Ajout d'une application confidentielle

Entrez le nom de l'application confidentielle. Vous pouvez entrer jusqu'à 125 caractères.

Pour les applications dont le nom est long, celui-ci est tronqué sur la page Mes applications. Envisagez de limiter au maximum la longueur du nom des applications.

Entrez la description de l'application confidentielle. Vous pouvez entrer jusqu'à 250 caractères.

Cliquez sur Fermer (X) dans la fenêtre de l'icône d'application afin de supprimer l'icône d'application par défaut, puis ajoutez votre propre icône pour l'application. Cette icône apparaît en regard du nom de l'application sur les pages Mes applications et Applications.

Entrez l'URL (HTTP ou HTTPS) vers laquelle l'utilisateur est réacheminé une fois connecté. Cette valeur est également appelée paramètre RelayState SAML. Le format HTTPS est suggéré. Utilisez HTTP uniquement à des fins de test.

Pour les applications d'entreprise, l'URL de l'application est celle que les utilisateurs doivent employer afin d'accéder à l'application d'entreprise. Utilisez le nom d'hôte et le numéro de port de la passerelle d'application. Si vous disposez de plusieurs instances de passerelle d'application, utilisez le nom d'hôte et le numéro de port de l'équilibreur de charge.

Dans le champ URL de connexion personnalisée, indiquez une URL de connexion personnalisée. Toutefois, si vous utilisez une page de connexion par défaut fournie par IAM, laissez ce champ vide.

Dans le champ URL de déconnexion personnalisée, indiquez une URL de déconnexion personnalisée. Toutefois, si vous utilisez une page de connexion par défaut fournie par IAM, laissez ce champ vide.

Ce champ est facultatif. Entrez l'URL de la page d'erreur vers laquelle un utilisateur doit être redirigé en cas d'échec. Si aucune valeur n'est indiquée, l'URL de la page d'erreur propre au locataire est utilisée. Si aucune des deux URL d'erreur n'est configurée, l'erreur est redirigée vers la page d'erreur IAM (/ui/v1/error).

Lorsqu'un utilisateur tente de recourir à l'authentification par réseau social (par exemple, Google, Facebook, etc.) pour se connecter à IAM, l'URL de callback doit être configurée dans le champ URL d'erreur personnalisée. Les fournisseurs de réseaux sociaux ont besoin de cette URL de callback pour appeler IAM et renvoyer la réponse après l'authentification par réseau social. L'URL de callback fournie permet de vérifier si l'utilisateur existe (en cas de première connexion par réseau social) et d'afficher une erreur en cas d'échec de l'authentification par réseau social. Il s'agit de l'URL à laquelle le callback est envoyé avec les détails de l'utilisateur inscrit par réseau social, si aucun compte utilisateur de réseau social connecté n'existe dans IAM.

Ce champ est facultatif. Entrez l'URL de réacheminement d'IAM une fois la liaison d'un utilisateur entre des fournisseurs de réseaux sociaux et IAM effectuée.

Lorsque vous créez une application personnalisée à l'aide du kit SDK personnalisé IAM et que vous effectuez une intégration à la connexion IAM par réseau social, l'application personnalisée doit disposer de l'URL de callback de lien, qui peut être réacheminée une fois que la liaison entre les fournisseurs de réseaux sociaux et IAM est établie pour l'utilisateur.

Cochez la case si vous voulez que l'application confidentielle soit répertoriée sur la page Mes applications des utilisateurs. Dans ce cas, vous devez configurer l'application en tant que serveur de ressource.

Lorsque vous cochez la case Afficher dans Mes applications d'une application, celle-ci est visible sur la page Mes applications, mais si vous cochez cette case, l'accès avec connexion unique à l'application n'est pas activé ou désactivé.

L'indicateur d'activation ou de désactivation de SSO provient du modèle d'application.

Cochez cette case si les utilisateurs finaux peuvent demander l'accès à l'application à partir de leur page Mes applications en cliquant sur Ajouter l'accès. Si le libre-service n'est pas activé, les utilisateurs ne voient pas le bouton Ajouter l'accès.

