Configuración del inicio de sesión único en las aplicaciones de « OpenID » de Connect for Open Banking

Editar en línea

Utilice OpenID Connect for Open Banking para permitir que las aplicaciones verifiquen la identidad de sus usuarios basándose en la autenticación que realiza IBM® Verify. No es necesario que los usuarios abran una cuenta con la aplicación. Los usuarios son redirigidos a Verify para iniciar sesión. Verify verifica las identidades de los usuarios, envía la información a través de una señal de ID y confirma con la entidad de confianza que los usuarios tienen autorización a acceder y utilizar el recurso. https://<tenant-host>/oauth2/.well-known/openid-configurationEsta aplicación utiliza el nuevo proveedor « OpenID Connect» con el punto de conexión de detección.

Antes de empezar

  • Debe tener permiso administrativo para completar esta tarea.
  • Abra al menos dos ventanas de navegador para completar la configuración. Uno para la Verify consola de administración y otro para la consola de administración de la aplicación de destino.
    • Inicia sesión en la Verify consola de administración.
    • Inicie la sesión en la consola de administración de aplicaciones de destino con su cuenta de administrador.
  • Debe configurar la información básica para la instancia de aplicación en la pestaña General. Consulte la sección «Configuración de los datos básicos de la aplicación ».

Acerca de esta tarea

Al añadir una aplicación, seleccione la plantilla de aplicación « OpenID Connect for Open Banking» para configurar una aplicación que actúe como parte de confianza de OpenID Connect o como aplicación cliente que delegue la autenticación de los usuarios a Verify.

Configure Verify y la entidad de confianza para que hablen entre sí. Para habilitar el inicio de sesión único de OpenID Connect, debe proporcionar:

  • Verify con determinados datos de la entidad de confianza.
  • La entidad de confianza con determinados datos de Verify.

Puede configurar IBM Verify Access y aplicaciones móviles como partes dependientes de OpenID Connect.

Procedimiento

  1. Ve a la pestaña «Inicio de sesión ».
  2. Proporcione a Verify información básica acerca de la entidad de confianza.
    Tabla 1. Información sobre la parte que confía
    Campo Descripción
    Dirección URL de la aplicación

    Se trata del proceso de inicialización del inicio de sesión único ( URL ) que se utiliza para iniciar sesión en la entidad de confianza OpenID Connect.

    La aplicación utiliza este enlace URL para solicitar Verify el token de identificación que contiene los datos del usuario.

    Cuando los usuarios acceden a la aplicación a través de este enlace URL, se les redirige a Verify para que se identifiquen.

    Puede obtener esta información de la entidad de confianza al configurar un proveedor de autorización o un proveedor de OpenID Connect en su ubicación.
    Tipos de concesión

    Indica el mecanismo que la parte que confía puede utilizar para recuperar el token de identificación de Verify.

    OpenID Connect for Open Banking da soporte a los siguientes tipos de otorgamiento:
    • Código de autorización
    • Implícito
    • Credenciales de cliente
    • Código de autorización e implícito (flujo híbrido)
    • Intercambio de señales
    • Portador JWT
    • Flujo de dispositivos
    • Autorización basada en contexto

    Debe seleccionar al menos un tipo de otorgamiento. Consulte «Tipos de subvención» para ver una comparación rápida de los tipos de subvención admitidos y determinar qué tipo de subvención debe seleccionar para la solicitud.
    Tipos de respuesta Los tipos de respuesta indican al servidor de autorización el flujo de procesamiento de autorización deseado.
    Nota: Cuando se edita una solicitud existente que no tiene tipos de respuesta configurados, se aplican por defecto todos los tipos de respuesta aplicables a los tipos de concesión que se hayan habilitado.
    OpenID Connect admite los siguientes tipos de respuesta:
    • none
    • code
    • token
    • id_token
    • code token
    • code id_token
    • token id_token
    • code token id_token

    Si se selecciona el tipo de respuesta code o none, se habilita la modalidad de respuesta query. De lo contrario, el modo query de respuesta se borra y se desactiva.
    Modalidades de respuesta La modalidad de respuesta indica cómo el servidor de autorización devuelve los parámetros de resultado del punto final de autorización.
    OpenID Connect for Open Banking da soporte a las modalidades de respuesta siguientes:
    • Consulta
    • Fragmento
    • Formulario POST
    • Consultar JWT
    • Fragmento JWT
    • Formulario POST JWT
    ID de cliente

    Es el identificador público único que se asigna a la aplicación cliente, que es la parte de confianza de OpenID Connect. El servidor de autorización utiliza esta información para identificar la entidad de confianza y la solicitud de autorización.

