application les plus courts possible.

Entrez une description pour l'application confidentielle. Vous pouvez entrer jusqu'à 250 caractères.

Sélectionnez Fermer (X) dans la fenêtre de l'icône Application pour supprimer l'icône Application par défaut, puis ajoutez votre propre icône pour l'application. Cette icône apparaît à côté du nom de l'application dans la page Mes applications et la page Applications.

Entrez l'URL (HTTP ou HTTPS) vers laquelle l'utilisateur est redirigé après une connexion réussie. Cette valeur est également appelée paramètre RelayState SAML. Le format HTTPS est suggéré. Utilisez HTTP uniquement à des fins de test.

Pour les applications d'entreprise, l'URL de l'application est celle que les utilisateurs doivent utiliser pour accéder à l'application d'entreprise. Utilisez le nom d'hôte et le numéro de port de la passerelle d'application. Si vous avez plusieurs instances de la passerelle d'application, utilisez le nom d'hôte et le numéro de port de l'équilibreur de charge.

Dans le champ URL de connexion personnalisée, spécifiez une URL de connexion personnalisée. Toutefois, si vous utilisez une page de connexion par défaut fournie par le service IAM, laissez ce champ vide.

Dans le champ URL de déconnexion personnalisée, spécifiez une URL de déconnexion personnalisée. Toutefois, si vous utilisez une page de connexion par défaut fournie par le service IAM, laissez ce champ vide.

Ce champ est facultatif. Entrez l'URL de page d'erreur vers laquelle un utilisateur doit être redirigé, en cas d'échec. Si aucune valeur n'est spécifiée, l'URL de page d'erreur spécifique au locataire est utilisée. Si les deux URL d'erreur ne sont pas configurées, elles sont redirigées vers la page d'erreur IAM (/ui/v1/error).

Lorsqu'un utilisateur essaie d'utiliser l'authentification sociale (par exemple, Google, Facebook, etc.) pour se connecter à GIA, l'URL de rappel doit être configurée dans le champ URL d'erreur personnalisée. Les fournisseurs d'identités sociales ont besoin de cette URL de rappel pour appeler GIA et renvoyer la réponse après l'authentification sociale. L'URL de rappel fournie permet de vérifier si l'utilisateur existe ou non (dans le cas d'une première authentification sociale) et d'afficher une erreur si l'authentification sociale échoue. URL à laquelle le rappel est envoyé avec les détails de l'utilisateur de l'enregistrement social, si un compte d'utilisateur des médias sociaux connecté avec succès n'existe pas dans IAM.

Ce champ est facultatif. Entrez l'URL vers laquelle GIA peut être redirigé après la liaison d'un utilisateur entre un fournisseur d'identités sociales et GIA.

Lorsque vous créez une application personnalisée à l'aide de la trousse SDK personnalisée GIA et l'intégrez à une authentification sociale GIA, l'application personnalisée doit disposer de l'URL de rappel de liaison qui peut être réacheminée après la liaison de l'utilisateur entre un fournisseur d'identités sociales et GIA .

Cochez cette case pour que l'application confidentielle soit répertoriée dans les pages Mes applications des utilisateurs. Dans ce cas, vous devez configurer l'application en tant que serveur de ressources.

Lorsque vous sélectionnez la case Afficher dans mes applications dans les applications, l'application est alors visible dans la page Mes applications, mais la sélection de cette case à cocher n'active pas ou ne désactive pas l'authentification unique pour l'application.

L'indicateur d'activation ou de désactivation de l'authentification unique provient du modèle d'application.

Cochez la case si vous souhaitez que les utilisateurs finaux puissent demander l'accès à l'application à partir de la page Mes applications en sélectionnant Ajouter un accès. Si le libre-service n'est pas activé, les utilisateurs ne verront pas le bouton Ajouter un accès.

Pour les applications confidentielles : Imposer les droits comme autorisation

Pour les applications d'entreprise : L'utilisateur doit avoir accès à cette application

Si vous voulez que le service GIA contrôle l'accès à l'application en fonction des autorisations accordées aux utilisateurs et aux groupes, sélectionnez cette option. Si vous désélectionnez cette option, tout utilisateur authentifié a accès à l'application.

