Adicionando um Aplicativo Confidencial

Digite um nome para o aplicativo confidencial. Você pode digitar até 125 caracteres.

Para aplicativos com nomes longos, o nome do aplicativo aparece truncado na página Meus Aplicativos. Considere manter os nomes das aplicações o mais curtos possível.

Digite uma descrição para o aplicativo confidencial. Você pode digitar até 250 caracteres.

Selecione o fechamento (X) na janela do ícone Aplicativo para excluir o ícone do aplicativo padrão e, em seguida, adicione seu próprio ícone para o aplicativo. Esse ícone aparece ao lado do nome do aplicativo na página Meus aplicativos e na página Aplicativos.

Digite o URL (HTTP ou HTTPS) para o qual o usuário é redirecionado após um log-in bem-sucedido. Esse valor também é conhecido como parâmetro RelayState SAML. O formato HTTPS é sugerido. Só use HTTP para fins de teste.

Para aplicativos Empresariais, o URL do aplicativo é o URL que você deseja que os usuários utilizem para acessar seu aplicativo empresarial. Use o nome do host e o número da porta do App Gateway. Se você tiver várias instâncias do App Gateway, use o nome do host e o número da porta do balanceador de carga.

No campo URL de sign-in personalizado, especifique um URL de sign-in personalizado. No entanto, se você está usando uma página padrão de log-in fornecida pelo IAM, deixe este campo em branco.

No campo URL de sign-out personalizada, especifique um URL de sign-out personalizada. No entanto, se você está usando uma página padrão de log-in fornecida pelo IAM, deixe este campo em branco.

Esse é um campo opcional. Informe o URL de página do erro para o qual um usuário será redirecionado, se ocorrer uma falha. Se não for especificado, o URL da página de Erro específico do tenant será usado. Se os dois URLs de erro não forem configurados, o erro será redirecionado para a Página Erro do Serviço IAM (/ui/v1/error).

Quando um usuário tenta usar a autenticação social (ex.: Google, Facebook etc.) para fazer log-in no IAM, a URL do callback deve ser configurada no campo URL do Erro Personalizado. Os provedores sociais precisam deste URL de callback para chamar o IAM e enviar a resposta de volta depois da autenticação social. O URL de callback fornecido é usado para verificar se o usuário existe ou não (se for um log-in social pela primeira vez) e exibir um erro se a autenticação social tiver falhado. Este é o URL em que o callback é enviado com detalhes de usuário do registro social, se uma conta de usuário social conectada bem-sucedida não existir no serviço IAM.

Esse é um campo opcional. Informe o URL ao qual o IAM pode redirecionar após a conclusão da vinculação de um usuário entre provedores sociais e o IAM.

Quando você cria um aplicativo personalizado usando o SDK personalizado do serviço IAM e se integra ao IAM Social Login, o aplicativo personalizado precisa ter o URL de callback de Vinculação que pode ser redirecionado depois que a vinculação do usuário entre a operadora social e o IAM for concluída.

Marque a caixa de verificação se desejar que o aplicativo confidencial seja listado para usuários em suas páginas Meus Aplicativos. Nesse caso, você precisa configurar o aplicativo como servidor de recursos.

Quando você marcar a caixa de seleçãoExibir em Meus Aplicativos nos aplicativos, o aplicativo ficará visível na página Meus Aplicativos, mas a seleção dessa caixa de seleção não ativará nem desativará o SSO no aplicativo.

O flag para ativar ou desativar o SSO vem do modelo do aplicativo.

Marque a opção se você quiser que os usuários finais possam solicitar acesso ao aplicativo na página Meus Aplicativos, selecionando Adicionar Acesso. Se o autoatendimento não estiver ativado, os usuários não verão o botão Adicionar Acesso.