    Esta información se genera automáticamente tras guardar la aplicación « OpenID Connect ». Debe proporcionar esta información a la entidad de confianza cuando configure Verify como proveedor de OpenID Connect en la consola de administración de la aplicación.

    La entidad de confianza utiliza el ID de cliente cada vez que solicita una señal de acceso.
    Cliente público (sin secreto de cliente)

    Indica que el cliente no tiene ningún secreto que la aplicación debe proporcionar.

    Genere un secreto de cliente solo si el tipo de cliente es confidencial. Los clientes confidenciales pueden conservar el ID de cliente y secreto de un modo seguro y no muestran estas credenciales a entidades no autorizadas.

    Un secreto de cliente debe ser conocido sólo para la aplicación cliente y para el servidor de autorización.
    Nota: Al seleccionar esta opción, el campo del secreto de cliente queda oculto.
    Secreto de cliente

    Estos datos se utilizan junto con el ID de cliente para autenticar la entidad de confianza y para intercambiar un código de autorización para una señal de ID.

    Esta información se genera automáticamente tras guardar la aplicación « OpenID Connect ». Debe proporcionar esta información a la entidad de confianza cuando configure Verify como proveedor de OpenID Connect en la consola de administración de la aplicación.
    URI de redirección

    Es el URL de devolución de llamada; la dirección donde Verify envía su respuesta de autenticación a la entidad de confianza.

    Los usuarios son redirigidos a esta página URL una vez que han sido autenticados y autorizados por Verify.

    Debe especificar al menos un URI.

    Puede añadir un máximo de 400 URI.

    Puede obtener esta información de la entidad de confianza cuando configure un proveedor de autorización o Proveedor de OpenID Connect en su sitio.
    Método de autenticación de cliente
    Verifique los métodos de autenticación de cliente siguientes:
    • Valor predeterminado
    • Secreto de cliente básico
    • POST de secreto de cliente
    • JWT de clave privada
    • TLS mutuo

    Si se deja como valor predeterminado, se permiten tanto el secreto de cliente básico como POST. Si este cliente es un cliente público, el secreto de cliente básico y POST no están permitidos. Si la entidad de confianza la soporta, utilice la clave privada JWT o TLS mutua como configuración. Para obtener más información sobre la autenticación de clientes de «Mutual TLS », consulte OpenID. Conecte la autenticación de clientes de «Mutual TLS » y el token de acceso vinculado a un certificado.

    Para obtener más información sobre el JWT con secreto de cliente y el JWT con clave privada, consulta «Crear el JWT con secreto de cliente y el JWT con clave privada ».
    Validar JTI de aserción de cliente

