Types d'octroi d'accès
L'étape la plus importante pour une application dans le flux OAuth est la façon dont l'application reçoit un jeton d'accès (et éventuellement un jeton d'actualisation). Un type d'octroi est le mécanisme utilisé pour extraire le jeton. OAuth définit plusieurs types d'octroi d'accès différents qui représentent différents mécanismes d'autorisation.
Les applications peuvent demander un jeton d'accès pour accéder aux adresses protégées de différentes manières, en fonction du type d'octroi indiqué dans l'application client. Un octroi est une information d'identification représentant l'autorisation du propriétaire de la ressource d'accéder à une ressource protégée. Les applications sécurisées (telles que les services back-end) peuvent demander des jetons d'accès directement au nom des utilisateurs. Il s'agit d'un flux d'autorisation OAuth à deux acteurs. Les applications Web OAuth doivent généralement d'abord valider l'identité de l'utilisateur et éventuellement obtenir son consentement. Il s'agit d'un flux d'autorisation OAuth à trois acteurs.
Par exemple, lorsque vous utilisez le type d'octroi Propriétaire de ressource, les informations d'identification de mot de passe du propriétaire de ressource (nom d'utilisateur et mot de passe) peuvent être utilisées directement comme autorisation d'obtention d'un jeton d'accès. Lorsque vous utilisez le type d'octroi Informations d'identification client, le client s'authentifie auprès du service OAuth, puis demande un jeton d'accès. Lors de l'utilisation de l'autorisation d'assertion, une assertion utilisateur est envoyée avec les informations client lors de la demande d'accès.
Bien que vous puissiez associer plusieurs types d'octroi à une application, nous vous recommandons de ne sélectionner que ce que votre application doit utiliser. Chaque type d'octroi que vous ajoutez signifie que l'application peut communiquer avec des domaines d'identité à l'aide de l'un de ces types d'octroi. Toutefois, l'application choisit au moment de l'exécution le type d'octroi à utiliser.
Application d'authentification client mTLS
L'authentification client mTLS est appliquée pour tous les types d'octroi si la demande de jeton passe par la couche de transport sécurisé (mTLS). Voir les détails dans les paragraphes suivants :
- Si la demande de jeton passe par une couche de transport sécurisé (mTLS), le service OAuth vérifie à la fois la validation de certificat et l'octroi OAuth, par exemple, les informations d'identification client, le mot de passe utilisateur, etc.
- Même si l'octroi (informations d'identification client, mot de passe utilisateur) est correct, si le certificat est incorrect ou ne correspond pas à la configuration dans le profil client, la demande de jeton est rejetée. De même, la demande de jeton est rejetée lorsque le certificat est correct, mais l'octroi principal des informations d'identification client ou du mot de passe utilisateur est incorrect.
Obtention de secureDomainURL pour mTLS
- Accédez à la page de détails du domaine et recherchez l'URL du domaine. Par exemple :
https://<domainURL>/.well-known/idcs-configuration - Ajoutez /.well-known/idcs-configuration après .com dans l'URL du domaine et accédez à la page de configuration du domaine.
- L'URL de
secure_token_endpointestsecureDomainURL.