Para aplicativos Confidenciais: Impor concessões como autorização

Para aplicativos Empresariais: O usuário deve receber este aplicativo

Se você quiser que o IAM controle o acesso ao aplicativo com base nas concessões aos usuários e grupos, selecione esta opção. Se você desmarcar essa opção, qualquer usuário autenticado terá acesso ao aplicativo.

Defina por quanto tempo (em segundos) o token de acesso associado ao seu aplicativo confidencial permanecerá válido.

Marque esta caixa de seleção se desejar usar o token de atualização que você obtém ao usar os tipos da concessão Proprietário do Recurso, Código de Autorização ou Asserção.

Defina por quanto tempo (em segundos) o token de atualização, que é retornado com o token de acesso e está associado ao aplicativo confidencial, permanecerá válido.

Digite o destinatário principal cujo token de acesso do seu aplicativo confidencial é processado.

Informe os destinatários secundários nos quais o token de acesso do seu aplicativo confidencial é processado e selecione Adicionar. O destinatário secundário aparece na coluna de Público secundário e a coluna Protegido permite que você saiba se o público secundário está protegido ou não.

Para especificar quais partes de outros aplicativos você deseja que seu aplicativo acesse, adicione esses escopos ao seu aplicativo confidencial.

Os aplicativos devem interagir de forma segura com parceiros externos ou aplicativos confidenciais. Além disso, os aplicativos de um serviço do Oracle Cloud devem interagir com segurança com os aplicativos de outro serviço do Oracle Cloud. Cada aplicativo tem escopos de aplicativo que determinam quais de seus recursos estão disponíveis para outros aplicativos.

Use quando o escopo de autorização for limitado aos recursos protegidos sob controle do cliente ou aos recursos protegidos registrados no servidor de autorização.

O cliente apresenta suas próprias credenciais para obter um token de acesso. Esse token de acesso está associado aos recursos próprios do cliente e não a um proprietário de recurso específico ou está associado a um proprietário de recurso em nome de quem o cliente está autorizado a agir

Use quando quiser usar uma relação de confiança existente expressa como asserção e sem uma etapa de aprovação direta do usuário no servidor de autorização.

O cliente solicita um token de acesso fornecendo uma asserção JWT (JSON web token) do usuário ou uma asserção JWT de usuário de terceiros e as credenciais do cliente. Uma asserção JWT é um pacote de informações que facilita o compartilhamento de informações de identidade e segurança entre domínios da segurança.

Use quando quiser usar uma relação de confiança existente expressa como asserção SAML2 e sem uma etapa de aprovação direta do usuário no servidor de autorização.

O cliente solicita um token de acesso fornecendo uma asserção SAML2 do usuário ou uma asserção SAML2 de usuário de terceiros e as credenciais do cliente. Uma asserção SAML2 é um pacote de informações que facilita o compartilhamento de informações de identidade e segurança entre domínios da segurança.

Selecione esse tipo de concessão quando quiser obter um código de autorização usando um servidor de autorização como intermediário entre o aplicativo cliente e o proprietário do recurso.

Um código de autorização é retornado ao cliente por meio do redirecionamento de um browser depois que o proprietário do recurso dá consentimento ao servidor de autorizações. O cliente então troca o código de autorização por um token de acesso (e geralmente um token de atualização). As credenciais do proprietário do recurso nunca são expostas ao cliente.

Se o aplicativo não puder manter as credenciais de cliente confidenciais para uso na autenticação com o servidor de autorização, marque esta caixa de seleção. Por exemplo, seu aplicativo é implementado em um web browser usando uma linguagem de script, como JavaScript. Um token de acesso é retornado ao cliente por meio de um redirecionamento do browser em resposta à solicitação de autorização do proprietário do recurso (em vez de uma autorização intermediária).

Selecione o tipo de concessão Código do Aparelho se o cliente não tiver a capacidade de receber solicitações do OAuth Authorization Server; por exemplo, ele não pode atuar como um servidor HTTP, como consoles de jogo, players de mídia de streaming, quadros de imagem digital e outros.

