Documentazione dell'infrastruttura Oracle Cloud

Tipi di concessione accesso

Il passo più importante per un'applicazione nel flusso OAuth è il modo in cui l'applicazione riceve un token di accesso (e, facoltativamente, un token di aggiornamento). Un tipo di privilegio è il meccanismo utilizzato per recuperare il token. OAuth definisce diversi tipi di privilegi di accesso che rappresentano meccanismi di autorizzazione diversi.

Le applicazioni possono richiedere un token di accesso per accedere agli endpoint protetti in modi diversi, a seconda del tipo di privilegio specificato nell'applicazione client. Un privilegio è una credenziale che rappresenta l'autorizzazione del proprietario della risorsa ad accedere a una risorsa protetta. Le applicazioni sicure (ad esempio i servizi backend) possono richiedere i token di accesso direttamente per conto degli utenti. Questo è un flusso di autorizzazione a due fasi OAuth. Le applicazioni Web OAuth in genere devono prima convalidare l'identità dell'utente e, facoltativamente, ottenere il consenso dell'utente. Questo è un flusso di autorizzazione a tre fasi OAuth.

Ad esempio, quando si utilizza il tipo di privilegio Proprietario risorsa, le credenziali password (nome utente e password) del proprietario della risorsa possono essere utilizzate direttamente come autorizzazione di concessione per ottenere un token di accesso. Quando si utilizza il tipo di concessione Credenziali client, il client esegue l'autenticazione con il servizio OAuth, quindi richiede un token di accesso. Quando si utilizza il privilegio Asserzione, un'asserzione utente viene inviata insieme alle informazioni client quando si richiede l'accesso.

Nota

Sebbene sia possibile associare più tipi di sovvenzione a un'applicazione, si consiglia di selezionare solo ciò che l'applicazione deve utilizzare. Ogni tipo di privilegio aggiunto indica che l'applicazione può comunicare con i domini di Identity utilizzando uno qualsiasi di tali tipi di privilegio. Tuttavia, l'applicazione sceglie in runtime, il tipo di concessione da utilizzare.

Applicazione autenticazione client mTLS

L'autenticazione del client mTLS viene applicata per tutti i tipi di privilegio se la richiesta del token viene eseguita tramite il layer di trasporto sicuro (mTLS). Vedere i dettagli nei paragrafi seguenti:

  • Se la richiesta di token viene eseguita tramite un layer di trasporto sicuro (mTLS), il servizio OAuth controlla sia la convalida del certificato che la concessione OAuth, ad esempio le credenziali client, la password utente e così via.
  • Anche se la concessione (credenziali client, password utente) è corretta, se il certificato non è corretto o non corrisponde alla configurazione nel profilo client, la richiesta di token viene rifiutata. Allo stesso modo, la richiesta di token viene rifiutata quando il certificato è corretto, ma la concessione principale delle credenziali client o della password utente non è corretta.

Scarica secureDomainURL per mTLS

  1. Andare alla pagina dei dettagli del dominio e trovare l'URL del dominio. Ad esempio:
    https://<domainURL>/.well-known/idcs-configuration
  2. Aggiungere /.well-known/idcs-configuration dopo .com nell'URL del dominio e andare alla pagina di configurazione del dominio.
  3. L'URL in secure_token_endpoint è il secureDomainURL.

Ulteriori informazioni sui tipi di sovvenzione

Selezionare un collegamento per ulteriori informazioni su ciascuno dei seguenti tipi di privilegio: