Aggiunta di un'applicazione riservata

Immettere un nome per l'applicazione riservata. È possibile immettere un massimo di 125 caratteri.

Per applicazioni con nomi lunghi, il nome apparirà troncato nella pagina Applicazioni personali. Considera di mantenere i nomi delle applicazioni il più breve possibile.

Immettere una descrizione per l'applicazione riservata. È possibile immettere un massimo di 250 caratteri.

Selezionare l'icona Chiudi (X) nella finestra dell'icona Applicazione per eliminare l'icona Applicazione predefinita e quindi aggiungere l'icona personale per l'applicazione. Questa icona viene visualizzata accanto al nome dell'applicazione nella pagina Applicazioni personali e nella pagina Applicazioni.

Immettere l'URL (HTTP o HTTPS) a cui verrà reindirizzato l'utente dopo un login riuscito. Questo valore è noto anche come parametro SAML RelayState. Il formato HTTPS è consigliato. Utilizzare HTTP solo per i test.

Per le applicazioni Enterprise, l'URL dell'applicazione è l'URL che si desidera utilizzare per accedere all'applicazione enterprise. Utilizzare il nome host e il numero di porta del gateway applicazioni. Se si dispone di più istanze di Gateway applicazioni, utilizzare il nome host e i numeri di porta del load balancer.

Nel campo URL di collegamento personalizzato specificare un URL di collegamento personalizzato. Tuttavia, se si utilizza una pagina di login predefinita fornita da IAM, lasciare vuoto questo campo.

Nel campo URL di scollegamento personalizzato specificare un URL di scollegamento personalizzato. Tuttavia, se si utilizza una pagina di login predefinita fornita da IAM, lasciare vuoto questo campo.

Questo campo è facoltativo. Immettere l'URL della pagina di errore a cui deve essere reindirizzato un utente in caso di errore. Se non specificato, viene utilizzato l'URL della pagina di errore specifica del tenant. Se entrambi gli URL di errore non sono configurati, l'errore viene reindirizzato alla pagina di errore IAM (/ui/v1/error).

Quando un utente tenta di utilizzare l'autenticazione social (ad esempio Google, Facebook e così via) per eseguire il login a IAM, l'URL di callback deve essere configurato nel campo URL errore personalizzato. I provider social hanno bisogno di questo URL di callback per chiamare IAM e inviare la risposta dopo l'autenticazione social. L'URL di callback fornito viene utilizzato per verificare se l'utente esiste o meno (se si tratta di un primo login social) e visualizzare un errore se l'autenticazione social non è riuscita. URL in cui viene inviato il callback con i dettagli dell'utente di registrazione social, se in IAM non esiste un account utente social connesso correttamente.

Questo campo è facoltativo. Immettere l'URL a cui IAM può reindirizzare dopo il completamento del collegamento di un utente tra i provider social e IAM.

Quando si crea un'applicazione personalizzata utilizzando l'SDK personalizzato IAM e si esegue l'integrazione con IAM Social Login, l'applicazione personalizzata deve disporre dell'URL di callback di collegamento che può essere reindirizzato dopo il completamento del collegamento dell'utente tra il provider social e IAM.

Selezionare la casella di controllo se si desidera che l'applicazione riservata venga elencata per gli utenti nelle relative pagine Applicazioni personali. In questo caso, è necessario configurare l'applicazione come server delle risorse.

Quando si seleziona la casella di controllo Visualizza in applicazioni personali nelle applicazioni, l'applicazione è quindi visibile nella pagina Applicazioni personali, ma la selezione di questa casella di controllo non abilita o disabilita SSO nell'applicazione.

Il flag per abilitare o disabilitare SSO proviene dal modello di applicazione.

Selezionare la casella di controllo se si desidera che gli utenti finali possano richiedere l'accesso all'applicazione dalla pagina Applicazioni personali selezionando Aggiungi accesso. Se il servizio self-service non è abilitato, gli utenti non vedranno il pulsante Aggiungi accesso.

