Tokens Suportados
Um token é usado para tomar decisões de segurança para autorizar um usuário e armazenar informações à prova de adulteração sobre uma entidade do sistema em um domínio de identidades.
Os domínios de identidades suportam JWT (JSON Web Tokens). Um JWT é um padrão aberto baseado em JSON (RFC 7519) que define uma maneira compacta e autocontida de enviar informações com segurança entre partes como um objeto JSON. Essas informações podem ser verificadas e confiáveis porque são assinadas digitalmente. Os Tokens Web JSON consistem em três partes separadas por pontos (xxxx.yyyy.zzzz):
-
Cabeçalho. Consiste em duas partes: o tipo de token (JWT) e o algoritmo de hash que está sendo usado, como SHA256
-
Payload. Contém as reivindicações (os dados do token)
-
Assinatura. Consiste no cabeçalho do token codificado e no payload codificado assinado com a chave privada do domínio de identidades. A assinatura é usada para verificar se o remetente do JWT é quem ele diz que é e garante que a mensagem não foi alterada ao longo do caminho.
Os domínios de identidades suportam três tokens diferentes: token de identidade, token de acesso e asserção do cliente.
Para acessar informações detalhadas sobre cada token suportado, selecione qualquer um dos seguintes links:
Para obter informações sobre a expiração do token, acesse:
Token de Identidade
Um Token de Identidade é um token independente e protegido pela integridade (no formato JWT (JSON Web Token) definido no padrão OpenID Connect que contém reivindicações sobre o usuário final. O Token de Identidade é a extensão principal que o OpenID Connect faz para o OAuth 2.0 para ativar a autenticação em um domínio de identidades.
O JWT do Token de Identidade consiste em três componentes, um cabeçalho, um payload e a assinatura digital. Seguindo o padrão JWT, essas três seções são codificadas e separadas por pontos em Base64URL.
As solicitações do OpenID Connect devem conter o valor do escopo
openid. O OpenID Connect 1.0 é uma camada de identidade simples no topo do protocolo OAuth 2.0. Ele permite que um aplicativo cliente do domínio de identidades do IAM (registrado como um cliente OAuth 2 com ID e segredo do cliente) verifique a identidade do usuário final com base na autenticação executada por um Servidor de Autorização (AS) e obtenha informações básicas de perfil sobre o usuário final de maneira interoperável e semelhante a REST. O OpenID Connect permite que clientes de todos os tipos, incluindo clientes baseados na web, móveis e JavaScript, solicitem e recebam informações sobre sessões autenticadas e usuários finais. Consulte OpenID Connect para obter mais informações.
| Nome | Valor |
|---|---|
amr
|
Referências a Métodos de Autenticação. Array JSON de strings que são identificadores para métodos de autenticação usados na autenticação. Por exemplo, os valores podem indicar que os métodos de autenticação de senha e OTP foram usados. |
at_hash
|
Valor de hash do Token de Acesso OAuth 2. |
aud
|
Identifica os destinatários para os quais este Token de ID se destina. Deve ser o OAuth 2.0 client_id (de acordo com a especificação do OpenID Connect). Este é o nome do cliente OAuth (app.name) que está fazendo a solicitação. Aud também contém o Emissor do domínio de identidades do IAM, transformando assim o tipo de token (IT) em uma Asserção de Usuário do domínio de identidades do IAM. |
authn_strength*
|
O valor retornado pelo SSO de Cloud indicando Força da Autenticação do Contexto AuthN. |
auth_time
|
O horário (horário da época do UNIX) em que o Cloud SSO realmente autenticou o usuário (em segundos, vindo do Contexto AuthN). |
azp
|
Parte autorizada. A parte para a qual o Token de ID foi emitido. Se presente, deve conter o OAuth 2.0 Client ID desta parte. Essa reivindicação só é necessária quando o Token de ID tem um único valor de público e esse público é diferente da parte autorizada. Pode ser incluído mesmo quando a parte autorizada é a mesma que o único público. O valor azp faz distinção entre maiúsculas e minúsculas e contém um valor StringOrURI. |
exp
|
O tempo de expiração (horário da época UNIX) no qual ou após o qual o Token de ID não deve ser aceito para processamento. Esse valor deve ser igual ao session_exp. |
iat
|
O horário (horário da época UNIX) em que o JWT foi criado (em segundos). O UNIX Epoch Time é um número JSON que representa o número de segundos de 1970-01-01T0:0:0Z, conforme medido no UTC (Coordinated Universal Time) até a data/hora. |
iss
|
O principal que emitiu o token: https://<domainURL>
|
jti
|
O identificador exclusivo gerado pelo servidor para o ID JWT. |
nonce
|
O valor da string usado para associar uma sessão do cliente a um Token de ID e para mitigar ataques de repetição. Esse valor é fornecido pelo Cloud Gate. |
session_exp*
|
O horário (horário da época do UNIX) em que a sessão SSO do Cloud expira (segundos, deve ser a mesma expiração da sessão do SSO no contexto AuthN). |
sid
|
O ID da sessão do Cloud SSO (máximo de 255 caracteres ASCII) no Contexto AuthN. |
sub
|
Identifica o usuário. O identificador do assunto é exclusivo localmente, nunca reatribuído e deve ser consumido pelo cliente: ID de Log-in do Usuário (máximo de 255 caracteres ASCII). Este é o ID de login do usuário do Contexto AuthN. |
sub_mappingattr*
|
O atributo usado para localizar a subárea no armazenamento de IDs. |
tok_type*
|
Identifica o tipo de token: IT |
user_displayname*
|
O Nome de Exibição do Usuário (máximo de 255 caracteres ASCII) do Contexto AuthN. |
user_csr*
|
Indica (verdadeiro) que o usuário é um Representante de Atendimento ao Cliente (CSR). |
user_id*
|
O GUID do domínio de identidades do IAM do usuário no Contexto AuthN. |
user_lang*
|
O idioma preferido do usuário. |
user_locale*
|
A configuração regional do usuário. |
user_tenantname*
|
O Nome do Tenant do Usuário (no máximo 255 caracteres ASCII). O GUID do locatário não foi salvo especificamente no token |
user_tz*
|
O fuso horário do usuário. |