Définissez la durée (en secondes) pendant laquelle le jeton d'accès associé à votre application confidentielle reste valide.

Sélectionnez cette option si vous voulez utiliser le jeton d'actualisation que vous obtenez lorsque vous utilisez les types de droits Responsable de la ressource, Code d'autorisation ou Assertion.

Définissez la durée (en secondes) pendant laquelle le jeton d'actualisation, qui est retourné avec votre jeton d'accès et qui est associé à votre application confidentielle, reste valide.

Entrez le destinataire principal où le jeton d'accès à votre application confidentielle est traité.

Entrez les destinataires secondaires où le jeton d'accès de votre application est traité, puis sélectionnez Ajouter. Le destinataire secondaire apparaît dans la colonne Public secondaire et la colonne Protégé vous permet de savoir si le public secondaire est protégé ou non.

Pour spécifier les parties des autres applications auxquelles vous souhaitez accéder, ajoutez ces portées à votre application confidentielle.

Les applications doivent interagir en toute sécurité avec des partenaires externes ou des applications confidentielles. De plus, les applications d'un service Oracle Cloud doivent interagir en toute sécurité avec les applications d'un autre service Oracle Cloud. Chaque application comporte des portées qui déterminent les ressources disponibles pour les autres applications.

À utiliser lorsque la portée d'autorisation est limitée aux ressources protégées sous le contrôle du client ou aux ressources protégées enregistrées auprès du serveur d'autorisation.

Le client présente ses propres données d'identification pour obtenir un jeton d'accès. Ce jeton d'accès est associé aux ressources propres du client, et non à un responsable de ressource particulier, ou est associé à un responsable de ressource pour lequel le client est autorisé à agir

Utilisez cette option lorsque vous souhaitez utiliser une relation de confiance existante exprimée en tant qu'assertion et sans étape d'approbation directe de l'utilisateur sur le serveur d'autorisation.

Le client demande un jeton d'accès en fournissant une assertion de jeton Web JSON (JWT) d'utilisateur ou une assertion JWT d'utilisateur de tierce partie et des données d'identification de client. Une assertion JWT est un ensemble d'informations qui facilite le partage des informations d'identité et de sécurité entre les domaines de sécurité.

Utilisez cette option lorsque vous souhaitez utiliser une relation de confiance existante exprimée en tant qu'assertion SAML2 et sans étape d'approbation directe de l'utilisateur sur le serveur d'autorisation.

Le client demande un jeton d'accès en fournissant une assertion SAML2 d'utilisateur ou une assertion SAML2 d'utilisateur de tierce partie et des données d'identification de client. Une assertion SAML2 est un ensemble d'informations qui facilite le partage des informations d'identité et de sécurité entre les domaines de sécurité.

Sélectionnez ce type d'autorisation lorsque vous souhaitez obtenir un code d'autorisation en utilisant un serveur d'autorisation comme intermédiaire entre l'application client et le responsable de la ressource.

Un code d'autorisation est retourné au client au moyen d'un redirection du navigateur après que le responsable de la ressource donne son consentement au serveur d'autorisation. Le client échange alors le code d'autorisation contre un jeton d'accès (et souvent un jeton d'actualisation). Les données d'identification du responsable de la ressource ne sont jamais exposées au client.

Si l'application ne peut pas conserver la confidentialité des données d'identification du client pour une utilisation lors de l'authentification auprès du serveur d'autorisation, sélectionnez cette case à cocher. Par exemple, votre application est implémentée dans un navigateur Web utilisant un langage de script tel que JavaScript. Un jeton d'accès est retourné au client au moyen d'une redirection de navigateur en réponse à la demande d'autorisation du responsable de la ressource (plutôt qu'une autorisation intermédiaire).

Sélectionnez le type d'autorisation Code d'appareil si le client ne peut pas recevoir de demandes du serveur d'autorisation OAuth, par exemple, s'il ne peut pas agir en tant que serveur HTTP comme les consoles de jeu, les lecteurs de média en continu, les images numériques, etc.

