Proveedor de Seguridad: OpenID Connect¶
El proveedor de seguridad OpenID Connect habilita la compatibilidad con OpenID Connect 1.0. El proveedor de seguridad es capaz tanto de autenticar usuarios como de autorizar solicitudes de servicios web.
Los siguientes tipos de fuentes de datos admiten OpenID Connect:
- DESCANSAR
- OData
- RDBMS (limitado a proveedores de CData compatibles)
Configuración¶
El proveedor de seguridad OpenID Connect admite OpenID Connect Discovery protocolo.
Como mínimo, OpenID Connect requiere:
- Credenciales del cliente (client_id y client secret)
- extremo del emisor OpenID Connect
Autenticación¶
Las propiedades de autenticación determinan los esquemas de autenticación y concesión de OAuth.
- Tipo de autenticación: OpenID Connect
- Propietario del token: determina si los tokens se emiten a usuarios individuales o al sistema cliente. Las opciones incluyen:
- Usuario - Los tokens se emiten a usuarios individuales.
- Cliente - Los tokens se emiten al sistema del cliente.
- Eliminar token al cerrar sesión: cuando está habilitado, Vinyl elimina el token almacenado cuando el usuario cierra sesión. Valor predeterminado: deshabilitado. Versión: 3.3.34523+.
Extremos¶
| Tipo | Descripción |
|---|---|
| Emisor de OpenID Connect | El extremo del Emisor se utiliza para resolver el extremo de Descubrimiento y validar el token de seguridad. El documento Discovery se recuperará de la ruta. /.well-known/openid-configuration debajo del extremo del Emisor. |
Propiedades¶
El proveedor de seguridad OpenID Connect admite los siguientes parámetros adicionales:
| Parámetro | Predeterminado | Ejemplo | |
|---|---|---|---|
| Expira en | 3600 | Caducidad del token de acceso en segundos. Se puede utilizar si el extremo del token no proporciona una caducidad y el servidor de recursos no devuelve un 401 Unauthorized respuesta cuando el token de acceso ha caducado. | |
| LogPII | False | Indica que se debe registrar información de identificación personal (PII). Esta configuración entra en vigor al iniciar. | |
| ReplaceIssuerTenantId | False | Indica si el emisor debe transformarse, reemplazando el marcador de posición del ID del inquilino con un valor de reclamo. Esta es una corrección de compatibilidad para emisores de Microsoft que puede contener una {tenantid} marcador de posición. | |
| Ámbitos | openid profile | Lista delimitada por espacios en blanco de ámbitos de OpenID Connect. |
Reclamos¶
Los tokens de seguridad de OpenID Connect son tokens web JSON (JWT). Los JWT consisten en una colección de reclamos. Las afirmaciones estándar de OpenID Connect están documentadas aquí:
https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims
La siguiente tabla describe las asignaciones de notificaciones predeterminadas:
| Identificador | Propósito | Descripción |
|---|---|---|
| sub | Identificador de nombre | Identificador único e inmutable utilizado para asignar la identidad de un externo a un usuario de Vinyl. |
| nombre_usuario_preferido | Nombre | Nombre de usuario. |
| nombre | Nombre completo | Nombre completo. |
| apodo | Nombre para mostrar | Nombre amigable. |
| correo | Dirección de Correo | Dirección de Correo. |
| número_teléfono | Número de teléfono | Número de teléfono. |