Adición de una aplicación confidencial

Las aplicaciones confidenciales se ejecutan en un servidor protegido.

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Aplicaciones integradas.
  3. Haga clic en Agregar aplicación.
  4. En la ventana Agregar aplicación, haga clic en Aplicación confidencial y, a continuación, en Iniciar flujo de trabajo.
  5. En la página Agregar detalles de aplicación, utilice la siguiente tabla para configurar los detalles de la aplicación y los valores de visualización.
    Opción Descripción
    Nombre

    Introduzca un nombre para la aplicación confidencial. Puede introducir un máximo de 125 caracteres.

    Para las aplicaciones con nombres largos, el nombre de la aplicación aparece truncado en la página Mis aplicaciones. Tenga en cuenta que los nombres de la aplicación son lo más cortos posible.

    Descripción

    Introduzca una descripción para la aplicación confidencial. Puede introducir un máximo de 250 caracteres.

    Icono de aplicación

    Haga clic en Cerrar (X) en la ventana del icono de aplicación para suprimir el icono de aplicación por defecto y, a continuación, agregue su propio icono para la aplicación. Este icono aparece junto al nombre de la aplicación en la página Mis aplicaciones y en la página Aplicaciones.

    URL de Aplicación

    Introduzca la URL (HTTP o HTTPS) a la que se redirecciona al usuario después de conectarse correctamente. Este valor también se conoce como el parámetro RelayState de SAML. Se sugiere el formato HTTPS. Utilice HTTP solo para fines de prueba.

    Para las aplicaciones empresariales , la URL de la aplicación es la URL que desea que utilicen los usuarios para acceder a la aplicación empresarial. Utilice el nombre de host y el número de puerto del gateway de aplicación. Si tiene varias instancias del gateway de aplicación, utilice el nombre de host y el número de puerto del equilibrador de carga.

    URL de conexión personalizada

    En el campo URL de conexión personalizada, especifique una URL de conexión personalizada. No obstante, si utiliza una página de conexión por defecto proporcionada por IAM, deje este campo en blanco.

    URL de desconexión personalizada

    En el campo URL de desconexión personalizada, especifique una URL de desconexión personalizada. No obstante, si utiliza una página de conexión por defecto proporcionada por IAM, deje este campo en blanco.

    URL de error personalizada

    Este campo es opcional. Introduzca la URL de la página de error a la que se debe redirigir a un usuario si se produce un fallo. Si no se especifica, se utiliza la URL de la página de error específica del inquilino. Si ambas URL de error no están configuradas, el error se redirigirá a la página de error de IAM (/ui/v1/error).

    Cuando un usuario intenta utilizar la autenticación social (por ejemplo, de Google, Facebook, etc.) para conectarse a IAM, la URL de devolución de llamada se debe configurar en el campo URL de error personalizada. Los proveedores sociales necesitan esta URL de devolución de llamada para llamar a IAM y enviar la respuesta después de la autenticación social. La URL de devolución de llamada proporcionada se utiliza para verificar si el usuario existe o no (si se trata de una primera conexión social) y mostrar un error si ha fallado la autenticación social. Esta es la URL a la que se envía la llamada con los detalles del usuario de registro social si no existe una cuenta de usuario social conectada correctamente en IAM.

    URL de devolución de llamada de enlace social personalizada

    Este campo es opcional. Introduzca la URL a la que IAM puede redirigir después de que se haya completado el enlace de un usuario entre proveedores sociales e IAM.

    Cuando crea una aplicación personalizada mediante el SDK personalizado de IAM y la integrar con la conexión social de IAM, la aplicación personalizada debe tener la URL de devolución de llamada de enlace que se puede redirigir después de que se haya completado el enlace del usuario entre el proveedor social e IAM.

    Mostrar en Mis aplicaciones

    Seleccione esta casilla de control si desea que se muestre la aplicación confidencial a los usuarios en sus páginas de Mis aplicaciones. En este caso, debe configurar la aplicación como servidor de recursos.

    Si selecciona la casilla de control Mostrar en mis aplicaciones en las aplicaciones, la aplicación estará visible en la página Mis aplicaciones, pero la selección de esta casilla de control no activa ni desactiva la SSO en la aplicación.

