Configuração do logon único nas aplicações do Connect for Open Banking da OpenID

Editar online

Use o OpenID Connect for Open Banking para permitir que os aplicativos verifiquem a identidade de seus usuários com base na autenticação que é realizada por IBM® Verify. Os usuários não precisam se inscrever para obter uma conta no aplicativo. Os usuários são redirecionados para Verify para fazer o login. O Verify verifica as identidades dos usuários, envia as informações por meio de um token de ID e confirma com o terceiro confiável que os usuários estão autorizados a acessar e usar o recurso. https://<tenant-host>/oauth2/.well-known/openid-configurationEste aplicativo utiliza o novo provedor OpenID Connect com o endpoint de descoberta.

Antes de começar

Deve-se ter permissão administrativa para concluir esta tarefa.
Abra pelo menos duas janelas do navegador para concluir a configuração. Um para o Verify console de administração e outro para o console de administração do aplicativo de destino.
- Faça login no console Verify de administração.
- Efetue login no console de administração do aplicativo de destino com sua conta de administrador.
Deve-se configurar as informações básicas para a instância do aplicativo na guia Geral. Consulte a seção “Configurando os detalhes básicos do aplicativo ”.

Sobre esta tarefa

Ao adicionar um aplicativo, selecione o modelo de aplicativo “ OpenID Connect for Open Banking” para configurar um aplicativo que atue como uma parte confiável do OpenID Connect ou como um aplicativo cliente que delegue a autenticação dos usuários ao Verify.

Configure Verify e o terceiro confiável para falar um com o outro. Para ativar a conexão única do OpenID Connect, deve-se fornecer:

Verify com certos dados do terceiro confiável.
O terceiro confiável com certos dados de Verify.

É possível configurar IBM Verify Access e aplicativos móveis como terceiros confiáveis do OpenID Connect.

Procedimento

Vá até a guia "Login".

Forneça ao Verify as informações básicas sobre o terceiro confiável.