Pour les applications confidentielles : Mettre en oeuvre les octrois en tant qu'autorisations

Pour les applications d'entreprise : Cette application doit être octroyée à l'utilisateur

Si vous voulez qu'IAM contrôle l'accès à l'application en fonction des octrois des utilisateurs et des groupes, sélectionnez cette option. Si vous désélectionnez cette option, tout utilisateur authentifié a accès à l'application.

Définissez la durée (en secondes) pendant laquelle le jeton d'accès associé à l'application confidentielle reste valide.

Cochez cette case si vous voulez utiliser le jeton d'actualisation obtenu lors de l'utilisation des types d'octroi Propriétaire de ressource, Code d'autorisation et Assertion.

Définissez la durée (en secondes) pendant laquelle le jeton d'actualisation, renvoyé avec le jeton d'accès et associé à l'application confidentielle, reste valide.

Entrez le destinataire principal sur lequel le jeton d'accès de votre application confidentielle est traité.

Entrez les destinataires secondaires sur lesquels le jeton d'accès de votre application confidentielle est traité, puis cliquez sur Ajouter. Le destinataire secondaire apparaît dans la colonne Public secondaire, et la colonne Protégé permet de savoir si le public secondaire est protégé.

Pour spécifier les parties d'autres applications auxquelles votre application doit accéder, ajoutez ces portées à l'application confidentielle.

Les applications doivent interagir de manière sécurisée avec les applications confidentielles ou partenaires externes. En outre, les applications d'un service Oracle Cloud doivent interagir de manière sécurisée avec les applications d'un autre service Oracle Cloud. Chaque application possède des portées qui déterminent ses ressources disponibles pour d'autres applications.

A utiliser lorsque la portée d'autorisation est limitée aux ressources protégées sous le contrôle du client, ou aux ressources protégées inscrites auprès du serveur d'autorisation.

Le client présente ses propres informations d'identification pour obtenir un jeton d'accès. Ce jeton d'accès est associé aux propres ressources du client et non à un propriétaire de ressource particulier, ou à un propriétaire de ressource pour le compte duquel le client est autorisé à agir autrement.

A utiliser lorsque vous souhaitez vous appuyer sur une relation d'approbation existante exprimée en tant qu'assertion et sans étape d'approbation directe de l'utilisateur sur le serveur d'autorisation.

Le client demande un jeton d'accès en fournissant une assertion JWT (jeton Web JSON) utilisateur ou une assertion JWT utilisateur tierce, et des informations d'identification client. Une assertion JWT est un package d'informations qui facilite le partage des informations d'identité et de sécurité entre les domaines de sécurité.

A utiliser lorsque vous souhaitez vous appuyer sur une relation d'approbation existante exprimée en tant qu'assertion SAML2 et sans étape d'approbation directe de l'utilisateur sur le serveur d'autorisation.

Le client demande un jeton d'accès en fournissant une assertion SAML2 utilisateur ou une assertion SAML2 utilisateur tierce, et des informations d'identification client. Une assertion SAML2 est un package d'informations qui facilite le partage des informations d'identité et de sécurité entre les domaines de sécurité.

Sélectionnez ce type d'octroi pour obtenir un code à l'aide d'un serveur d'autorisation faisant office d'intermédiaire entre l'application client et le propriétaire de la ressource.

Un code d'autorisation est renvoyé au client via un réacheminement de navigateur une fois que le propriétaire de la ressource a donné son consentement au serveur d'autorisation. Le client échange ensuite le code d'autorisation avec un jeton d'accès (et souvent d'actualisation). Les informations d'identification du propriétaire de la ressource ne sont jamais exposées au client.

Cochez cette case si l'application ne peut pas maintenir les informations d'identification client confidentielles lors de l'authentification auprès du serveur d'autorisation. Par exemple, votre application est implémentée dans un navigateur Web à l'aide d'un langage de script tel que JavaScript. Un jeton d'accès est renvoyé au client via un réacheminement de navigateur en réponse à la demande d'autorisation du propriétaire de la ressource (plutôt qu'une autorisation intermédiaire).

Sélectionnez le type d'octroi Code de l'appareil si le client n'est pas en mesure de recevoir des demandes du serveur d'autorisation OAuth, par exemple, s'il ne peut pas agir comme un serveur HTTP (consoles de jeu, lecteurs multimédia de transmission en continu, cadres numériques, etc.).

