Aggiunta di un'applicazione riservata

Immettere un nome per l'applicazione riservata. È possibile immettere un massimo di 125 caratteri.

Per le applicazioni con nomi lunghi, il nome viene troncato nella pagina Applicazioni personali. Considerare di mantenere i nomi delle applicazioni il più breve possibile.

Immettere una descrizione per l'applicazione riservata. È possibile immettere un massimo di 250 caratteri.

Selezionare la (X) di chiusura nella finestra dell'icona Applicazione per eliminare l'icona Applicazione predefinita, quindi aggiungere l'icona personalizzata per l'applicazione. Questa icona viene visualizzata accanto al nome dell'applicazione nella pagina Applicazioni personali e nella pagina Applicazioni.

Immettere l'URL (HTTP o HTTPS) al quale verrà reindirizzato l'utente dopo un login riuscito. Questo valore è anche noto come parametro SAML RelayState. Il formato HTTPS è consigliato. Utilizzare HTTP solo a scopo di test.

Per le applicazioni Enterprise, l'URL dell'applicazione è l'URL che si desidera venga utilizzato dagli utenti per accedere all'applicazione Enterprise. Utilizzare il nome host e il numero di porta del gateway applicazioni. Se si dispone di più istanze di Gateway applicazioni, utilizzare il nome host e il numero di porta del load balancer.

Nel campo URL di collegamento personalizzato specificare un URL di collegamento personalizzato. Tuttavia, se si utilizza una pagina di login predefinita fornita da IAM, lasciare vuoto questo campo.

Nel campo URL di scollegamento personalizzato specificare un URL di scollegamento personalizzato. Tuttavia, se si utilizza una pagina di login predefinita fornita da IAM, lasciare vuoto questo campo.

Questo campo è facoltativo. Immettere l'URL della pagina di errore a cui deve essere reindirizzato un utente in caso di errore. Se non specificato, viene utilizzato l'URL della pagina di errore specifica del tenant. Se entrambi gli URL di errore non vengono configurati, l'errore viene reindirizzato alla pagina di errore IAM (/ui/v1/error).

Quando un utente tenta di utilizzare l'autenticazione social (ad esempio Google, Facebook e così via) per eseguire il login a IAM, l'URL di callback deve essere configurato nel campo URL di errore personalizzato. I provider social hanno bisogno di questo URL di callback per chiamare IAM e inviare di nuovo la risposta dopo l'autenticazione social. L'URL di callback fornito viene utilizzato per verificare se l'utente esiste o meno (se si tratta del primo login social) e visualizzare un errore se l'autenticazione social non è riuscita. Questo è l'URL in cui viene inviato il callback con i dettagli dell'utente di registrazione social se in IAM non esiste un account utente social con login riuscito.

Questo campo è facoltativo. Immettere l'URL a cui IAM può reindirizzare dopo il completamento del collegamento di un utente tra i provider social e IAM.

Quando si crea un'applicazione personalizzata utilizzando l'SDK personalizzato IAM e si integra con il login social IAM, l'applicazione personalizzata deve disporre dell'URL di callback di collegamento che può essere reindirizzato dopo il completamento del collegamento dell'utente tra il provider social e IAM.

Selezionare la casella di controllo se si desidera che l'applicazione riservata venga elencata per gli utenti nelle relative pagine My Apps. In questo caso, è necessario configurare l'applicazione come server delle risorse.

Quando si seleziona la casella di controllo Visualizza in Applicazioni personali nelle applicazioni, l'applicazione viene quindi visualizzata nella pagina Applicazioni personali, ma la selezione di questa casella di controllo non abilita o disabilita SSO nell'applicazione.

Il flag per abilitare o disabilitare SSO proviene dal modello di applicazione.

Selezionare la casella di controllo se si desidera che gli utenti finali possano richiedere l'accesso all'applicazione dalla propria pagina Applicazioni personali selezionando Aggiungi accesso. Se la funzionalità self-service non è abilitata, gli utenti non vedranno il pulsante Aggiungi accesso.

