Adicionando um Aplicativo Confidencial

Digite um nome para o aplicativo confidencial. Você pode digitar até 125 caracteres.

Para aplicativos com nomes grandes, o nome do aplicativo aparece truncado na página Meus Aplicativos. Mantenha os nomes dos aplicativos o menor possível.

Digite uma descrição para o aplicativo confidencial. Você pode digitar até 250 caracteres.

Clique no fechamento (X) da janela do ícone Aplicativo para excluir o ícone Aplicativo padrão e, em seguida, adicionar seu próprio ícone para o aplicativo. Esse ícone aparece ao lado do nome do aplicativo na página Meus aplicativos e na página Aplicativos.

Digite o URL (HTTP ou HTTPS) para o qual o usuário é redirecionado após um log-in bem-sucedido. Esse valor também é conhecido como parâmetro RelayState SAML. O formato HTTPS é sugerido. Só use HTTP para fins de teste.

Para aplicativos Empresariais, o URL do aplicativo é o URL que você deseja que os usuários utilizem para acessar seu aplicativo empresarial. Use o nome do host e o número da porta do App Gateway. Se você tiver várias instâncias do App Gateway, use o nome do host e o número da porta do balanceador de carga.

No campo URL de acesso personalizado, especifique um URL de acesso personalizado. No entanto, se você estiver usando uma página de log-in padrão fornecida pelo serviço IAM, deixe esse campo em branco.

No campo URL de sign-out personalizado, especifique um URL de sign-out personalizado. No entanto, se você estiver usando uma página de log-in padrão fornecida pelo serviço IAM, deixe esse campo em branco.

Esse é um campo opcional. Digite o URL da página de erro para a qual um usuário deverá ser redirecionado, se houver uma falha. Se não for especificado, o URL da página de Erro específico do tenant será usado. Se ambos os URLs de erro não estiverem configurados, o erro será redirecionado para a Página de Erro do serviço IAM (/ui/v1/error).

Quando um usuário tenta usar a autenticação social (por exemplo, Google, Facebook etc.) para fazer log-in no IAM, o URL de callback deve ser configurado no campo URL de Erro Personalizado. Os provedores sociais precisam desse URL de callback para chamar o serviço IAM e enviar a resposta de volta após a autenticação social. O URL de callback fornecido é usado para verificar se o usuário existe ou não (se for um log-in social pela primeira vez) e exibir um erro se a autenticação social tiver falhado. Este é o URL para o qual o callback é enviado com detalhes do usuário de registro social, se não existir uma conta de usuário social conectada com sucesso no serviço IAM.

Esse é um campo opcional. Digite o URL para o qual redirecionar o serviço IAM após a conclusão do link de um usuário entre os provedores sociais e o serviço IAM.

Quando você cria um aplicativo personalizado usando o SDK personalizado do IAM e integra com o Log-in Social do IAM, o aplicativo personalizado precisa ter o URL de callback de Link, que pode ser redirecionado após a conclusão do link do usuário entre o provedor social e o serviço IAM.

Marque a caixa de seleção se quiser que o aplicativo confidencial seja listado para os usuários em suas páginas Meus Aplicativos. Nesse caso, você precisa configurar o aplicativo como servidor de recursos.

Quando você marca a caixa de seleção Exibir em Meus Aplicativos nos aplicativos, o aplicativo fica visível na página Meus Aplicativos, mas marcar essa caixa de seleção não ativa ou desativa o SSO no aplicativo.

O flag para ativar ou desativar o SSO vem do modelo do aplicativo.

Marque a caixa de seleção se quiser que os usuários finais possam solicitar acesso ao aplicativo na página Meus Aplicativos clicando em Adicionar Acesso. Se o autoatendimento não estiver ativado, os usuários não verão o botão Adicionar Acesso.