Dans ce flux, le client obtient le code utilisateur, le code de l'appareil et l'URL de vérification. L'utilisateur accède ensuite à l'URL de vérification dans un navigateur distinct pour approuver la demande d'accès. C'est uniquement à ce moment-là que le client peut obtenir le jeton d'accès à l'aide du code de l'appareil.

Sélectionnez le type d'octroi Authentification du client TLS afin d'utiliser le certificat client pour l'authentification auprès du client. Si une demande de jeton s'accompagne d'un certificat client X.509 et que le client demandé est configuré avec le type d'octroi Authentification du client TLS, le service OAuth utilise Client_ID dans la demande pour identifier le client et valider son certificat avec celui de la configuration du client. Le client est authentifié uniquement si les deux valeurs concordent.

Pour renforcer la sécurité, avant d'activer le type d'octroi Authentification du client TLS, activez et configurez la validation OCSP, et importez un certificat de partenaire sécurisé.

Cochez cette case si vous voulez utiliser des URL HTTP pour le champ URL de réacheminement, URL de déconnexion ou URL de réacheminement après déconnexion. Par exemple, si vous envoyez des demandes en interne, si vous voulez utiliser une communication non cryptée ou si vous voulez assurer la compatibilité amont avec OAuth 1.0, vous pouvez utiliser une URL HTTP.

Cochez également cette case si vous développez ou testez une application et que vous n'êtes pas sûr d'avoir configuré SSL. Cette option n'est pas recommandée pour les déploiements de production.

Entrez l'URL d'application vers laquelle l'utilisateur est réacheminé après l'authentification.

Remarque: Fournissez une URL absolue. Les URL relatives ne sont pas prises en charge.

Entrez l'URL vers laquelle vous voulez réacheminer l'utilisateur après qu'il s'est déconnecté de l'application.

Entrez l'URL vers laquelle l'utilisateur est réacheminé après s'être déconnecté de l'application confidentielle.

Sélectionnez le type de client. Les types de client disponibles sont Sécurisé et Confidentiel. Choisissez Sécurisé si le client peut générer des assertions utilisateur auto-signées. Ensuite, pour importer le certificat de signature que le client utilise pour signer son assertion auto-signée, cliquez sur Importer le certificat.

Sélectionnez l'un des algorithmes de cryptage de contenu.

Si cette option est activée, cet attribut remplace l'attribut Exiger le consentement sur toutes les portées configurées pour l'application, et aucune portée ne nécessite de consentement.

Sélectionnez l'une des options suivantes pour permettre à l'application client d'accéder aux ressources autorisées :

• Tout : permet d'accéder à n'importe quelle ressource d'un domaine. Reportez-vous à Accès à toutes les ressources.

• Spécifique : permet d'accéder uniquement aux ressources pour lesquelles il existe une association explicite entre le client et la ressource. Reportez-vous à Accès aux ressources avec des portées spécifiques.

Remarque: L'option permettant de définir une ressource autorisée est disponible uniquement pour les applications confidentielles. Vous ne pouvez pas définir de portée de sécurisation pour les applications mobiles.

Si vous voulez que l'application accède aux API d'autres applications, sélectionnez Ajouter des ressources dans la section Stratégie d'émission de jeton. Ensuite, dans la fenêtre Ajouter une portée, sélectionnez les applications que la vôtre référence.

Remarque: Vous pouvez supprimer des portées en cliquant sur l'icône X en regard de la portée. En revanche, vous ne pouvez pas supprimer les portées protégées.

Sélectionnez Ajouter des rôles d'application. Dans la fenêtre Ajouter des rôles d'application, sélectionnez les rôles d'application à affecter à cette application. Votre application peut ainsi accéder aux API REST auxquelles chacun des rôles d'application affectés peut accéder.

Par exemple, sélectionnez Administrateur de domaine d'identité dans la liste. Toutes les tâches d'API REST disponibles pour l'administrateur de domaine d'identité sont accessibles pour votre application.

Vous pouvez supprimer un rôle d'application en le sélectionnant, puis en cliquant sur Enlever.

Remarque: Vous ne pouvez pas supprimer les rôles d'application protégés.