Tipi di autorizzazioni di accesso
Il passo più importante per un'applicazione nel flusso OAuth è il modo in cui l'applicazione riceve un token di accesso (e, facoltativamente, un token di aggiornamento). Un tipo di privilegio è il meccanismo utilizzato per recuperare il token. OAuth definisce diversi tipi di autorizzazioni di accesso che rappresentano meccanismi di autorizzazione diversi.
Le applicazioni possono richiedere un token di accesso per accedere agli endpoint protetti in modi diversi, a seconda del tipo di privilegio specificato nell'applicazione client. Un privilegio è una credenziale che rappresenta l'autorizzazione del proprietario della risorsa ad accedere a una risorsa protetta. Le applicazioni attendibili (come i servizi backend) possono richiedere i token di accesso direttamente per conto degli utenti. Questo è un flusso di autorizzazione a due fasi OAuth. Le applicazioni Web OAuth in genere devono prima convalidare l'identità dell'utente e, facoltativamente, ottenere il consenso dell'utente. Questo è un flusso di autorizzazione a tre fasi OAuth.
Ad esempio, quando si utilizza il tipo di privilegio Proprietario risorsa, le credenziali della password del proprietario della risorsa (nome utente e password) possono essere utilizzate direttamente come privilegio di autorizzazione per ottenere un token di accesso. Quando si utilizza il tipo di privilegio Credenziali client, il client esegue l'autenticazione con il servizio OAuth, quindi richiede un token di accesso. Quando si utilizza il privilegio Asserzione, un'asserzione utente viene inviata insieme alle informazioni sul client quando si richiede l'accesso.
Sebbene sia possibile associare più tipi di privilegio a un'applicazione, si consiglia di selezionare solo gli elementi che l'applicazione deve utilizzare. Ogni tipo di privilegio aggiunto indica che l'applicazione può parlare con i domini di Identity utilizzando uno qualsiasi di questi tipi di privilegio. Tuttavia, l'applicazione sceglie in fase di esecuzione, quale tipo di concessione utilizzare.
Applicazione autenticazione client mTLS
L'autenticazione client mTLS viene applicata per tutti i tipi di privilegio se la richiesta token viene eseguita tramite il layer di trasporto sicuro (mTLS). Vedi i dettagli nei seguenti paragrafi:
- Se la richiesta di token viene eseguita tramite un livello di trasporto sicuro (mTLS), il servizio OAuth controlla sia la convalida del certificato che il privilegio OAuth, ad esempio le credenziali client, la password utente e così via.
- Anche se il privilegio (credenziali client, password utente) è corretto, se il certificato non è corretto o non corrisponde alla configurazione nel profilo client, la richiesta del token viene rifiutata. Allo stesso modo, la richiesta di token viene rifiutata quando il certificato è corretto, ma la concessione principale delle credenziali client o della password utente non è corretta.