    Indica si la JTI en la JWT de aserción de cliente se valida para un solo uso. Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.
    Algoritmo de firma de aserción del cliente Esta opción solo aparece cuando se selecciona el método de autenticación de cliente JWT con clave privada.
    Atributo de autenticación de cliente TLS El atributo de certificado que se utiliza para la autenticación. Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.
    • DN de asunto
    • DNS SAN
    • URI SAN
    • IP SAN
    • Dirección de correo electrónico SAN
    Valor de atributo de autenticación de cliente TLS El valor del atributo en el certificado que se utiliza para la autenticación. Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.
    Requiere verificación de clave de prueba para el intercambio de código (PKCE) PKCE se utiliza para mitigar los ataques de intercepción de código de autorización. Requiere una interpelación de código antes de que el flujo de código de autorización pueda continuar. Esta opción se muestra solo cuando el flujo de otorgamiento del código de autorización está seleccionado.
    Requerir solicitud de autorización enviada (PAR) PAR permite a los clientes enviar por push la carga útil de una solicitud de autorización al servidor de autorización mediante una solicitud directa y les proporciona un URI de solicitud que se utiliza como referencia a los datos en una llamada posterior al punto final de autorización.
    Permitir el canje de tokens de acceso por una sesión de SSO Intercambio de tokens de acceso para la sesión de SSO.
    • Permitir: Los tokens de acceso se pueden canjear por una sesión de SSO.
    • Conceder y revocar un token: los tokens de acceso se pueden canjear por una sesión de SSO, pero el token se revoca.
    • Denegado: Los tokens de acceso no se pueden canjear por una sesión de SSO.
    • Por defecto: La configuración general de la aplicación OIDC determina si los tokens de acceso pueden intercambiarse para una sesión de SSO.
    Si está editando la aplicación existente, puede utilizar las siguientes opciones de secreto de cliente:
    • Seleccione Mostrar para ver el secreto de cliente.
    • Seleccione Ocultar para ocultar el secreto de cliente.
    • Selecciona Copiar esta opción para copiar el ID de cliente o el secreto en el portapapeles.
    • Selecciona Lista esta opción para ver los secretos de cliente rotados.
      • Selecciona uno o varios secretos de cliente renovados de la lista y haz clic en «Eliminar» para borrarlos.
    • Seleccione Volver a generar para generar un nuevo secreto de cliente. Utilice esta opción si piensa que el secreto de cliente está comprometido. Si vuelve a generar el secreto de cliente, debe actualizar el secreto de cliente en todos los clientes OAuth de la aplicación.
      • Marca la casilla «Conservar el secreto actual » para añadir el secreto de cliente actual a la lista de secretos de cliente rotados.
      • Si la casilla «Conservar el secreto actual» está marcada, selecciona la descripción del secreto del cliente y la fecha de caducidad (en la hora local del navegador). Si no se selecciona ningún plazo de caducidad, se aplicará el «Plazo de vigencia del secreto rotado» del inquilino establecido en la configuración de la aplicación.
      • Los secretos de cliente rotados se someten a un proceso de hash y ya no se pueden recuperar en texto sin cifrar, pero pueden seguir utilizándose hasta la fecha de caducidad seleccionada.
      • Tras la confirmación, el secreto de cliente se renueva inmediatamente. El nuevo secreto de cliente aparece en pantalla.
  3. Configura los ajustes de JWT.
    Tabla 2. Configuración de JWT
    Campo Descripción
    URI JWKS El URI donde la entidad de confianza publica sus claves públicas en formato JWKS (JSON Web Keys Set). Este URI se utiliza para la verificación de firmas JWT o el cifrado. El sistema puede rechazar un URI de JWKS no alcanzable o que no responde. El sistema también puede rechazar el URL de JWKS si el tamaño de JWKS es demasiado grande. Si la entidad de confianza no publica un URI de JWKS, se puede añadir una clave pública, en forma de un certificado X509, en el sistema. Cons ulte «Gestión de certificados». El 'nombre descriptivo' asociado al certificado público es el valor de la cabecera de ID de clave (kid) de JWT.
    Claves de verificación de firma permitidas

    Los ID de clave de verificación de firma que se pueden utilizar para verificar la JWT de la aserción de cliente. Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.
    Identificación de usuario JWT de tipo «bearer». Disponible únicamente para el tipo de concesión JWT «bearer». Esta configuración indica al sistema cómo se interpreta el sujeto de titular de JWT (sub) para identificar al usuario que está asociado a esta señal de titular de JWT. El «sub» puede ser el del usuarioID, elUsername o elExternal ID.
    Fuente de identidad predeterminada para JWT Bearer. Disponible únicamente para el tipo de concesión JWT Bearer. Si el JWT no especifica el ámbito, se utilizará por defecto el ámbito de la fuente de identidad a la que pertenece el usuario identificado por el sub. Cuando laJWT bearer user identification opción está activadaUser ID, esta configuración no es aplicable.
  4. Configura los ajustes del objeto Request.
    Tabla 3. Solicitar la configuración del objeto
    Campo Descripción
    Solo parámetros de objeto de solicitud Requerir que todos los parámetros de solicitud estén en el objeto de solicitud.
    Algoritmo de firma El algoritmo con el que Verify espera que se firme el objeto de solicitud.
    Elija uno para verificar la firma entre los siguientes algoritmos hash:
    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
    Requerir reclamación de caducidad Es necesario que el objeto de solicitud contenga la propiedad «expiry'exp' ».
    Validez (segs) La cantidad máxima de tiempo (en segundos) que el objeto de solicitud puede ser válido. Esto se calcula restando la fecha de caducidad'exp' de las marcas de tiempo «no antes'nbf' de» que figuran en el objeto de solicitud.
    URI de solicitud El URL de un recurso que contiene un objeto de solicitud. Solo se permitirán los URI de solicitud registrados aquí durante la solicitud de autorización.
  5. Configure la señal de acceso y caducidad de señal de renovación para limitar el tiempo de acceso no autorizado en caso de robo de estas señales.