Dans ce flux, le client obtient le code utilisateur, le code d'appareil et l'URL de vérification. L'utilisateur accède ensuite à l'URL de vérification dans un navigateur distinct pour approuver la demande d'accès. Le client peut alors obtenir le jeton d'accès à l'aide du code de l'appareil.

Sélectionnez le type d'autorisation Authentification de client TLS pour utiliser le certificat du client pour l'authentification auprès du client. Si une demande de jeton est fournie avec un certificat de client X.509 et que le client demandé est configuré avec le type d'autorisation Authentification de client TLS, le service OAuth utilise Client_ID dans la demande pour identifier le client et valider le certificat de client avec le certificat dans la configuration du client. Le client est authentifié uniquement si les deux valeurs correspondent.

Pour plus de sécurité, avant d'activer le type d'autorisation Authentification de client TLS, activez et configurez la validation OCSP et importez un certificat de partenaire approuvé.

Cochez cette case si vous voulez utiliser des URL HTTP pour les champs URL de redirection, URL de déconnexion ou URL de redirection après déconnexion. Par exemple, si vous envoyez des demandes en interne, si vous voulez une communication non chiffrée ou si vous voulez une rétrocompatible avec OAuth 1.0, vous pouvez utiliser une URL HTTP.

Cochez également cette case lors du développement ou du test de votre application et il se peut que vous n'ayez pas configuré SSL. Cette option n'est pas recommandée pour les déploiements de production.

Entrez l'URL vers laquelle l'utilisateur est redirigé après l'authentification.

Note : Fournissez une URL absolue. Les URL relatives ne sont pas prises en charge.

Entrez l'URL vers laquelle vous souhaitez rediriger l'utilisateur après vous être déconnecté à l'application.

Entrez l'URL vers laquelle l'utilisateur est redirigé après s'être déconnecté de l'application confidentielle.

Sélectionnez le type de client. Les types de client disponibles sont Approuvé et Confidentiel. Sélectionnez Approuvé si le client peut générer des assertions d'utilisateur auto-signées. Ensuite, pour importer votre certificat de signature que le client utilise pour signer son assertion auto-signée, sélectionnez Importer un certificat.

Sélectionnez l'un des algorithmes de chiffrement de contenu.

Si cette option est activée, cet attribut remplace l'attribut Exiger le consentement pour toutes les portées configurées pour l'application. Aucune portée ne nécessite le consentement.

Sélectionnez l'une des options suivantes pour permettre à une application client d'accéder aux ressources autorisées :

• Tout - Accès à n'importe quelle ressource au sein d'un domaine (Tout. Voir Accès à toutes les ressources.

• Specific - Accès uniquement aux ressources pour lesquelles il existe une association explicite entre le client et la ressource (Specific). Voir Accès aux ressources avec des portées spécifiques.

Note : L'option de définition d'une ressource autorisée n'est disponible que pour les applications confidentielles. Il n'est pas possible de définir un périmètre de confiance pour les applications mobiles.

Si vous voulez que votre application accède aux API à partir d'autres applications, cochez Ajouter des ressources dans la section Politique d'émission de jetons. Ensuite, dans la fenêtre Ajouter une portée, sélectionnez les applications auxquelles l'application fait référence.

Note : Vous pouvez supprimer des portées en sélectionnant l'icône x à côté de celles-ci. Toutefois, vous ne pouvez pas supprimer des portées protégées.

Cochez Ajouter des rôles d'application. Dans la fenêtre Ajouter des rôles d'application, sélectionnez les rôles d'application que vous souhaitez affecter à cette application. Cela permet à votre application d'accéder aux API REST auxquelles chacun des rôles d'application affectés peut accéder.

Par exemple, sélectionnez Administrateur de domaine d'identité dans la liste. Toutes les tâches d'API REST disponibles pour l'administrateur du domaine d'identité seront accessibles à votre application.

Vous pouvez supprimer les rôles d'application en le sélectionnant, puis en Supprimer.

Note : Vous ne pouvez pas supprimer les rôles d'application protégés.