Per le applicazioni riservate: Applica privilegi come autorizzazione

Per le applicazioni Enterprise: questa applicazione deve essere concessa all'utente

Se si desidera che IAM controlli l'accesso all'applicazione in base alle autorizzazioni concesse a utenti e gruppi, selezionare questa opzione. Se si deseleziona questa opzione, qualsiasi utente autenticato può accedere all'applicazione.

Definire per quanto tempo (in secondi) il token di accesso associato all'applicazione riservata rimane valido.

Selezionare questa casella di controllo se si desidera utilizzare il token di aggiornamento ottenuto quando si utilizzano i tipi di privilegi Proprietario risorsa, Codice di autorizzazione o Asserzione.

Definire per quanto tempo (in secondi) il token di aggiornamento, restituito con il token di accesso e associato all'applicazione riservata, rimane valido.

Immettere il destinatario primario in cui viene elaborato il token di accesso dell'applicazione riservata.

Immettere i destinatari secondari in cui viene elaborato il token di accesso dell'applicazione riservata e selezionare Aggiungi. Il destinatario secondario viene visualizzato nella colonna Audience secondaria e la colonna Protetto consente di sapere se l'audience secondaria è protetta o meno.

Per specificare le parti di altre applicazioni a cui si desidera accedere all'applicazione, aggiungere tali ambiti all'applicazione riservata.

Le applicazioni devono interagire in modo sicuro con partner esterni o applicazioni riservate. Inoltre, le applicazioni di un servizio Oracle Cloud devono interagire in modo sicuro con le applicazioni di un altro servizio Oracle Cloud. Ogni applicazione dispone di ambiti applicazione che determinano quali risorse sono disponibili per altre applicazioni.

Utilizzare quando l'ambito di autorizzazione è limitato alle risorse protette sotto il controllo del client o alle risorse protette registrate con il server di autorizzazione.

Il client presenta le proprie credenziali per ottenere un token di accesso. Questo token di accesso è associato alle risorse proprie del client e non a un determinato proprietario di risorse oppure è associato a un proprietario di risorse per il quale il client è autorizzato ad agire in altro modo

Utilizzare questa opzione quando si desidera utilizzare una relazione trust esistente espressa come asserzione e senza un passo di approvazione utente diretto nel server di autorizzazione.

Il client richiede un token di accesso fornendo un'asserzione JWT (Web Token JSON) utente o un'asserzione JWT utente di terze parti e le credenziali client. Un'affermazione JWT è un pacchetto di informazioni che facilita la condivisione delle informazioni su identità e sicurezza tra i domini di sicurezza.

Utilizzare questa opzione quando si desidera utilizzare una relazione trust esistente espressa come asserzione SAML2 e senza un passo di approvazione utente diretto nel server di autorizzazione.

Il client richiede un token di accesso fornendo un'asserzione utente SAML2 o un'asserzione utente di terze parti SAML2 e credenziali client. Un'affermazione SAML2 è un pacchetto di informazioni che facilita la condivisione delle informazioni su identità e sicurezza tra i domini di sicurezza.

Selezionare questo tipo di privilegio quando si desidera ottenere un codice di autorizzazione utilizzando un server di autorizzazione come intermediario tra l'applicazione client e il proprietario della risorsa.

Un codice di autorizzazione viene restituito al client tramite un reindirizzamento browser dopo che il proprietario della risorsa concede il consenso al server di autorizzazione. Il client scambia quindi il codice di autorizzazione per un token di accesso (e spesso di aggiornamento). Le credenziali del proprietario della risorsa non vengono mai esposte al client.

Se l'applicazione non è in grado di mantenere riservate le credenziali client da utilizzare per l'autenticazione con il server di autorizzazione, selezionare questa casella di controllo. Ad esempio, l'applicazione viene implementata in un browser Web utilizzando un linguaggio di script come JavaScript. Un token di accesso viene restituito al client tramite un reindirizzamento del browser in risposta alla richiesta di autorizzazione del proprietario della risorsa (anziché un'autorizzazione intermedia).

Selezionare il tipo di privilegio Codice dispositivo se il client non è in grado di ricevere richieste dal server di autorizzazione OAuth, ad esempio non può fungere da server HTTP come console di gioco, lettori multimediali di streaming, fotogrammi digitali e altri.