    La señal de acceso se utiliza para autorizar el acceso al recurso protegido. Cuando la señal de acceso caduca, se revoca la autorización.

    Tabla 4. Configuración de tokens
    Campo Descripción
    Caducidad de señal de acceso (seg)

    Establece la longitud del tiempo en segundos transcurrido el cual la señal de acceso caduca.

    Establezca una caducidad de señal de acceso para limitar el tiempo en que un atacante puede acceder al recurso con la señal robada cuando la aplicación cliente está comprometida.

    Solo se permiten enteros positivos.

    El valor predeterminado es 7200 segundos. El valor mínimo permitido es 1 y el máximo es 2147483647 segundos.
    Formato de la señal de acceso: Especifica el formato de la señal de acceso. Las siguientes opciones están disponibles:
    • valor predeterminado
    • JWT
    Audiencias Especifica los destinos que son los destinatarios de la señal. Estos valores aparecen en laaud solicitud de tokens con formato JWT y en la carga útil de introspección, ya sea como una sola cadena o como una matriz de cadenas.
    Generar señal para renovación

    Indica si la aplicación cliente puede solicitar y utilizar un token de actualización para obtener un nuevo token de acceso del servidor de autorización del proveedor de identidades OpenID Connect.

    Solo es necesario obtener una nueva señal de acceso si la anterior ha caducado.

    Esta opción no es relevante si "Implícito" es el único Tipo de otorgamiento que ha seleccionado.
    Caducidad de señal de renovación (seg)

    Establece la longitud del tiempo en segundos transcurrido el cual la señal de renovación caduca. Este valor determina la frecuencia con la que el usuario debe volver a autenticarse.

    Configura la caducidad del token de actualización para garantizar que el usuario vuelva a intentar la operación completa de Verify inicio de sesión único tras un tiempo determinado.

    Esta opción solo se muestra si ha habilitado Generar señal para renovación.

    Una señal de renovación se utiliza para obtener una nueva señal de acceso para continuar con el acceso al recurso protegido.

    Solo se permiten enteros positivos.

    El valor predeterminado es 604800 segundos. El valor mínimo permitido es 1 y el máximo es 2147483647 segundos.
  6. Especifique las opciones de cifrado y firma de señal de ID. La entidad de confianza utiliza la firma para verificar la integridad y autenticidad de las reclamaciones de usuario contenidas en la señal y el proveedor de identidad de OpenID Connect que ha firmado la señal. La señal se puede cifrar para que sólo la entidad de confianza pueda descifrarla.
    Tabla 5. Opciones de firma y cifrado
    Campo Descripción
    Algoritmo de firma

    El algoritmo que Verify utiliza para firmar la señal de ID. El algoritmo debe coincidir con el que la entidad de confianza ha registrado con Verify.

    Elija uno para verificar la firma entre los siguientes algoritmos hash:
    • RS256
    • PS256
    • ES256
    • RS384
    • PS384
    • ES384
    • RS512
    • PS512
    • ES512
    Nota:
    • Si se selecciona el algoritmo de firma ES256, el certificado debe ser ECDSA con P-256.
    • Si se selecciona el algoritmo de firma ES384, el certificado debe ser ECDSA con P-384.
    • Si se selecciona el algoritmo de firma ES512, el certificado debe ser ECDSA con P-521.
    Certificado de firma

    Esta opción sólo se visualiza si ha seleccionado cualquiera de los algoritmos de firma RS, ES o PS.