    El indicador para activar o desactivar la SSO proviene de la plantilla de aplicación.

    El usuario puede solicitar acceso

    Seleccione la casilla de control si desea que los usuarios finales puedan solicitar acceso a la aplicación desde su página Mis aplicaciones haciendo clic en Agregar acceso. Si el autoservicio no está activado, los usuarios no verán el botón Agregar acceso.

    Para las aplicaciones confidenciales: Forzar permisos como autorización

    Para las aplicaciones de empresa: El usuario debe tener otorgada esta aplicación

    Si desea que IAM controle el acceso a la aplicación según los permisos para usuarios y grupos, seleccione esta opción. Si desactiva esta opción, cualquier usuario autenticado tendrá acceso a la aplicación.

  6. Haga clic en Siguiente.
  7. En el panel Configurar OAuth, para proteger los recursos de la aplicación ahora y hacer que la aplicación esté visible en la página Mis aplicaciones, haga clic en Configurar esta aplicación como un servidor de recursos ahora
    Utilice la siguiente tabla para proporcionar la información necesaria para configurar esta aplicación como un servidor de recursos.
    Opción Descripción
    Caducidad de token de acceso (segundos)

    Defina durante cuánto tiempo (en segundos) seguirá siendo válido el token de acceso asociado a su aplicación confidencial.

    Permitir refrescamiento de token

    Seleccione esta casilla de control si desea utilizar el token de refrescamiento que ha obtenido al utilizar los tipos de permiso Propietario de recurso, Código de autorización o Afirmación.

    Caducidad de token de refrescamiento (segundos)

    Defina cuánto tiempo (en segundos) seguirá siendo válido el token de refrescamiento, que se devuelve con el token de acceso y está asociado a la aplicación confidencial.

    Público principal

    Introduzca el destinatario principal en el que se procesa el token de acceso de la aplicación confidencial.

    Agregar destinatario secundario

    Introduzca el destinatario secundario en el que se procesa el token de acceso de la aplicación confidencial y haga clic en Agregar. El destinatario secundario aparecerá en la columna Destinatario secundario y la columna Protección le permitirá saber si el destinatario secundario está protegido o no.

    Agregar ámbitos

    Para especificar a qué partes de otras aplicaciones desea que tenga acceso la aplicación, agregue esos ámbitos a la aplicación confidencial.

    Las aplicaciones deben interactuar de forma segura con el partner externo o las aplicaciones confidenciales. Además, las aplicaciones de un servicio de Oracle Cloud deben interactuar de forma segura con las aplicaciones de otro servicio de Oracle Cloud. Cada aplicación tiene ámbitos de aplicación que determinan cuáles de sus recursos están disponibles para otras aplicaciones.

  8. En el panel Configurar OAuth, haga clic en Configurar esta aplicación como un cliente ahora.
    Utilice la siguiente tabla para proporcionar la información necesaria para configurar esta aplicación como cliente.
    Opción Descripción
    Propietario de recurso Se utiliza cuando el propietario del recurso tiene una relación de confianza con la aplicación confidencial, como un sistema operativo informático o una aplicación con muchos privilegios, ya que la aplicación confidencial debe desechar la contraseña después de usarla para obtener el token de acceso.
    Credenciales de cliente

    Se utiliza cuando el ámbito de autorización está limitado a los recursos protegidos bajo el control del cliente o a los recursos protegidos registrados en el servidor de autorización.

    El cliente presenta sus propias credenciales para obtener un token de acceso. Este token de acceso está asociado a los recursos propios del cliente, no a un propietario de recurso concreto, o bien está asociado a un propietario de recurso para el que el cliente está autorizado a actuar de cualquier otro modo

    Afirmación JWT

    Utilice esta opción si desea usar una relación de confianza existente expresada como afirmación y sin un paso de aprobación de usuario directo en el servidor de autorización.

    El cliente solicita un token de acceso proporcionando una afirmación de token web JSON de usuario (JWT) o una afirmación JWT de usuario de terceros y credenciales de cliente. Una Afirmación JWT es un paquete de información que facilita el uso compartido de la información de identidad y seguridad en los dominios de seguridad.

    Afirmación SAML2

    Utilice esta opción si desea usar una relación de confianza existente expresada como afirmación SAML2 y sin un paso de aprobación de usuario directo en el servidor de autorización.