Nesse fluxo, o cliente obtém o código do usuário, o código do dispositivo e o URL de verificação. O usuário então acessa o URL de verificação em um browser distinto para aprovar a solicitação de acesso. Somente então o cliente pode obter o token de acesso usando o código do dispositivo.

Selecione o tipo da concessão Autenticação de Cliente TSL para usar o certificado do cliente para autenticação com o cliente. Se uma solicitação de token vier com um certificado de cliente X.509 e o cliente solicitado for configurado com o tipo de concessão Autenticação do Cliente TSL, o serviço OAuth usará o Client_ID na solicitação para identificar o cliente e validar o certificado do cliente com o certificado na configuração do cliente. O cliente só será autenticado com sucesso se os dois valores forem correspondentes.

Para obter segurança adicional, antes de ativar o tipo de concessão Autenticação do Cliente TSL, ative e configure A validação do OCSP e importe um certificado do parceiro confiável.

Marque esta caixa de seleção se quiser usar URLs HTTP para os campos URL do Redirecionamento, URL de Log-out ou URL do redirecionamento de pós-log-out. Por exemplo, se estiver enviando solicitações internamente, quiser uma comunicação não criptografada ou quiser ser compatível com versões anteriores com OAuth 1.0, você poderá usar um URL HTTP.

Além disso, marque essa caixa de seleção quando você estiver desenvolvendo ou testando seu aplicativo e talvez não tenha configurado o SSL. Esta opção não é recomendada para implantações de produção.

Digite o URL do aplicativo para o qual o usuário é redirecionado após a autenticação.

Observação: Forneça um URL absoluto. URLs relativos não são suportados.

Digite o URL para o qual você deseja redirecionar o usuário após o log-out do aplicativo.

Digite o URL para o qual o usuário é redirecionado após o log-out do aplicativo confidencial.

Selecione o tipo de cliente. Os tipos de cliente disponíveis são Confiável e Confidencial. Escolha Confiável se o cliente puder gerar asserções do usuário autoassinadas. Em seguida, para importar seu certificado de assinatura que o cliente usa para assinar sua asserção autoassinada, selecione Importar certificado.

Selecione um dos algoritmos de criptografia de conteúdo.

Se ativado, esse atributo substituirá o atributo Exigir consentimento para todos os escopos configurados para o aplicativo e, em seguida, nenhum escopo exigirá consentimento.

Selecione uma das seguintes opções para permitir que um aplicativo cliente acesse recursos autorizados:

• Todos – Acesse qualquer recurso dentro de um domínio (Todos). Consulte Acessando Todos os Recursos.

• Específico – Acesse somente os recursos nos quais exista uma associação explícita entre o cliente e o recurso (Específico). Consulte Acessando Recursos com Escopos Específicos.

Observação: A opção para definir um recurso autorizado está disponível somente para aplicativos Confidenciais. O escopo de confiança não pode ser definido para aplicativos Móveis.

Se você quiser que seu aplicativo acesse APIs de outros aplicativos, marque Adicionar recursos na seção Política de emissão de tokens. Em seguida, na janela Adicionar escopo, selecione os aplicativos aos quais seu aplicativo faz referência.

Observação: você pode excluir escopos selecionando o ícone x ao lado do escopo. No entanto, você não pode excluir escopos protegidos.

Marque Adicionar funções de aplicativo. Na janelaAdicionar funções de aplicativo, selecione as funções de aplicativo que você deseja atribuir a este aplicativo. Isso permite que seu aplicativo acesse as APIs REST que cada uma das atribuições de aplicativo designadas pode acessar.

Por exemplo, selecione Administrador de Domínio de Identidades na lista. Todas as tarefas da API REST disponíveis para o administrador de domínio de identidades poderão ser acessadas por seu aplicativo.

Você pode excluir as atribuições do aplicativo selecionando a atribuição do aplicativo e, em seguida, selecionando Remover.

Observação: Não é possível excluir funções de aplicativo protegido.