    Utilice este certificado para firmar la señal de ID durante el inicio de sesión único.

    La selección predeterminada hace referencia al certificado personal predeterminado que has configurado en Seguridad > Certificados > Certificados personales.
    Algoritmo de cifrado El algoritmo criptográfico utilizado para cifrar o determinar el valor de la clave de cifrado de contenido (CEK).
    Se admiten los siguientes algoritmos:
    • RSA-OAEP
    • RSA-OAEP-256
    Algoritmo de contenido El algoritmo de cifrado de contenido que se utiliza para realizar el cifrado autenticado en el texto sin formato para producir el texto cifrado y el código de autenticación.
    Se admiten los siguientes algoritmos:
    • A128GCM
    • A192GCM
    • A256GCM
    Clave de cifrado La etiqueta de certificado o el ID de clave de la clave que se debe utilizar para el cifrado.
  7. Configura los ajustes de «Prueba de posesión». Para más información, consulte «Cómo demostrar la prueba de posesión» ( DPoP ).
    Tabla 6. Configuración de la prueba de posesión
    Campo Descripción
    Señales de acceso con certificado enlazado Indica si las señales generadas están enlazadas al certificado. Para obtener más información sobre los tokens de acceso vinculados a certificados, consulta «Autenticación mutua de clientes en OpenID Connect TLS y tokens de acceso vinculados a certificados ».
    Imponer señales de acceso enlazadas a DPoP Indica si se requiere el encabezado « DPoP » para las solicitudes de token.
    Validar JTI de JWT de DPoP Indica si el JTI incluido en el JWT de DPoP está validado para un solo uso.
    Algoritmo de firma para JWT de DPoP

    El algoritmo de firma previsto para el JWT de DPoP.

    Elige entre los siguientes algoritmos:

    • RS256

    • RS384

    • RS512

    • PS256

    • PS384

    • PS512

    • ES256

    • ES384

    • ES512
  8. Especifica las opciones de configuración del modo de respuesta de autorización protegida por JWT (JARM). La parte que confía utiliza la firma para verificar la integridad y la autenticidad de los tokens que contiene la respuesta JWT. El JWT también puede cifrarse de modo que solo la parte que confía en él pueda descifrarlo.
    Tabla 7. Modo de respuesta de autorización protegida por JWT
    Campo Descripción
    Algoritmo de firma El algoritmo que utiliza Verify para firmar la respuesta JWT. El algoritmo debe coincidir con el que la parte que confía haya registrado en Verify.
    Elige entre los siguientes algoritmos de hash:
    • RS256
    • PS256
    • ES256
    • RS384
    • PS384
    • ES384
    • RS512
    • PS512
    • ES512
    Nota:
    • Si se selecciona el algoritmo de firma ES256, el certificado debe ser ECDSA con P-256.
    • Si se selecciona el algoritmo de firma ES384, el certificado debe ser ECDSA con P-384.
    • Si se selecciona el algoritmo de firma ES512, el certificado debe ser ECDSA con P-521.
    Certificado de firma Esta opción sólo se visualiza si ha seleccionado cualquiera de los algoritmos de firma RS, ES o PS. Utiliza este certificado para firmar la respuesta JWT durante el inicio de sesión único.

    La selección predeterminada hace referencia al certificado personal predeterminado que ha configurado en Seguridad > Certificados > Certificados personales.
    Algoritmo de cifrado El algoritmo criptográfico utilizado para cifrar o determinar el valor de la clave de cifrado de contenido (CEK).
    Se admiten los siguientes algoritmos:
    • RSA-OAEP
    • RSA-OAPE-256
    Algoritmo de contenido El algoritmo de cifrado de contenido que se utiliza para realizar el cifrado autenticado en el texto sin formato para producir el texto cifrado y el código de autenticación.
    Se admiten los siguientes algoritmos:
    • A128GCM
    • A192GCM
    • A256GCM
    Clave de cifrado La etiqueta de certificado o el ID de clave de la clave que se debe utilizar para el cifrado.
  9. Configura los ajustes de intercambio de tokens.
    Tabla 8. Intercambio de tokens
    Campo Descripción
    Señal de asunto El tipo de token del token en cuestión, que representa la identidad de la parte en cuyo nombre se solicita el token.
    Señal de actor El tipo de token del token de actor, que representa la identidad de la parte a la que se delegan los derechos de acceso del token emitido.
    Señal solicitada

    El tipo de tokens cuya generación se puede solicitar como parte del intercambio de tokens.