Para aplicativos Confidenciais: Impor concessões como autorização

Para aplicativos Empresariais: O usuário deve receber este aplicativo

Se quiser que o serviço IAM controle o acesso ao aplicativo com base em concessões a usuários e grupos, selecione essa opção. Se você desmarcar essa opção, qualquer usuário autenticado terá acesso ao aplicativo.

Defina por quanto tempo (em segundos) o token de acesso associado ao seu aplicativo confidencial permanecerá válido.

Marque essa caixa de seleção se quiser usar o token de atualização obtido ao usar os tipos de concessão Proprietário do Recurso, Código de Autorização ou Asserção.

Defina por quanto tempo (em segundos) o token de atualização, que é retornado com o token de acesso e está associado ao aplicativo confidencial, permanecerá válido.

Digite o destinatário principal cujo token de acesso do seu aplicativo confidencial é processado.

Digite os destinatários secundários cujo token de acesso do seu aplicativo confidencial é processado e clique em Adicionar. O destinatário secundário aparece na coluna Público-alvo secundário e a coluna Protegido permite saber se o público-alvo secundário é protegido ou não.

Para especificar quais partes de outros aplicativos você deseja que seu aplicativo acesse, adicione esses escopos ao seu aplicativo confidencial.

Os aplicativos devem interagir de forma segura com parceiros externos ou aplicativos confidenciais. Além disso, os aplicativos de um serviço do Oracle Cloud devem interagir com segurança com os aplicativos de outro serviço do Oracle Cloud. Cada aplicativo tem escopos de aplicativo que determinam quais de seus recursos estão disponíveis para outros aplicativos.

Use quando o escopo de autorização for limitado aos recursos protegidos sob controle do cliente ou aos recursos protegidos registrados no servidor de autorização.

O cliente apresenta suas próprias credenciais para obter um token de acesso. Esse token de acesso está associado aos recursos próprios do cliente e não a um proprietário de recurso específico ou está associado a um proprietário de recurso em nome de quem o cliente está autorizado a agir

Use quando quiser usar uma relação de confiança existente expressa como asserção e sem uma etapa de aprovação direta do usuário no servidor de autorização.

O cliente solicita um token de acesso fornecendo uma asserção JWT (JSON web token) do usuário ou uma asserção JWT de usuário de terceiros e as credenciais do cliente. Asserção JWT é um pacote de informações que facilita o compartilhamento de informações de identidade e segurança entre domínios de segurança.

Use quando quiser usar uma relação de confiança existente expressa como asserção SAML2 e sem uma etapa de aprovação direta do usuário no servidor de autorização.

O cliente solicita um token de acesso fornecendo uma asserção SAML2 do usuário ou uma asserção SAML2 de usuário de terceiros e as credenciais do cliente. Asserção SAML2 é um pacote de informações que facilita o compartilhamento de informações de identidade e segurança entre domínios de segurança.

Selecione esse tipo de concessão quando quiser obter um código de autorização usando um servidor de autorização como intermediário entre o aplicativo cliente e o proprietário do recurso.

Um código de autorização é retornado ao cliente por meio de um redirecionamento do browser depois que o proprietário do recurso dá consentimento ao servidor de autorização. O cliente então troca o código de autorização por um token de acesso (e geralmente um token de atualização). As credenciais do proprietário do recurso nunca são expostas ao cliente.

Se o aplicativo não puder manter confidenciais as credenciais do cliente para uso na autenticação com o servidor de autorização, marque essa caixa de seleção. Por exemplo, seu aplicativo é implementado em um web browser usando uma linguagem de script, como JavaScript. Um token de acesso é retornado ao cliente por meio de um redirecionamento do browser em resposta à solicitação de autorização do proprietário do recurso (em vez de uma autorização intermediária).

Selecione o tipo de concessão Código do Dispositivo se o cliente não puder receber solicitações do Servidor de Autorização OAuth, por exemplo, não puder agir como servidor HTTP, como consoles de jogo, players de mídia de streaming, quadros de imagem digital etc.