Tabela 1. Informações sobre a parte confiável
Campo	Descrição
URL do aplicativo	Trata-se do endereço de inicialização do logon único URL, utilizado para fazer login na parte confiável do OpenID Connect. O aplicativo utiliza este endereço URL para solicitar Verify o token de identificação que contém os dados do usuário. Quando os usuários acessam o aplicativo através deste link URL, eles são redirecionados para Verify para autenticação. É possível obter essas informações da parte confiável ao configurar um provedor de autorização ou um provedor de conexão OpenID em seu site.
Tipos de Concessão	Isso indica o mecanismo que a parte confiável pode usar para recuperar o token de identificação de Verify. O OpenID Connect for Open Banking suporta os tipos de concessão a seguir: Código de autorização Implícito Credenciais do cliente Código de autorização e implícito (fluxo híbrido) Troca de token Portador de JWT Fluxo de dispositivo Autorização baseada em contexto Deve-se selecionar pelo menos um tipo de concessão. Consulte Tipos de subsídio para uma comparação rápida dos tipos de subsídio disponíveis e para determinar qual tipo de subsídio definir para a solicitação.
Tipos de resposta	Os tipos de resposta informam ao servidor de autorização o fluxo de processamento de autorização desejado. Observação: ao editar um aplicativo existente que não tenha tipos de resposta configurados, o padrão será todos os tipos de resposta aplicáveis aos tipos de concessão que foram ativados. OpenID O Connect suporta os seguintes tipos de resposta: `none` `code` `token` `id_token` `code token` `code id_token` `token id_token` `code token id_token` Se o tipo de resposta `code` ou `none` for selecionado, o modo de resposta `query` será ativado. Caso contrário, o modo `query` de resposta é desativado.
Modos de resposta	O modo de resposta indica como o servidor de autorizações retorna parâmetros de resultado do terminal de autorização. O OpenID Connect for Open Banking suporta os modos de resposta a seguir: Consulta Fragmento Formulário POST Consultar JWT Fragmento JWT Formulário POST JWT
ID do Cliente	É o identificador público exclusivo atribuído ao aplicativo cliente, que é a parte confiável do OpenID Connect. O servidor de autorização usa essas informações para identificar a parte dependente e a solicitação de autorização. Essas informações são geradas automaticamente após você salvar o aplicativo " OpenID Connect ". Deve-se fornecer essas informações para o terceiro confiável ao configurar Verify como um provedor OpenID Connect no console de administração do aplicativo. O terceiro confiável usa o ID do cliente toda vez que ele solicitar um token de acesso.
Cliente público (nenhum segredo do cliente)	Indica que o cliente não tem nenhum segredo que precisa ser fornecido pelo aplicativo. Gerar um segredo de cliente somente se o tipo de cliente for confidencial. Clientes confidenciais podem manter o ID do cliente e o segredo de uma maneira segura e não mostram essas credenciais para partes não autorizadas. Um segredo de cliente deve ser conhecido apenas para o aplicativo cliente e para o servidor de autorização. Observação: ao selecionar esta opção, o campo do segredo do cliente fica oculto.
Segredo do cliente	Esses dados são usados juntamente com o ID do cliente para autenticar o terceiro confiável e para trocar um código de autorização para um token de ID. Essas informações são geradas automaticamente após você salvar o aplicativo " OpenID Connect ". Deve-se fornecer essas informações para o terceiro confiável ao configurar Verify como um provedor OpenID Connect no console de administração do aplicativo.
URIs de Redirecionamento	É a URL de retorno de chamada; o endereço no qual Verify envia sua resposta de autenticação para o terceiro confiável. Os usuários são redirecionados para URL após serem autenticados e autorizados pelo Verify. Deve-se especificar ao menos um URI. É possível incluir um máximo de 400 URIs. É possível obter essas informações do terceiro confiável ao configurar um provedor de autorização ou provedor do OpenID Connect em seu site.
Método de autenticação de cliente	Verificar suporta os métodos de autenticação de cliente a seguir: Padrão Configuração básica de segredo do cliente POST de segredo do cliente JWT de chave privada TLS mútuo Se deixados como padrão, tanto a configuração básica quanto o POST de segredo do cliente são permitidos. Se este cliente for um cliente público, o Client secret basic e o POST não serão permitidos. Se o terceiro confiável suportá-lo, use a chave privada JWT ou TLS Mutual como a configuração. Para obter mais informações sobre a autenticação de cliente do Mutual TLS, consulte OpenID. Conecte a autenticação de cliente do Mutual TLS e o token de acesso vinculado a certificado. Para obter mais informações sobre o JWT com segredo de cliente e o JWT com chave privada, consulte Criar o JWT com segredo de cliente e o JWT com chave privada.
Validar o JTI de asserção de cliente	Indica se o JTI no JWT de asserção de cliente é validado para uso único. Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.
Algoritmo de assinatura de asserção do cliente	Essa opção é exibida apenas quando o método de autenticação de cliente JWT com chave privada é selecionado.
Atributo de autenticação do cliente TLS	O atributo de certificado que é usado para autenticação. Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado. DN do assunto DNS de SAN URI de SAN IP de SAN Endereço de e-mail SAN
Valor do atributo de autenticação do cliente TLS	O valor do atributo no certificado que é usado para autenticação. Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado.
Requer uma verificação de chave de prova para troca de código (PKCE)	O PKCE é usado para minimizar os ataques de intercepção de código de autorização. Ele requer um desafio de código antes que o fluxo de código de autorização possa continuar. Essa opção é exibida somente quando o fluxo de concessão do código de autorização é selecionado.
Requerer solicitação de autorização enviada por push (PAR)	O PAR permite que os clientes enviem por push a carga útil de uma solicitação de autorização para o servidor de autorização por meio de uma solicitação direta e os forneça um URI de solicitação que é usado como referência aos dados em uma chamada subsequente ao terminal de autorização.
Permitir que os tokens de acesso sejam trocados por uma sessão de SSO	Troca de tokens de acesso para a sessão de SSO. Permitir: Os tokens de acesso podem ser trocados por uma sessão de SSO. Conceder e revogar token: Os tokens de acesso podem ser trocados por uma sessão de SSO, mas o token é revogado. Negação: Os tokens de acesso não podem ser trocados por uma sessão de SSO. Padrão: As configurações gerais do aplicativo OIDC determinam se os tokens de acesso podem ser trocados para uma sessão de SSO.

