Configuration des paramètres généraux de l'application OIDC
Configurer les paramètres du fournisseur d' OpenID Connect qui s'appliquent aux applications OpenID Connect de ce tenant.
Procédure
- Sélectionnez Applications > Paramètres de l'application > Paramètres généraux OIDC.
- Fournissez à Verify les informations de base concernant les paramètres généraux.
Zone Descriptif Nom d'hôte de l'émetteur Le nom d'hôte de l'émetteur JWT. Il doit s'agir du nom d'hôte du locataire ou de l'un des noms d'hôte personnalisés. La chaîne complète de l'émetteur est https://{issuerHostname}/oidc/endpoint/default. URL de base pour les noeuds finaux MTLS L' URL e de base des points de terminaison MTLS doit inclure des schémas de protocole similaires à https . Durée de vie du jeton d'identification La durée de vie du jeton d'identification, en secondes. Maximum 2 147 483 647, minimum 1. Option de tolérance aux pannes du jeton d'actualisation L'action qui est effectuée après l'utilisation du jeton d'actualisation. Cet attribut propose deux options. - Durée de validité du jeton d'actualisation avec tolérance aux pannes
- Si la durée de vie restante du jeton de rafraîchissement utilisé est supérieure à la valeur de Refresh token fault tolerance lifetime, la réduire à la valeur de Refresh token fault tolerance lifetime.
- Révoquer
- Le jeton de rafraîchissement utilisé est immédiatement révoqué. La durée de vie restante n'est pas prise en compte.
- Ne pas retourner
- Aucun nouveau jeton d'actualisation n'est créé lors de l'actualisation. Le même jeton d'actualisation est renvoyé dans la réponse et conserve la durée de vie du jeton d'origine.
Durée de validité du jeton d'actualisation avec tolérance aux pannes La durée, en secondes, pendant laquelle le jeton d'actualisation reste valide après son utilisation. Le jeton d'actualisation peut être réutilisé si le client ne reçoit pas les nouveaux jetons lors d'une actualisation des jetons. Cette valeur n'est pas utilisée si la durée de validité restante du jeton d'actualisation est inférieure. Maximum 2 147 483 647, minimum 1. Décalage temporel de validation du JWT Le décalage en secondes utilisé lors de la validation des paramètres iat,nbf, etexpdans tout JWT entrant.iat- L'heure à laquelle le jeton a été créé.
nbf- Le jeton ne peut être utilisé qu'à partir de cette heure-là.
exp- La durée de validité du JWT.
Intervalle d'interrogation du flux de l'appareil L'intervalle de sondage du flux de périphériques, en secondes. Maximum 3 600, minimum 2. Durée de vie du code de flux de l'appareil La durée de vie en secondes du code de périphérique et du code utilisateur dans le flux de périphériques. Maximum 1 800, minimum 1. Longueur du secret client La longueur du secret client généré automatiquement. 25 au maximum, 8 au minimum. Durée de vie du secret pivotée La durée de validité par défaut, en jours, du secret client renouvelé. Maximum 90, minimum 0. Appliquer l'authentification du client au point de terminaison d'authentification des appareils Paramètre permettant d'imposer l'authentification du client lorsque le flux d'autorisation « authorization-grant » de l'appareil OAuth est déclenché. Clé par défaut pour la signature La clé de signature JWT par défaut. Clé par défaut pour le chiffrement La clé de chiffrement JWT par défaut. Exclure 'x5c' de la sortie JWKS Le paramètre permettant d'exclure « x5c » dans JWKS. Exclure 'x5t' et 'x5t#S256' de la sortie JWKS Paramètre permettant d'exclure « x5t » et « x5t#S256 » dans JWKS. Autoriser l'échange des jetons d'accès contre une session SSO Échange de jetons d'accès pour la session SSO. Autoriser : les jetons d'accès peuvent être échangés contre une session SSO.
Autoriser et révoquer un jeton : les jetons d'accès peuvent être échangés contre une session SSO, mais le jeton est révoqué.
Refus : les jetons d'accès ne peuvent pas être utilisés pour une session SSO.
Ajouter d'autres propriétés aux métadonnées du fournisseur d' OpenID s { "additionalMetadata": "some value" }Echange de jetons Une courte période, exprimée en secondes, qui est ajoutée avant ou après l'heure d'expiration officielle d'un jeton d'identification. Il tient compte des éventuels décalages d'horloge ou des retards réseau entre les systèmes. Cette fenêtre permet d'éviter que des jetons valides ne soient rejetés à tort en raison de légers décalages temporels entre l'émetteur du jeton et le vérificateur. Portées pour la mise en correspondance des revendications Associés OAuth ou OpenID Associez des champs de portée à des champs d'informations utilisateur spécifiques, appelés « claims ». Lorsqu'un client demande certains champs d'application, le serveur d'autorisation utilise ce mappage pour déterminer quelles revendications inclure dans les jetons émis ou dans les réponses contenant les informations utilisateur. URI JWKS de l'émetteur L 'URI à l'adresse de laquelle la partie de confiance publie ses clés publiques au format JSON Web Keys ( JWK ). Cet URI sert à la vérification de la signature JWT. - Configurez Verify avec des paramètres génériques d'échange de jetons.
Zone Descriptif Plage de tolérance pour l'expiration des jetons d'identification Le délai, en secondes, après l'expiration, pendant lequel le jeton d'identification peut encore être utilisé pour l'échange de jetons. Si cette option n'est pas activée, l'expiration du jeton d'identification n'est pas vérifiée. Maximum 86 400, minimum 5. - Cliquez sur « Enregistrer les modifications ».