Token supportati
Un token viene utilizzato per prendere decisioni di sicurezza relative all'autorizzazione di un utente e per memorizzare informazioni a prova di manomissione su un'entità di sistema in un dominio di Identity.
I domini di Identity supportano i token Web JSON (JWT). Un JWT è uno standard aperto JSON basato su (RFC 7519) che definisce un modo compatto e autonomo per inviare in modo sicuro informazioni tra le parti come oggetto JSON. Queste informazioni possono essere verificate e attendibili perché sono firmate digitalmente. I token Web JSON sono costituiti da tre parti separate dai punti (xxxx.yyyy.zzzz):
-
Intestazione. È composto da due parti: il tipo di token (JWT) e l'algoritmo di hashing in uso, ad esempio SHA256
-
Payload. Contiene le richieste (i dati del token)
-
Firma. È costituita dall'intestazione del token codificata e dal payload codificato firmato con la chiave privata del dominio di Identity. La firma viene utilizzata per verificare che il mittente del JWT sia chi dice di essere e garantisce che il messaggio non sia stato modificato lungo il percorso.
I domini di Identity supportano tre token diversi: token di identità, token di accesso e asserzione client.
Per accedere a informazioni dettagliate su ciascun token supportato, selezionare uno dei collegamenti riportati di seguito.
Per informazioni sulla scadenza del token, andare a:
Token di identità
Un token di identità è un token protetto dall'integrità e autonomo (in formato JWT (JSON Web Token) definito nello standard OpenID Connect contenente le richieste di risarcimento relative all'utente finale. Il token di identità è l'estensione primaria che OpenID Connect effettua a OAuth 2.0 per abilitare l'autenticazione in un dominio di Identity.
Il token di identità JWT è composto da tre componenti, un'intestazione, un payload e la firma digitale. Seguendo lo standard JWT, queste tre sezioni sono codificate Base64URL e separate da punti.
le richieste OpenID Connect devono contenere il valore dell'ambito
openid. OpenID Connect 1.0 è un semplice livello di identità sopra il protocollo OAuth 2.0. Consente a un'applicazione client del dominio di Identity IAM (registrata come client OAuth 2 con ID client e segreto client) di verificare l'identità dell'utente finale in base all'autenticazione eseguita da un server di autorizzazione (AS) e di ottenere informazioni di profilo di base sull'utente finale in modo interoperabile, simile a REST. OpenID Connect consente ai client di tutti i tipi, inclusi client basati su Web, mobile e JavaScript di richiedere e ricevere informazioni sulle sessioni autenticate e sugli utenti finali. Per ulteriori informazioni, vedere OpenID Connect.
| Nome | Value |
|---|---|
amr
|
Riferimenti metodi di autenticazione. Array JSON di stringhe che sono identificativi per i metodi di autenticazione utilizzati nell'autenticazione. Ad esempio, i valori potrebbero indicare che sono stati utilizzati sia la password che i metodi di autenticazione OTP. |
at_hash
|
OAuth 2 Valore hash token di accesso. |
aud
|
Identifica i destinatari ai quali è destinato questo token ID. Deve essere la versione OAuth 2.0 client_id (secondo la specifica OpenID Connect). Questo è il nome del client OAuth (app.name) che sta effettuando la richiesta. Aud contiene anche l'emittente del dominio di Identity IAM, trasformando così il tipo di token (IT) in un'asserzione utente del dominio di Identity IAM. |
authn_strength*
|
Valore restituito da SSO cloud che indica l'efficacia dell'autenticazione dal contesto AuthN. |
auth_time
|
Il tempo (tempo di epoca UNIX) in cui Cloud SSO ha effettivamente autenticato l'utente (in secondi, proveniente dal contesto AuthN). |
azp
|
Parte autorizzata. La parte a cui è stato emesso il token ID. Se presente, deve contenere l'ID client OAuth 2.0 di questa parte. Questa richiesta è necessaria solo se il token ID ha un singolo valore audience e tale audience è diversa dalla parte autorizzata. Può essere incluso anche quando la parte autorizzata è la stessa dell'unico pubblico. Il valore azp fa distinzione tra maiuscole e minuscole e contiene un valore StringOrURI. |
exp
|
L'ora di scadenza (ora di epoca UNIX) corrispondente o successiva alla quale il token ID non deve essere accettato per l'elaborazione. Questo valore deve essere uguale a session_exp. |
iat
|
Il tempo (tempo di epoca UNIX) in cui è stato creato il JWT (in secondi). Il tempo di epoca UNIX è un numero JSON che rappresenta il numero di secondi da 1970-01-01T0:0:0Z misurato in UTC (Coordinated Universal Time) fino alla data/ora. |
iss
|
Il nome principale che ha emesso il token: https://<domainURL>
|
jti
|
Identificativo univoco generato dal server per l'ID JWT. |
nonce
|
Valore stringa utilizzato per associare una sessione client a un token ID e per mitigare gli attacchi di ripetizione. Questo valore viene fornito da Cloud Gate. |
session_exp*
|
L'ora (ora di epoca UNIX) in cui la sessione SSO cloud scade (secondi, deve essere la stessa scadenza della sessione SSO nel contesto AuthN). |
sid
|
ID sessione da Cloud SSO (255 caratteri ASCII al massimo) dal contesto AuthN. |
sub
|
Identifica l'utente. L'identificativo dell'oggetto è localmente univoco, non viene mai riassegnato ed è destinato a essere utilizzato dal client: ID login utente (255 caratteri ASCII al massimo). ID di login dell'utente dal contesto AuthN. |
sub_mappingattr*
|
Attributo utilizzato per trovare il secondario nell'archivio ID. |
tok_type*
|
Identifica il tipo di token: IT |
user_displayname*
|
Nome visualizzato utente (255 caratteri ASCII al massimo) dal contesto AuthN. |
user_csr*
|
Indica (true) che l'utente è un rappresentante dell'assistenza clienti (CSR). |
user_id*
|
GUID del dominio di Identity IAM dell'utente dal contesto AuthN. |
user_lang*
|
Lingua preferita dall'utente. |
user_locale*
|
Impostazioni nazionali dell'utente. |
user_tenantname*
|
Nome tenant utente (255 caratteri ASCII al massimo). Il GUID del tenant non è stato salvato nel token |
user_tz*
|
Il fuso orario dell'utente. |