Se você estiver editando um aplicativo existente, será possível usar as opções de segredo do cliente a seguir:

Selecione para visualizar o segredo do cliente.
Selecione para ocultar o segredo do cliente.
Selecione para copiar o ID do cliente ou o segredo para a área de transferência.
Selecione para visualizar os segredos de cliente atualizados.
- Selecione um ou mais segredos de cliente renovados na lista e clique em Excluir para excluí-los.
Selecione para gerar um novo segredo de cliente. Use essa opção se você achar que o segredo do cliente está comprometido. Se você gerar novamente o segredo do cliente, deverá atualizar o segredo do cliente em todos os clientes do OAuth para o aplicativo.
- Marque a caixa de seleção “Manter o segredo atual ” para adicionar o segredo do cliente atual à lista de segredos de cliente alternados.
- Se a caixa de seleção “Manter o segredo atual” estiver marcada, selecione a descrição do segredo do cliente e a data de validade (na hora local do navegador). Se não for selecionado nenhum prazo de validade, será aplicada a duração do segredo rotativo do locatário definida nas configurações do aplicativo.
- Os segredos de cliente atualizados são submetidos a um processo de hash e não podem mais ser recuperados em texto simples, mas ainda podem ser usados até a data de validade selecionada.
- Após a confirmação, o segredo do cliente é imediatamente atualizado. O novo segredo do cliente é exibido na tela.

Configure as definições do JWT.

Tabela 2. Configurações de JWT
Campo	Descrição
URI do JWKS	O URI no qual o terceiro confiável publica suas chaves públicas no formato JSON Web Keys Set (JWKS). Este URI é usado para verificação ou criptografia de assinatura JWT. O sistema pode rejeitar um URI do JWKS inacessível ou não responsivo. O sistema também pode rejeitar a URL do JWKS caso o tamanho do JWKS seja muito grande. Se a parte dependente não publicar um URI do JWKS, uma chave pública poderá ser incluída no sistema na forma de um certificado X509. Cons ulte "Gerenciamento de certificados". O `Nome Fácil` associado ao certificado público é o valor do cabeçalho do ID da chave (kid) do JWT.
Chaves permitidas de verificação de assinatura	Os IDs de chave de verificação de assinatura que podem ser usados para verificar o JWT de asserção de cliente. Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.
Identificação do usuário por JWT Bearer Disponível apenas para o tipo de concessão JWT Bearer.	Esta configuração informa ao sistema como o sujeito (sub) do portador de JWT é interpretado para identificar o Usuário que está associado a este token de acesso do JWT. O sub pode ser do usuário`ID`, o`Username` ou o`External ID`.
Fonte de identidade padrão do JWT Bearer Disponível apenas para o tipo de concessão JWT Bearer.	Se o JWT não especificar o domínio, o padrão será o domínio da fonte de identidade à qual pertence o usuário identificado pelo sub. Quando a`JWT bearer user identification` opção está definida como`User ID`, essa configuração não se aplica.

Configure as definições do objeto Request.

Tabela 3. Solicitar configurações do objeto
Campo	Descrição
Somente parâmetros de objeto de solicitação	Requerer todos os parâmetros de solicitação para estar no objeto de solicitação.
Algoritmo de assinatura	O algoritmo com o qual o Verify espera que o objeto de solicitação seja assinado. Escolha entre os seguintes algoritmos de hash para verificar a assinatura: RS256 RS384 RS512 PS256 PS384 PS512 ES256 ES384 ES512
Requerer solicitação de expiração	Exigir que o objeto de solicitação contenha a propriedade expiry`'exp'` .
Validade (segundos)	A quantia máxima de tempo (em segundos) pela qual o objeto da solicitação pode ser válido. Isso é calculado subtraindo-se a data de validade`'exp'` das marcas de tempo “não antes`'nbf'` de” no objeto da solicitação.
URIs de solicitação	A URL de um recurso que contém um objeto de solicitação. Somente URIs de solicitação registradas aqui serão permitidas durante solicitação de autorização.

Configure o token de acesso e a validação do token de atualização para limitar o tempo de acesso não autorizado quando esses tokens forem roubados.

O token de acesso é usado para autorizar o acesso ao recurso protegido. Após o token de acesso expirar, a autorização será revogada.