In questo flusso, il client ottiene il codice utente, il codice dispositivo e l'URL di verifica. L'utente accede quindi all'URL di verifica in un browser distinto per approvare la richiesta di accesso. Solo allora il client può ottenere il token di accesso utilizzando il codice del dispositivo.

Selezionare il tipo di privilegio TLS Client Authentication per utilizzare il certificato client per l'autenticazione con il client. Se una richiesta di token viene fornita con un certificato client X.509 e il client richiesto viene configurato con il tipo di privilegio Autenticazione client TLS, il servizio OAuth utilizza Client_ID nella richiesta per identificare il client e convalidare il certificato client con il certificato nella configurazione client. Autenticazione del client riuscita solo se i due valori corrispondono.

Per una maggiore sicurezza, prima di abilitare il tipo di privilegio Autenticazione client TLS, abilitare e configurare la convalida OCSP e importare un certificato partner sicuro.

Selezionare questa casella di controllo se si desidera utilizzare gli URL HTTP per i campi URL di reindirizzamento, URL di logout o URL di reindirizzamento dopo logout. Ad esempio, se si inviano richieste internamente, si desidera una comunicazione non cifrata o si desidera essere retrocompatibili con OAuth 1.0, è possibile utilizzare un URL HTTP.

Inoltre, selezionare questa casella di controllo quando si sta sviluppando o testando l'applicazione e potrebbe non essere stato configurato SSL. Questa opzione non è consigliata per le distribuzioni di produzione.

Immettere l'URL dell'applicazione in cui verrà reindirizzato l'utente dopo l'autenticazione.

Nota: fornire un URL assoluto. URL relativi non supportati.

Immettere l'URL in cui reindirizzare l'utente dopo aver eseguito il login all'applicazione.

Immettere l'URL in cui verrà reindirizzato l'utente dopo aver eseguito il login all'applicazione riservata.

Selezionare il tipo di client. I tipi di client disponibili sono Trusted e Confidential. Scegliere Sicuro se il client è in grado di generare asserzioni utente con firma automatica. Quindi, per importare il certificato di firma che il client utilizza per firmare la propria asserzione con firma automatica, selezionare Importa certificato.

Selezionare uno degli algoritmi di cifratura del contenuto.

Se abilitato, questo attributo sovrascrive l'attributo Richiedi consenso per tutti gli ambiti configurati per l'applicazione e quindi nessun ambito richiederà il consenso.

Selezionare una delle seguenti opzioni per consentire a un'applicazione client di accedere alle risorse autorizzate:

• Tutto: consente di accedere a qualsiasi risorsa all'interno di un dominio (Tutto). Vedere Accesso a tutte le risorse.

• Specifica: consente di accedere solo alle risorse in cui esiste un'associazione esplicita tra il client e la risorsa (Specifica). Vedere Accesso a risorse con ambiti specifici.

Nota: l'opzione per definire una risorsa autorizzata è disponibile solo per le applicazioni riservate. Impossibile definire l'ambito sicuro per le applicazioni Mobile.

Se si desidera che l'applicazione possa accedere alle API da altre applicazioni, selezionare Aggiungi risorse nella sezione Criterio di emissione token. Quindi, nella finestra Aggiungi ambito, selezionare le applicazioni a cui fa riferimento l'applicazione.

Nota: è possibile eliminare gli ambiti selezionando l'icona x accanto all'ambito. Tuttavia, non è possibile eliminare gli ambiti protetti.

Selezionare Aggiungi ruoli dell'applicazione. Nella finestra Aggiungi ruoli applicazione selezionare i ruoli applicazione che si desidera assegnare a questa applicazione. Ciò consente all'applicazione di accedere alle API REST a cui possono accedere tutti i ruoli applicazione assegnati.

Ad esempio, selezionare Amministratore del dominio di Identity dalla lista. Tutti i task API REST disponibili per l'amministratore del dominio di Identity saranno accessibili all'applicazione.

È possibile eliminare i ruoli applicazione selezionando il ruolo applicazione, quindi selezionando Rimuovi.

Nota: non è possibile eliminare i ruoli applicazione protetti.