Provedor de Segurança - OpenID Connect¶
O provedor de segurança OpenID Connect habilita o suporte para OpenID Connect 1.0. O provedor de segurança é capaz de autenticar usuários e autorizar solicitações de serviços web.
Os seguintes tipos de fonte de dados oferecem suporte ao OpenID Connect:
-
DESCANSAR
-
OData O
-
RDBMS (limitado a provedores CData suportados)
Configuração¶
O provedor de segurança OpenID Connect oferece suporte ao OpenID Connect Discovery protocolo.
No mínimo, o OpenID Connect requer:
-
Credenciais do cliente (
client_ideclient secret). -
endpoint do emissor OpenID Connect.
Autenticação¶
As propriedades de autenticação determinam os esquemas de concessão e autenticação do OAuth.
-
Tipo de autenticação: OpenID Connect.
-
Proprietário do token: Determina se os tokens são emitidos para usuários individuais ou para o sistema cliente. As opções incluem:
-
Usuário: Os tokens são emitidos para usuários individuais.
-
Cliente: Os tokens são emitidos para o sistema cliente.
-
-
Exclusão de token ao sair: Quando habilitado, App Builder exclui o token armazenado quando o usuário faz logout. Padrão: Desativado.
Endpoints¶
| Tipo | Descrição |
|---|---|
OpenID Connect Issuer | O endpoint Issuer é usado para resolver o endpoint Discovery e validar o token de segurança. O documento Discovery será recuperado do caminho /.well-known/openid-configuration abaixo do endpoint do Emissor. |
Propriedades¶
O provedor de segurança OpenID Connect suporta os seguintes parâmetros adicionais:
| Parâmetro | Padrão | |
|---|---|---|
ExpiresIn | Expiração do token de acesso em segundos. Pode ser usado se o endpoint do token não fornecer uma expiração e o servidor de recursos não retornar um 401 Unauthorizedresposta quando o token de acesso expirar. | |
LogPII | False | Indica que informações pessoalmente identificáveis (PII) devem ser registradas. Esta configuração entra em vigor na inicialização. |
ReplaceIssuerTenantId | False | Indica se o emissor deve ser transformado, substituindo o placeholder do ID do locatário por um valor de reivindicação. Este é um shim de compatibilidade para emissores da Microsoft que pode conter um {tenantid} espaço reservado. |
Scopes | openid profile | Lista delimitada por espaços em branco de escopos OpenID Connect. |
RefreshRequiresScopes | False | Indica se os escopos (scope) deve ser incluído no corpo da solicitação enviada ao endpoint do token ao atualizar o token de acesso. |
Reivindicações¶
Os tokens de segurança OpenID Connect são JSON Web Tokens (JWT). JWTs consistem em uma coleção de declarações. As declarações padrão do OpenID Connect são documentadas aqui:
https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims
A tabela a seguir descreve os mapeamentos de reivindicação padrão:
| Identificador | Propósito | Descrição |
|---|---|---|
| sub | Identificador de nome | Identificador único e imutável usado para mapear a identidade de externo para um App Builder usuário. |
| preferred_username | Nome | Nome de usuário. |
| nome | Nome completo | Nome completo. |
| apelido | Nome de exibição | Nome amigável. |
| Endereço de Email | Endereço de Email. | |
| phone_number | Número de telefone | Número de telefone. |