Tabela 4. Configurações do token
Campo	Descrição
Validade do token de acesso (s)	Configura o tempo em segundos após o qual o token de acesso expira. Configure uma validade de token de acesso para limitar o tempo em que um invasor pode acessar o recurso com o token roubado quando o aplicativo cliente estiver comprometido. Somente números inteiros positivos são permitidos. O valor padrão é de `7200` segundos. O valor mínimo permitido é de `1` segundo e o valor máximo é de `2147483647` segundos.
Formato do token de acesso	Especifica o formato do token de acesso. As opções a seguir estão disponíveis: padrão JWT
Público	Especifica os destinos que são os destinatários do token. Esses valores são listados naaud solicitação de tokens no formato JWT e na carga de introspecção, seja como uma única string ou como uma matriz de strings.
Gerar um token de atualização	Indica se o aplicativo cliente pode solicitar e usar um token de atualização para obter um novo token de acesso do servidor de autorização do provedor de identidade OpenID Connect. Só é necessário obter um novo token de acesso se o anterior expirou. Esta opção não é relevante se "Implícito" for o único Tipo de concessão que você selecionou.
Validade do token de atualização (s)	Configura o tempo em segundos após o qual o token de acesso expira. Essa configuração determina com que frequência o usuário precisa se autenticar novamente. Defina o prazo de validade do token de atualização para garantir que o usuário repita a operação completa de Verify logon único após algum tempo. Essa opção é exibida somente se você ativou Gerar Token de Atualização. Um token de atualização é usado para obter um novo token de acesso e continuar o acesso ao recurso protegido. Somente números inteiros positivos são permitidos. O valor padrão é de `604800` segundos. O valor mínimo permitido é de `1` segundo e o valor máximo é de `2147483647` segundos.

Especifique as opções de assinatura e criptografia do token de ID. O terceiro confiável usa a assinatura para verificar a integridade e a autenticidade das solicitações do usuário que estão contidas no token e no provedor de identidade OpenID Connect que assinou o token. O token pode ser criptografado para que somente o terceiro confiável possa decriptografá-lo.

Tabela 5. Opções de assinatura e criptografia
Campo	Descrição
Algoritmo de assinatura	O algoritmo que o Verify usa para assinar o token de ID. O algoritmo deve corresponder àquele que o terceiro confiável registrou com Verify. Escolha entre os seguintes algoritmos de hash para verificar a assinatura: RS256 PS256 ES256 RS384 PS384 ES384 RS512 PS512 ES512 Nota: Se o algoritmo de assinatura ES256 for selecionado, o certificado deverá ser ECDSA com P-256. Se o algoritmo de assinatura ES384 for selecionado, o certificado deverá ser ECDSA com P-384. Se o algoritmo de assinatura ES512 for selecionado, o certificado deverá ser ECDSA com P-521.
Certificado de assinatura	Esta opção será exibida apenas se você tiver selecionado algum dos algoritmos de assinatura RS, ES ou PS. Use esse certificado para assinar o token de ID durante uma conexão única. A seleção padrão refere-se ao certificado pessoal padrão que você configurou em Segurança > Certificados > Certificados Pessoais.
Algoritmo de Criptografia	O algoritmo criptográfico usado para criptografar ou determinar o valor da chave de criptografia de conteúdo (CEK). São suportados os seguintes algoritmos: RSA-OAEP RSA-OAEP-256
Algoritmo de conteúdo	O algoritmo de criptografia de conteúdo que é usado para executar a criptografia autenticada no texto simples para produzir o texto cifrado e a tag de autenticação. São suportados os seguintes algoritmos: A128GCM A192GCM A256GCM
Chave de Criptografia	O rótulo de certificado ou o ID de chave da chave a usar para criptografia.

Configure as definições de comprovação de posse. Consulte “Como comprovar a posse” ( DPoP ) para obter mais informações.

