Tokens pris en charge
Un jeton est utilisé pour prendre des décisions de sécurité afin d'autoriser un utilisateur et de stocker des informations inviolables sur une entité système dans un domaine d'identité.
Les domaines d'identité prennent en charge les jetons Web JSON (JWT). Un JWT est une norme ouverte basée sur JSON (RFC 7519) qui définit un moyen compact et autonome d'envoyer des informations en toute sécurité entre les parties en tant qu'objet JSON. Ces informations peuvent être vérifiées et sécurisées car elles sont signées numériquement. Les jetons Web JSON se composent de trois parties séparées par des points (xxxx.yyyy.zzzz) :
-
En-tête. Se compose de deux parties : le type de jeton (JWT) et l'algorithme de hachage utilisé, par exemple SHA256
-
Charge utile. Contient les déclarations (données de jeton)
-
Signature. Se compose de l'en-tête de jeton encodé et de la charge utile encodée signée avec la clé privée du domaine d'identité. La signature est utilisée pour vérifier que l'expéditeur du JWT est bien celui qu'il dit et s'assure que le message n'a pas été modifié en cours de route.
Les domaines d'identité prennent en charge trois jetons différents : jeton d'identité, jeton d'accès et assertion client.
Pour accéder à des informations détaillées sur chaque jeton pris en charge, sélectionnez l'un des liens suivants :
Pour plus d'informations sur l'expiration du jeton, accédez à :
Jeton d'identité
Un jeton d'identité est un jeton autonome sécurisé par intégrité (au format Jeton Web JSON (JWT)) défini dans la norme OpenID Connect contenant des réclamations relatives à l'utilisateur final. Le jeton d'identité est l'extension principale que OpenID Connect effectue vers OAuth 2.0 pour activer l'authentification dans un domaine d'identité.
Le jeton d'identité JWT se compose de trois composants : un en-tête, une charge utile et la signature numérique. Conformément à la norme JWT, ces trois sections sont codées en Base64URL et séparées par des points.
Les demandes OpenID Connect doivent contenir la valeur de portée
openid. OpenID Connect 1.0 est une couche d'identité simple au-dessus du protocole OAuth 2.0. Elle permet à une application client de domaine d'identité IAM (enregistrée en tant que client OAuth 2 avec ID client et clé secrète client) de vérifier l'identité de l'utilisateur final en fonction de l'authentification effectuée par un serveur d'autorisation (AS), et d'obtenir des informations de profil de base sur l'utilisateur final de manière interopérable, de type REST. OpenID Connect permet aux clients de tous types, y compris les clients Web, mobiles et JavaScript, de demander et de recevoir des informations sur les sessions authentifiées et les utilisateurs finaux. Pour plus d'informations, reportez-vous à OpenID Connect.
| Nom | Valeur |
|---|---|
amr
|
Références des méthodes d'authentification. Tableau JSON de chaînes qui sont des identificateurs pour les méthodes d'authentification utilisées dans l'authentification. Par exemple, les valeurs peuvent indiquer que les méthodes d'authentification par mot de passe et par mot de passe à usage unique ont été utilisées. |
at_hash
|
OAuth 2 Valeur de hachage de jeton d'accès. |
aud
|
Identifie les destinataires auxquels ce jeton d'ID est destiné. Doit être la valeur OAuth 2.0 client_id (selon la spécification OpenID Connect). Il s'agit du nom de client OAuth (app.name) qui effectue la demande. Aud contient également l'émetteur de domaine d'identité IAM, transformant ainsi le type de jeton (IT) en assertion utilisateur de domaine d'identité IAM. |
authn_strength*
|
Valeur renvoyée par SSO cloud indiquant la force d'authentification à partir du contexte AuthN. |
auth_time
|
Heure (heure UNIX) à laquelle Cloud SSO a réellement authentifié l'utilisateur (en secondes, provenant du contexte AuthN). |
azp
|
Partie autorisée. Partie à laquelle le jeton d'ID a été émis. S'il est présent, il DOIT contenir l'ID client OAuth 2.0 de cette partie. Cette réclamation n'est nécessaire que lorsque le jeton d'ID a une seule valeur d'audience et que cette audience est différente de la partie autorisée. Il peut être inclus même lorsque la partie autorisée est la même que le seul public. La valeur azp est une chaîne sensible à la casse qui contient une valeur StringOrURI. |
exp
|
Heure d'expiration (heure d'époque UNIX) au plus tard à laquelle le jeton d'ID ne doit pas être accepté pour traitement. Cette valeur doit être identique à session_exp. |
iat
|
Heure (heure UNIX) de création du jeton JWT (en secondes). UNIX Epoch Time est un nombre JSON représentant le nombre de secondes entre 1970-01-01T0 :0 :0Z, mesuré en temps universel coordonné (UTC) et la date et l'heure. |
iss
|
Principal qui a émis le jeton : https://<domainURL>
|
jti
|
Identificateur unique généré par le serveur pour l'ID JWT. |
nonce
|
Valeur de chaîne utilisée pour associer une session client à un jeton d'ID et pour limiter les attaques de réexécution. Cette valeur est fournie par Cloud Gate. |
session_exp*
|
Heure (heure UNIX) d'expiration de la session SSO cloud (secondes, doit être l'expiration de la même session SSO dans le contexte AuthN). |
sid
|
ID de session de Cloud SSO (255 caractères ASCII maximum) à partir du contexte AuthN. |
sub
|
Identifie l'utilisateur. L'identifiant de sujet est unique localement, n'a jamais été réaffecté et est destiné à être utilisé par le client : ID de connexion utilisateur (255 caractères ASCII maximum). ID de connexion de l'utilisateur à partir du contexte AuthN. |
sub_mappingattr*
|
Attribut utilisé pour rechercher le sous-élément dans la banque d'ID. |
tok_type*
|
Identifie le type de jeton : IT |
user_displayname*
|
Nom d'affichage de l'utilisateur (255 caractères ASCII maximum) à partir du contexte AuthN. |
user_csr*
|
Indique (true) que l'utilisateur est un représentant du service client (CSR). |
user_id*
|
GUID de domaine d'identité IAM de l'utilisateur à partir du contexte AuthN. |
user_lang*
|
Langue privilégiée de l'utilisateur. |
user_locale*
|
Environnement local de l'utilisateur. |
user_tenantname*
|
Nom du locataire utilisateur (255 caractères ASCII au maximum). Le GUID du locataire n'est spécifiquement pas enregistré dans le jeton |
user_tz*
|
Fuseau horaire de l'utilisateur. |