Nesse fluxo, o cliente obtém o código do usuário, o código do dispositivo e o URL de verificação. O usuário então acessa o URL de verificação em um browser distinto para aprovar a solicitação de acesso. Somente então o cliente pode obter o token de acesso usando o código do dispositivo.

Selecione o tipo de concessão Autenticação de Cliente TLS para usar o certificado cliente para autenticação no cliente. Se uma solicitação de token vier com um certificado cliente X.509 e o cliente solicitado estiver configurado com o tipo de concessão Autenticação de Cliente TLS, o serviço OAuth usará o Client_ID na solicitação para identificar o cliente e validar o certificado cliente com o certificado na configuração do cliente. O cliente só será autenticado com sucesso se os dois valores forem correspondentes.

Para aumentar a segurança, antes de ativar o tipo de concessão Autenticação de Cliente TLS, ative e configure a validação de OCSP e importe um certificado de parceiro confiável.

Marque essa caixa de seleção se quiser usar URLs HTTP para os campos URL de Redirecionamento, URL de Log-out ou URL de redirecionamento após log-out. Por exemplo, se você estiver enviando solicitações internamente, quiser uma comunicação não criptografada ou quiser ter compatibilidade reversa com OAuth 1.0, poderá usar um URL HTTP.

Além disso, marque essa caixa de seleção quando estiver desenvolvendo ou testando seu aplicativo e talvez não tenha configurado o SSL. Essa opção não é recomendada para implementações de produção.

Digite o URL do aplicativo para o qual o usuário é redirecionado após a autenticação.

Observação: Forneça um URL absoluto. Não há suporte para URLs Relativos.

Digite o URL para o qual você deseja redirecionar o usuário após o log-out do aplicativo.

Digite o URL para o qual o usuário é redirecionado após o log-out do aplicativo confidencial.

Selecione o tipo de cliente. Os tipos de cliente disponíveis são Confiável e Confidencial. Escolha Confiável se o cliente puder gerar asserções de usuário autoassinadas. Em seguida, para importar o certificado de assinatura que o cliente usa para assinar sua asserção autoassinada, clique em Importar certificado.

Selecione um dos algoritmos de criptografia de conteúdo.

Se ativado, esse atributo substituirá o atributo Exigir consentimento para todos os escopos configurados para o aplicativo; assim, nenhum escopo exigirá consentimento.

Selecione uma das seguintes opções para permitir que um aplicativo cliente acesse recursos autorizados:

• Todos – Acesse qualquer recurso dentro de um domínio (Todos). Consulte Acessando Todos os Recursos.

• Específico – Acesse apenas os recursos em que exista uma associação explícita entre o cliente e o recurso (Específico). Consulte Acessando Recursos com Escopos Específicos.

Observação: A opção para definir um recurso autorizado só está disponível para aplicativos Confidenciais. O escopo confiável não pode ser definido para aplicativos móveis.

Se você quiser que seu aplicativo acesse APIs de outros aplicativos, marque Adicionar recursos na seção Política de emissão de token. Em seguida, na janela Adicionar escopo, selecione os aplicativos aos quais seu aplicativo faz referência.

Observação: Você pode excluir escopos clicando no ícone x ao lado do escopo. No entanto, você não pode excluir escopos protegidos.

Marque Adicionar atribuições de aplicativo. Na janela Adicionar atribuições de aplicativo, selecione as atribuições de aplicativo que você deseja designar a esse aplicativo. Isso permite que seu aplicativo acesse as APIs REST que cada uma das atribuições de aplicativo designadas pode acessar.

Por exemplo, selecione Administrador de Domínio de Identidades na lista. Todas as tarefas da API REST disponíveis para o administrador de domínio de identidades poderão ser acessadas por seu aplicativo.

Você pode excluir as atribuições de aplicativo selecionando a atribuição e clicando em Remover.

Observação: Não é possível excluir atribuições de aplicativo protegidas.