Per le applicazioni riservate: Applica privilegi come autorizzazione

Per le applicazioni Enterprise: È necessario concedere questa applicazione all'utente

Se si desidera che IAM controlli l'accesso all'applicazione in base alle autorizzazioni a utenti e gruppi, selezionare questa opzione. Se si deseleziona questa opzione, tutti gli utenti autenticati avranno accesso all'applicazione.

Definire per quanto tempo (in secondi) il token di accesso associato all'applicazione riservata rimane valido.

Selezionare questa casella di controllo se si desidera utilizzare il token d'aggiornamento ottenuto quando si utilizzano i tipi d'autorizzazione Proprietario risorsa, Codice d'autorizzazione o Asserzione.

Definire per quanto tempo (in secondi) il token di aggiornamento, che viene restituito con il token di accesso ed è associato all'applicazione riservata, rimane valido.

Immettere il destinatario principale in cui viene elaborato il token di accesso dell'applicazione riservata.

Immettere i destinatari secondari in cui viene elaborato il token di accesso dell'applicazione riservata e selezionare Aggiungi. Il destinatario secondario viene visualizzato nella colonna Audience secondaria e la colonna Protetto consente di sapere se l'audience secondaria è protetta o meno.

Per specificare le parti di altre applicazioni a cui si desidera che l'applicazione acceda, aggiungere tali ambiti all'applicazione riservata.

Le applicazioni devono interagire in modo sicuro con partner esterni o applicazioni riservate. Inoltre, le applicazioni di un servizio Oracle Cloud devono interagire in modo sicuro con le applicazioni di un altro servizio Oracle Cloud. Ogni applicazione dispone di ambiti applicativi che determinano quali risorse sono disponibili per altre applicazioni.

Utilizzare quando l'ambito dell'autorizzazione è limitato alle risorse protette sotto il controllo del client o alle risorse protette registrate con il server di autorizzazione.

Il client presenta le proprie credenziali per ottenere un token di accesso. Questo token d'accesso è associato a risorse proprie del client e non a un determinato proprietario delle risorse oppure è associato a un proprietario di risorse per il quale il client è autorizzato ad agire in altro modo.

Utilizzare quando si desidera utilizzare una relazione di attendibilità esistente espressa come asserzione e senza un passo di approvazione diretta dell'utente nel server di autorizzazione.

Il client richiede un token di accesso fornendo un'asserzione token Web JSON utente (JWT) o un'asserzione e credenziali client JWT utente di terze parti. Un'asserzione JWT è un pacchetto di informazioni che facilita la condivisione delle informazioni su identità e sicurezza tra i domini della sicurezza.

Utilizzare quando si desidera utilizzare una relazione di attendibilità esistente espressa come asserzione SAML2 e senza un passo di approvazione diretta dell'utente nel server di autorizzazione.

Il client richiede un token di accesso fornendo un'asserzione utente SAML2 o un'asserzione utente SAML2 e credenziali client di terze parti. Un'asserzione SAML2 è un pacchetto di informazioni che facilita la condivisione delle informazioni su identità e sicurezza tra i domini della sicurezza.

Selezionare questo tipo di privilegio quando si desidera ottenere un codice di autorizzazione utilizzando un server di autorizzazione come intermediario tra l'applicazione client e il proprietario della risorsa.

Un codice di autorizzazione viene restituito al client tramite un reindirizzamento browser dopo che il proprietario della risorsa conceda il consenso al server d'autorizzazione. Il client scambia quindi il codice d'autorizzazione per un token d'accesso (e spesso di aggiornamento). Le credenziali del proprietario della risorsa non vengono mai esposte al client.

Se l'applicazione non è in grado di mantenere riservate le credenziali client per l'autenticazione con il server di autorizzazione, selezionare questa casella di controllo. Ad esempio, l'applicazione viene implementata in un browser Web utilizzando un linguaggio di script come JavaScript. Un token di accesso viene restituito al client tramite un reindirizzamento del browser in risposta alla richiesta di autorizzazione del proprietario della risorsa (anziché un'autorizzazione intermedia).

Selezionare il tipo di privilegio Codice dispositivo se il client non è in grado di ricevere richieste dal server di autorizzazione OAuth, ad esempio non può fungere da server HTTP come console di gioco, lettori multimediali in streaming, cornici digitali e altri.