    Token de transacción : este token de seguridad de un solo uso contiene información contextual sobre una transacción, acción, recurso o solicitud concretos, lo que permite una autorización muy precisa para esa operación en particular. Al seleccionar el token, se muestra el mosaico «Contexto de la transacción», desde donde puedes configurar el contexto utilizando una expresión CELx. Consulta «Token de transacción» para obtener más detalles.
    Nota: El token de transacción es una función que se puede solicitar; VDEV-186514: «Securing AI Agents». Para solicitar esta función, ponte en contacto con tu representante de ventas de IBM o con IBM e indica tu interés en activar esta función. También puedes crear un ticket de asistencia indicando el número de la función, si tienes permiso para ello. IBM Verify Las suscripciones de prueba no permiten crear tickets de asistencia.
    Grupos de clientes La lista de grupos de clientes de OpenID Connect. Los tokens generados por este cliente pueden utilizarse como token de referencia para el intercambio de tokens dentro del mismo grupo. Si esta lista está vacía, cualquier cliente puede utilizar los tokens generados por este cliente como token de sujeto para el intercambio de tokens.
    Se requiere un token de actor Se requiere un token de actor como parte de la solicitud de intercambio de tokens. Esta acción aplica el escenario de delegación y deshabilita el escenario de suplantación de identidad.
    Contexto de la transacción El campo «Contexto de la transacción» solo es visible cuando el «Tóken solicitado» está configurado como «Tóken de transacción ». Este campo no es aplicable a otros tipos de tokens. Consulta «Token de transacción» para obtener más detalles.
  10. Configura los ajustes de flujo del dispositivo.
    Tabla 9. Flujo de dispositivos
    Campo Descripción
    Generar código QR para el flujo de dispositivos Indica si se genera un código QR junto con el código de usuario.
  11. Configure las correlaciones de solicitud y respuesta para cada uno de los puntos finales.
    1. Configure la correlación de solicitud y respuesta para el punto final de autorización.
      • La correlación de solicitudes está disponible para solicitud de consentimiento, contexto de autorización e ID de intención. Consulte « OpenID : asignación de solicitudes de Connect para solicitudes de consentimiento», « OpenID : asignación de solicitudes de Connect para el contexto de autorización» y « OpenID : asignación de solicitudes de Connect para el ID de intención de Open Banking» para obtener más información sobre cada uno de estos parámetros.
      • La correlación de respuestas permite añadir parámetros y cabeceras a la respuesta. Consulta la asignación de solicitudes y respuestas de « OpenID Connect ».
    2. Configure la correlación de respuestas para el punto final de señal.
    3. Configure la correlación de introspección para añadir y modificar atributos devueltos desde el punto final de introspección.
      Consulta « OpenID : Connect introspect, token de identificación y asignación de información del usuario ».
    4. Configure la información de usuario y la correlación de atributos de señal de ID para añadir y modificar atributos devueltos desde el punto final userinfo y en la señal de ID.
      Consulta OpenID para conocer la asignación entre Connect Introspect, el token de identificación y la información del usuario.
  12. Selecciona los proveedores de identidad y la política que determinan cómo pueden acceder los usuarios a la aplicación.
    1. Selecciona los proveedores de identidad que se pueden utilizar para iniciar sesión en esta aplicación.

      La configuración predeterminada permite el acceso desde todos los proveedores de identidad corporativos que estén configurados para el inquilino. Para limitar los proveedores de identidad que se pueden utilizar para iniciar sesión en la aplicación, seleccione «Seleccionar proveedores de identidad compatibles específicos ». Marque las casillas de los proveedores de identidad desde los que desea permitir el inicio de sesión.