    El cliente solicita un token de acceso proporcionando una afirmación SAML2 de usuario o una afirmación SAML2 de usuario de terceros y credenciales de cliente. Una Afirmación SAML2 es un paquete de información que facilita el uso compartido de la información de identidad y seguridad en los dominios de seguridad.

    Token de refrescamiento Seleccione este tipo de permiso cuando desee que el servidor de autorización proporcione un token de refrescamiento y, a continuación, utilícelo para obtener un nuevo token de acceso. Los tokens de refrescamiento se utilizan cuando el token de acceso actual deja de ser válido o caduca y no es necesario que el propietario del recurso vuelva a autenticarse.
    Código de autorización

    Seleccione este tipo de permiso cuando desee obtener un código de autorización mediante un servidor de autorización como intermediario entre la aplicación cliente y el propietario del recurso.

    Mediante un redireccionamiento del explorador se devuelve un código de autorización al cliente después de que el propietario del recurso dé su consentimiento al servidor de autorización. A continuación, el cliente intercambia el código de autorización por un token de acceso (y a menudo por un token de refrescamiento). Las credenciales del propietario del recurso nunca se exponen al cliente.

    Implícito

    Si la aplicación no puede mantener la confidencialidad de las credenciales del cliente para su uso en la autenticación con el servidor de autorización, seleccione esta casilla de control. Por ejemplo, la aplicación se implanta en un explorador web mediante un lenguaje de scripts, como JavaScript. Se devuelve un token de acceso al cliente mediante un redireccionamiento del explorador en respuesta a la solicitud de autorización del propietario del recurso (en lugar de una autorización intermedia).

    Código del dispositivo

    Seleccione el tipo de permiso Código de dispositivo si el cliente no tiene la capacidad de recibir solicitudes del servidor de autorización OAuth; por ejemplo, si no puede actuar como servidor HTTP, como las consolas de juegos, los reproductores de medios de transmisión o los marcos de imágenes digitales, entre otros.

    En este flujo, el cliente obtiene el código de usuario, el código de dispositivo y la URL de verificación. A continuación, el usuario accede a la URL de verificación en un explorador independiente para aprobar la solicitud de acceso. Solo entonces puede el cliente obtener el token de acceso mediante el código de dispositivo.

    Autenticación de cliente TLS

    Seleccione el tipo de permiso Autenticación de cliente TLS para utilizar el certificado de cliente para autenticarse con el cliente. Si una solicitud de token incluye un certificado de cliente X.509 y el cliente solicitado está configurado con el tipo de permiso Autenticación de cliente TLS, el servicio OAuth utiliza el Client_ID de la solicitud para identificar al cliente y validar el certificado de cliente con el certificado de la configuración de cliente. El cliente se autenticará correctamente solo si estos dos valores coinciden.

    Para mayor seguridad, antes de activar el tipo de permiso Autenticación de cliente TLS, active y configure la validación OCSP e importe un certificado de partner de confianza.

    Permitir URL HTTP

    Seleccione esta casilla de control si desea utilizar URL HTTP para los campos URL de redirección, URL de desconexión o URL de redirección posterior a la desconexión. Por ejemplo, si envía solicitudes internamente, desea una comunicación no cifrada o desea ser compatible con versiones anteriores de OAuth 1.0, puede utilizar una URL HTTP.

    Además, seleccione esta casilla de control cuando esté desarrollando o probando la aplicación y es posible que no haya configurado SSL. Esta opción no se recomienda para despliegues de producción.

    URL de redirección

    Introduzca la URL de la aplicación a la que se redirige al usuario después de la autenticación.

    Nota: Proporcione una URL absoluta. Las URL relativas no se admiten.

    URL de redirección posterior a la desconexión

    Introduzca la URL a la que desea redirigir al usuario después de desconectarse de la aplicación.

    URL de cierre de sesión

    Introduzca la URL a la que se redirige al usuario después de desconectarse de la aplicación confidencial.

    Tipo de cliente

    Seleccione el tipo de cliente. Los tipos de cliente disponibles son De confianza y Confidencial. Seleccione De confianza si el cliente puede generar afirmaciones de usuario autofirmadas. A continuación, para importar el certificado de firma que utiliza el cliente para firmar su afirmación autofirmada, haga clic en Importar certificado.

