Types d'octroi
Un type d'autorisation indique le mécanisme d'autorisation utilisé par le client pour récupérer le jeton d'identification et le jeton d'accès auprès de Verify. Vous pouvez choisir parmi les options suivantes : code d'autorisation, autorisation implicite, code d'autorisation et autorisation implicite, flux d'appareil, identifiants du propriétaire de la ressource, JWT, autorisation basée sur le contexte, jeton d'actualisation et échange de jetons.
| Caractéristiques | Code préautorisé | Code d'autorisation | Implicite | Code d'autorisation et Implicite |
|---|---|---|---|---|
| Descriptif | /preauth Le point de terminaison de pré-autorisation renvoie un code de pré-autorisation. Le code préautorisé est échangé contre un jeton d'accès. /tokenL'authentification du client est requise pour obtenir un jeton d'accès auprès du point de terminaison des jetons. |
Le noeud final d'autorisation L'authentification du client est requise avec un ID et un secret client pour
l'extraction du jeton d'ID ou du jeton d'accès depuis le noeud final de jeton
Il s'agit du flux le plus couramment utilisé. |
Le noeud final d'autorisation Il n'utilise pas de code d'autorisation ni de noeud final de jeton |
Il permet à l'avant-plan et à l'arrière-plan du client de recevoir les jetons indépendamment les uns des autres. Le client obtient un code d'autorisation et des jetons depuis le noeud final
d'autorisation |
| Cas d'utilisation | Utilisé dans le cadre de la délivrance de certificats lorsque :
|
Utilisez cette option pour les clients qui peuvent conserver un secret client de manière sécurisée, comme les applications Web et les applications mobiles natives. Il sert à authentifier l'utilisateur et le client. |
Utilisez cette option pour les clients qui ne peuvent pas conserver un secret client, comme les applications de navigateur ou JavaScript. Elle permet d'authentifier l'utilisateur. |
Utilisez cette option pour les clients qui :
|
| Valeur de type de réponse | Non applicable |
|
|
|
| Tous les jetons sont renvoyés depuis le noeud final d'autorisation. | Non applicable | Non | Oui | Non |
| Tous les jetons sont renvoyés depuis le noeud final de jeton. | Oui | Oui | Non | Non |
| Les jetons ne sont pas exposés à l'agent utilisateur. | Oui | Oui | Non | Non |
| L'application client peut être authentifiée. | Oui | Oui | Non | Oui |
| Génération de jetons d'actualisation. | Oui | Oui | Non | Oui |
| Communication en un aller-retour | Non | Non | Oui | Non |
| Communication interserveur majoritairement | Oui | Oui | Non | Variable |
| Suggestion de connexion (login_hint) | Non | Oui Il peut s'agir du nom d'utilisateur sous forme de chaîne, par
exemple
john@ibm.com, ou sous forme de code JSON, par exemple. Lorsque vous utilisez une valeur JSON, le domaine représente le domaine source d'identité. |
Oui Il peut s'agir du nom d'utilisateur sous forme de chaîne, par
exemple
john@ibm.com, ou sous forme de code JSON, par exemple. Lorsque vous utilisez une valeur JSON, le domaine représente le domaine source d'identité. |
Oui Il peut s'agir du nom d'utilisateur sous forme de chaîne, par
exemple
john@ibm.com, ou sous forme de code JSON, par exemple. Lorsque vous utilisez une valeur JSON, le domaine représente le domaine source d'identité. |
| Ancienneté maximale de l'authentification (max_age) | Non applicable | Cette valeur correspond au temps écoulé admis, en secondes, depuis la dernière authentification de l'utilisateur. Cet attribut s'applique uniquement aux sessions de connexion Cloud Directory. | Cette valeur correspond au temps écoulé admis, en secondes, depuis la dernière authentification de l'utilisateur. Cet attribut s'applique uniquement aux sessions de connexion Cloud Directory. | Cette valeur correspond au temps écoulé admis, en secondes, depuis la dernière authentification de l'utilisateur. Cet attribut s'applique uniquement aux sessions de connexion Cloud Directory. |
| Flux de travaux |
|
|
|
|
| Caractéristiques | Flux de dispositifs | Données d'identification du mot de passe du propriétaire de la ressource | JWT |