    2. Seleccione la política que determina cómo los usuarios pueden acceder a la aplicación.
      Puede seguir utilizando la política de acceso predeterminada que se le ha asignado. También puedes desmarcar la casilla de verificación y seleccionar el Editar para elegir entre la lista de políticas de acceso predefinidas. Para obtener más información, consulta «Políticas de acceso ». Una vez seleccionada una política de acceso, elija aplicar dicha política a los tipos de autorización de la API marcando la casilla correspondiente a cada tipo de autorización.
  13. Seleccione si desea solicitar el consentimiento del usuario.
    La solicitud de consentimiento del usuario se puede añadir a las aplicaciones de OpenID Connect. Si el valor predeterminado, Solicitar consentimiento, permanece seleccionado, se solicita al usuario que otorgue su consentimiento explícito a los ámbitos y a otra información de transacción. Si se ha seleccionado No solicitar consentimiento, no se recopila ningún consentimiento, pero la solicitud de autorización es satisfactoria. Si se selecciona la opción «Solicitar solo los consentimientos pendientes », se pedirá al usuario que dé su consentimiento únicamente para aquellos aspectos sobre los que aún no lo haya dado.
  14. Restringir ámbitos personalizados.
    Un cliente OIDC/OAuth puede solicitar ámbitos personalizados en los flujos de otorgamiento de OIDC/OAuth soportados. Si Restringir ámbitos personalizados está habilitado, que es el valor predeterminado, los ámbitos otorgados al cliente al final del flujo se limitan a los ámbitos especificados en esta sección. Si no se ha habilitado Restringir ámbitos personalizados, se otorga cualquier ámbito personalizado solicitado cuando el flujo se completa.
    openidNota: Los ámbitos estándar, profile, email, phone, y address no pueden restringirse.
    1. Asegúrese de que la casilla «Restringir ámbitos personalizados» esté marcada.
    2. Escriba el nombre del ámbito personalizado que desea otorgar y una descripción.
      El nombre de ámbito es el ámbito OAuth2/OIDC solicitado por una entidad de confianza/cliente. La descripción es una explicación descriptiva del ámbito.
      Se muestra otro conjunto de campos de ámbito.
    3. Repita el paso anterior para cada ámbito personalizado que desee otorgar.
  15. Restringir los datos de autorización
    Un cliente OIDC/ OAuth puede solicitar los datos de autorización en los flujos de concesión OIDC/ OAuth compatibles. Si se activa la opción «Restringir detalles de autorización », los detalles de autorización concedidos al final del flujo se limitarán a aquellos que se especifiquen en esta sección. Si la opción «Restringir detalles de autorización» está desactivada, cualquier detalle de autorización solicitado se concede una vez finalizado el flujo.
    1. Asegúrese de que la casilla «Restringir detalles de autorización» esté marcada.
    2. Comprueba si la opción «Ignorar datos de autorización desconocidos» está activada.
    3. Introduzca o seleccione el nombre del tipo de detalle de autorización que desea conceder. Puedes editar y definir una regla personalizada adicional para filtrar las solicitudes en función de una propiedad del JSON de los detalles de autorización. Por ejemplo, si el tipo de detalle de autorización es resource_access e incluye una location propiedad, la solicitud solo se podrá autorizar cuando la ubicación sea Japón. En ese caso, la regla sería: requestContext.ad.location == 'Japan'.
    4. Haga clic en «Añadir» y repita el paso anterior para cada tipo de detalle de autorización que desee conceder.
  16. Otorgar titularidades de API a la señal de inicio de sesión.
    Restringir el acceso de API es el valor predeterminado para las nuevas aplicaciones. La aplicación no tiene titularidades de señal de inicio de sesión. Para otorgar titularidades para el acceso de API, realice los pasos siguientes.
    1. Seleccione el icono Editar.
      Se inicia el asistente Editar cliente de API.
    2. Seleccione los permisos de usuario y no usuario que desee otorgar a la señal de inicio de sesión.
      Si marca la casilla «Permisos predeterminados para los tokens de usuario» o desmarca la casilla «Restringir el acceso a la API», se concederá un conjunto de derechos predeterminados para los tokens de usuario. Consulte los derechos de la API de tokens de inicio de sesión predeterminados.
    3. Selecciona «Guardar ».
  17. Selecciona «Guardar ».

Qué hacer a continuación