    Operaciones permitidas
    • Seleccione la casilla de control Introspección si desea permitir el acceso a un punto final de introspección de token para la aplicación.

      Si la aplicación confidencial no puede mantener la confidencialidad de las credenciales del cliente para su uso en la autenticación con el servidor de autorización, seleccione esta casilla de control. Por ejemplo, la aplicación confidencial se implementa en un explorador web mediante un lenguaje de scripts como JavaScript.

      Se devuelve un token de acceso al cliente mediante un redireccionamiento del explorador en respuesta a la solicitud de autorización del propietario del recurso (en lugar de un código de autorización intermedia).

    • Seleccione la casilla de control En nombre de si desea asegurarse de que los privilegios de acceso solo se puedan generar a partir de los privilegios de usuario. Esto permite a la aplicación cliente acceder a los puntos finales a los que tiene acceso el usuario aunque la aplicación cliente por sí misma no tuviera acceso normalmente.

    Algoritmo de cifrado de token de ID

    Seleccione uno de los algoritmos de cifrado de contenido.

    Omitir consentimiento

    Si está activado, este atributo sobrescribe el atributo Requerir consentimiento para todos los ámbitos configurados para la aplicación, por lo que ningún ámbito requerirá consentimiento.

    Dirección IP del Cliente
    • Cualquier ubicación: la solicitud de token está permitida desde cualquier ubicación. No hay perímetro.
    • Restringir por perímetro de red: seleccione los perímetros de red para que una solicitud de token solo esté permitida desde estos.
    Recursos autorizados

    Seleccione una de las siguientes opciones para permitir a una aplicación cliente acceder a recursos autorizados:

    Nota: La opción para definir un recurso autorizado solo está disponible para las aplicaciones confidenciales. No se puede definir el ámbito de confianza para las aplicaciones móviles.

    Agregar recursos

    Si desea que la aplicación acceda a las API desde otras aplicaciones, marque Agregar recursos en la sección Política de emisión de tokens. A continuación, en la ventana Agregar ámbito, seleccione las aplicaciones a las que hace referencia la aplicación.

    Nota: Puede suprimir ámbitos haciendo clic en el icono x situado junto al ámbito. Sin embargo, no puede suprimir ámbitos protegidos.

    Agregar roles de aplicación

    Marque Agregar roles de aplicación. En la ventana Agregar roles de aplicación, seleccione los roles de aplicación que desea asignar a esta aplicación. Esto permite a la aplicación acceder a las API de REST a las que puede acceder cada uno de los roles de aplicación asignados.

    Por ejemplo, seleccione Administrador de dominio de identidad en la lista. La aplicación podrá acceder a todas las tareas de la API de REST disponibles para el administrador del dominio de identidad.

    Puede suprimir los roles de aplicación seleccionando el rol de aplicación y haciendo clic a continuación en Eliminar.

    Nota: No puede suprimir los roles de aplicación protegidos.

  9. Haga clic en Siguiente.
  10. Configure la política de nivel web. Importe una política de nivel web existente o edite manualmente la política en el Modo simple rellenando los campos o en el Modo avanzado editando un archivo JSON.
  11. Agregue los recursos que desee proteger.
  12. Haga clic en Terminar.
    La aplicación se agregará en estado desactivado.
  13. Registre el Client ID y el Client secret en el cuadro de diálogo Application added.
    Para integrarlo con la aplicación confidencial, utilice este identificador y este secreto como parte de la configuración de conexión. El ID de cliente y el Secreto de cliente equivalen a una credencial (por ejemplo, un identificador y una contraseña) que utiliza la aplicación para comunicarse con IAM.
  14. Haga clic en Cerrar.

    Aparecerá a la página de detalles de la nueva aplicación.

  15. En la parte superior de la página, a la derecha del nombre de la aplicación, haga clic en Activar.
  16. Confirme la activación.
  17. En la sección Recursos:
    1. Haga clic en Información de consentimiento y, a continuación, agregue la información de consentimiento.
    2. Haga clic en Usuarios o en Grupos para agregar usuarios y grupos a la aplicación.