Proveedor de Seguridad: OpenID Connect¶
El proveedor de seguridad OpenID Connect permite la compatibilidad con OpenID Connect 1.0. El proveedor de seguridad es capaz de autenticar usuarios y autorizar solicitudes de servicios web.
Los siguientes tipos de fuentes de datos admiten OpenID Connect:
-
DESCANSAR
-
OData
-
RDBMS (limitado a los proveedores CData compatibles)
Configuración¶
El proveedor de seguridad OpenID Connect admite OpenID Connect Discovery protocolo.
Como mínimo, OpenID Connect requiere:
-
Credenciales del cliente (
client_idyclient secret). -
extremo del emisor de OpenID Connect.
Autenticación¶
Las propiedades de autenticación determinan la concesión de OAuth y los esquemas de autenticación.
-
Tipo de autenticación: OpenID Connect.
-
Propietario del token: Determina si los tokens se emiten a usuarios individuales o al sistema cliente. Las opciones incluyen:
-
Usuario: Los tokens se emiten a usuarios individuales.
-
Cliente: Los tokens se emiten al sistema cliente.
-
-
Eliminar token al cerrar sesión: cuando está habilitado, App Builder elimina el token almacenado cuando el usuario cierra sesión. Predeterminado: Deshabilitado.
Extremos¶
| Tipo | Descripción |
|---|---|
OpenID Connect Issuer | El extremo del emisor se utiliza para resolver el extremo de Discovery y validar el token de seguridad. El documento de Discovery se recuperará de la ruta /.well-known/openid-configuration debajo del extremo del emisor. |
Propiedades¶
El proveedor de seguridad OpenID Connect admite los siguientes parámetros adicionales:
| Parámetro | Predeterminado | |
|---|---|---|
ExpiresIn | Vencimiento del token de acceso en segundos. Se puede utilizar si el extremo del token no proporciona un vencimiento y el servidor de recursos no devuelve un 401 Unauthorizedrespuesta cuando el token de acceso ha expirado. | |
LogPII | False | Indica que se debe registrar la información de identificación personal (PII). Esta configuración entra en vigencia al iniciar el sistema. |
ReplaceIssuerTenantId | False | Indica si se debe transformar el emisor, reemplazando el marcador de posición de ID de inquilino con un valor de reclamación. Se trata de una corrección de compatibilidad para los emisores de Microsoft que puede contener un {tenantid} marcador de posición.TABLEROWEND |
Scopes | openid profile | Lista delimitada por espacios en blanco de ámbitos de OpenID Connect. |
RefreshRequiresScopes | False | Indica si los ámbitos (scope) debe incluirse en el cuerpo de la solicitud enviada al extremo del token al actualizar el token de acceso. |
Reclamos¶
Los tokens de seguridad de OpenID Connect son JSON Web Tokens (JWT). Los JWT consisten en una colección de reclamaciones. Las reclamaciones estándar de OpenID Connect están documentadas aquí:
https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims
La siguiente tabla describe las asignaciones de reclamaciones predeterminadas:
| Identificador | Propósito | Descripción |
|---|---|---|
| sub | Identificador de nombre | Identificador único e inmutable utilizado para asignar la identidad de externo a un App Builder usuario. |
| nombre_de_usuario_preferido | Nombre | Nombre de usuario. |
| nombre | Nombre completo | Nombre completo. |
| apodo | Nombre para mostrar | Nombre descriptivo. |
| correo | Dirección de Correo | Dirección de Correo. |
| phone_number | Número de teléfono | Número de teléfono. |