|---|---|---|---|
| Descriptif | Il permet au client d'être habilité avec un code Quick Response ou un code utilisateur qui est envoyé à une URL. | Le client et l'utilisateur doivent s'authentifier avec un ID client, un secret client, un nom d'utilisateur et un mot de passe pour pouvoir extraire le jeton d'accès et le jeton d'ID depuis le noeud final de jeton/jeton. Le nom d'utilisateur et le mot de passe sont validés à l'aide de Cloud Directory. | Défini dans RFC7523. Permet à un client de présenter un JWT signé ou chiffré, ou signé et chiffré, en échange d'un octroi. Le JWT est validé par le serveur d'autorisation et l'identité au sein du JWT est utilisée comme sujet de l'octroi. |
| Cas d'utilisation | Utilisez cette option pour les clients qui :
|
Ce type d'octroi peut être activé, mais ne l'utilisez que si aucun autre flux
n'est disponible. Il peut être utilisé pour :
|
Il existe une relation de confiance établie entre le serveur d'autorisation (Verify) et une entité qui émet des jetons JWT. Le client obtient un JWT auprès de l'entité émettrice du JWT et le présente au serveur d'autorisation en échange d'un octroi. L'entité émettrice du JWT peut avoir ses propres exigences, qui doivent être satisfaites avant l'émission d'un JWT (par exemple, l'authentification alternative et les contrôles d'autorisation). |
| Valeur de type de réponse | Non applicable | Non applicable | Non applicable |
| Tous les jetons sont renvoyés depuis le noeud final d'autorisation. | Non | Non | Non |
| Tous les jetons sont renvoyés depuis le noeud final de jeton. | Oui | Oui | Oui |
| Les jetons ne sont pas exposés à l'agent utilisateur. | Oui | Oui | Oui |
| L'application client peut être authentifiée. | Oui | Oui | Oui |
| Génération de jetons d'actualisation. | Oui | Oui | Oui |
| Communication en un aller-retour | |||
| Communication interserveur majoritairement | |||
| Suggestion de connexion (login_hint) | Non | Non | Non |
| Ancienneté maximale de l'authentification (max_age) | Non applicable | ||
| Flux de travaux |
|
|
|
| Caractéristiques | Autorisation contextuelle | Actualiser le jeton | Echange de jetons |
|---|---|---|---|
| Descriptif | Flux géré par API dans lequel des vérifications d'authentification et d'autorisation supplémentaires sont effectuées. Avant qu'un octroi ne soit émis pour le client, une authentification multi-facteur peut être requise. | L'authentification du client et de l'utilisateur est requise à l'aide d'un identifiant client, d'un secret client et d'un jeton de rafraîchissement afin d'obtenir un nouvel ensemble de jetons d'accès, de jetons d'identification et de jetons de rafraîchissement auprès du point de terminaison des jetons /token. Le jeton d'actualisation doit correspondre au même identifiant de client. Les valeurs des attributs associés au jeton ne sont pas actualisées au cours de ce flux. | Définie dans RFC8693. Permet à un client de présenter un jeton en vue de l'échanger contre un autre jeton. |
| Cas d'utilisation |
|
Utilisez ce type d'autorisation pour obtenir un nouvel ensemble de jetons d'accès, avec une durée de validité renouvelée. Cela permet de limiter la durée de validité du jeton d'accès sans pour autant obliger l'utilisateur à se reconnecter pour en obtenir un nouveau. |
|
| Valeur de type de réponse | Non applicable | Non applicable | Non applicable |
| Tous les jetons sont renvoyés depuis le noeud final d'autorisation. | Non | Non | Non |
| Tous les jetons sont renvoyés depuis le noeud final de jeton. | Oui | Oui | Oui |
| Les jetons ne sont pas exposés à l'agent utilisateur. | Oui | Oui | Oui |
| L'application client peut être authentifiée. | Oui | Oui | Oui |
| Génération de jetons d'actualisation. | Oui | Oui | Oui |
| Communication en un aller-retour | Oui | ||
| Communication interserveur majoritairement | Oui | ||
| Suggestion de connexion (login_hint) | Non | Non | Non |
| Ancienneté maximale de l'authentification (max_age) | Non applicable | Non | |
| Flux de travaux |
Remarque :
|
|
|