In questo flusso, il client ottiene il codice utente, il codice dispositivo e l'URL di verifica. L'utente accede quindi all'URL di verifica in un browser separato per approvare la richiesta di accesso. Solo allora il client può ottenere il token di accesso utilizzando il codice del dispositivo.

Selezionare il tipo di privilegio TLS Client Authentication da utilizzare il certificato del client per l'autenticazione con il client. Se una richiesta di token viene fornita con un certificato client X.509 e il client richiesto è configurato con il tipo di privilegio Autenticazione client TLS, il servizio OAuth utilizza Client_ID nella richiesta per identificare il client e convalidare il certificato client con il certificato nella configurazione client. Il client viene autenticato correttamente solo se i due valori corrispondono.

Per una maggiore sicurezza, prima di abilitare il tipo di privilegio Autenticazione client TLS, abilitare e configurare la convalida OCSP e importare un certificato partner sicuro.

Selezionare questa casella di controllo se si desidera utilizzare URL HTTP per i campi URL di reindirizzamento URL di logout o URL di reindirizzamento successivo al logout. Ad esempio, se si inviano richieste internamente, si desidera una comunicazione non cifrata o si desidera essere compatibili con le versioni precedenti con OAuth 1.0, è possibile utilizzare un URL HTTP.

Inoltre, selezionare questa casella di controllo quando si sta sviluppando o testando l'applicazione e potrebbe non essere stato configurato SSL. Questa opzione non è consigliata per le distribuzioni di produzione.

Immettere l'URL dell'applicazione in cui verrà reindirizzato l'utente dopo l'autenticazione.

Nota: fornire un URL assoluto. URL relativi non supportati.

Immettere l'URL in cui reindirizzare l'utente dopo aver eseguito il logout dall'applicazione.

Immettere l'URL in cui verrà reindirizzato l'utente dopo aver eseguito il logout dall'applicazione riservata.

Selezionare il tipo di client. I tipi di client disponibili sono Trusted e Confidential. Scegliere Affidabile se il client è in grado di generare asserzioni utente con firma automatica. Quindi, per importare il certificato di firma utilizzato dal client per firmare la propria asserzione con firma automatica, selezionare Importa certificato.

Selezionare uno degli algoritmi di cifratura del contenuto.

Se abilitato, questo attributo sovrascrive l'attributo Richiedi consenso per tutti gli ambiti configurati per l'applicazione, quindi nessun ambito richiederà il consenso.

Selezionare una delle seguenti opzioni per consentire a un'applicazione client di accedere alle risorse autorizzate:

• Tutto: consente di accedere a qualsiasi risorsa all'interno di un dominio (Tutti). Vedere Accesso a tutte le risorse.

• Specifico: consente di accedere solo alle risorse in cui è presente un'associazione esplicita tra il client e la risorsa (Specifica). Vedere Accesso alle risorse con ambiti specifici.

Nota: l'opzione per definire una risorsa autorizzata è disponibile solo per le applicazioni riservate. Impossibile definire l'ambito sicuro per le applicazioni Mobile.

Se si desidera che l'applicazione acceda alle API da altre applicazioni, selezionare Aggiungi risorse nella sezione Criteri di emissione dei token. Quindi, nella finestra Aggiungi ambito, selezionare le applicazioni a cui fa riferimento l'applicazione.

Nota: è possibile eliminare gli ambiti selezionando l'icona x accanto all'ambito. Tuttavia, non è possibile eliminare gli ambiti protetti.

Selezionare Aggiungi ruoli applicazione. Nella finestra Aggiungi ruoli applicazione selezionare i ruoli applicazione che si desidera assegnare all'applicazione. Ciò consente all'applicazione di accedere alle interfacce API REST a cui possono accedere tutti i ruoli applicazione assegnati.

Ad esempio, selezionare Amministratore dominio di Identity dalla lista. Tutti i task dell'API REST disponibili per l'amministratore del dominio di Identity saranno accessibili all'applicazione.

È possibile eliminare i ruoli applicazione selezionando il ruolo applicazione, quindi selezionando Rimuovi.

Nota: non è possibile eliminare i ruoli applicazione protetti.