Tabela 6. Configurações de comprovação de posse
Campo	Descrição
Tokens de acesso vinculados a certificados	Indica se os tokens gerados são ligados por certificado. Para obter mais informações sobre tokens de acesso vinculados a certificados, consul te a autenticação mútua de clientes do OpenID Connect TLS e o token de acesso vinculado a certificados.
Impor tokens de acesso de limite do DPoP	Indica se o cabeçalho ` DPoP ` é obrigatório para solicitações de token.
Validar o JTI do DPoP JWT	Indica se o JTI no JWT do ` DPoP ` foi validado para uso único.
Algoritmo de assinatura para DPoP JWT	O algoritmo de assinatura esperado para o JWT do DPoP. Escolha um dos seguintes algoritmos: RS256 RS384 RS512 PS256 PS384 PS512 ES256 ES384 ES512

Especifique as opções de configuração do Modo de Resposta de Autorização Protegida por JWT (JARM). A parte confiável utiliza a assinatura para verificar a integridade e a autenticidade dos tokens contidos na resposta JWT. O JWT também pode ser criptografado de forma que apenas a parte confiável possa descriptografá-lo.

Tabela 7. Modo de resposta de autorização protegida por JWT
Campo	Descrição
Algoritmo de assinatura	O algoritmo que o Verify utiliza para assinar a resposta JWT. O algoritmo deve corresponder ao que a parte confiável registrou na Verify. Escolha um dos seguintes algoritmos de hash: RS256 PS256 ES256 RS384 PS384 ES384 RS512 PS512 ES512 Nota: Se o algoritmo de assinatura ES256 for selecionado, o certificado deverá ser ECDSA com P-256. Se o algoritmo de assinatura ES384 for selecionado, o certificado deverá ser ECDSA com P-384. Se o algoritmo de assinatura ES512 for selecionado, o certificado deverá ser ECDSA com P-521.
Certificado de assinatura	Esta opção será exibida apenas se você tiver selecionado algum dos algoritmos de assinatura RS, ES ou PS. Use este certificado para assinar a resposta JWT durante o logon único. A seleção padrão refere-se ao certificado pessoal padrão que você configurou em Segurança > Certificados > Certificados Pessoais.
Algoritmo de Criptografia	O algoritmo criptográfico usado para criptografar ou determinar o valor da chave de criptografia de conteúdo (CEK). Os seguintes algoritmos são suportados: RSA-OAEP RSA-OAPE-256
Algoritmo de conteúdo	O algoritmo de criptografia de conteúdo que é usado para executar a criptografia autenticada no texto simples para produzir o texto cifrado e a tag de autenticação. São suportados os seguintes algoritmos: A128GCM A192GCM A256GCM
Chave de Criptografia	O rótulo de certificado ou o ID de chave da chave a usar para criptografia.

Configure as definições da troca de tokens.

Tabela 8. Troca de tokens
Campo	Descrição
Token de assunto	O tipo do token em questão, que representa a identidade da parte em nome da qual o token está sendo solicitado.
Token de agente	O tipo do token do ator, que representa a identidade da parte à qual os direitos de acesso do token emitido estão sendo delegados.
Token solicitado	O tipo de tokens cuja geração pode ser solicitada como parte da troca de tokens. Token de transação : O token de segurança de uso único contém informações contextuais sobre uma transação, ação, recurso ou detalhes de uma solicitação específicos, proporcionando uma autorização detalhada para essa operação em particular. Ao selecionar o token, é exibido o bloco “Contexto da transação”, no qual você pode definir o contexto usando uma expressão CELx. Consulte “Token de transação” para obter mais detalhes. Observação: O token de transação é um recurso que pode ser solicitado; VDEV-186514: Proteção de agentes de IA. Para solicitar esse recurso, entre em contato com seu representante de vendas da IBM ou com o contato da IBM e indique seu interesse em habilitar essa funcionalidade. Você também pode criar um ticket de suporte com o número do recurso, caso tenha permissão para isso. IBM Verify Os usuários com assinaturas de teste não podem criar tickets de suporte.
Grupos de clientes	A lista de grupos de clientes do OpenID Connect. Os tokens gerados por este cliente podem ser usados como token de origem para a troca de tokens dentro do mesmo grupo. Se essa lista estiver vazia, qualquer cliente poderá usar os tokens gerados por esse cliente como token de sujeito para a troca de tokens.
Exigir token do ator	Exigir o token do ator como parte da solicitação de troca de token. Esta ação impõe o cenário de delegação e impede o cenário de representação.
Contexto da transação	O campo “Contexto da transação” só fica visível quando o “Token solicitado” está definido como “Token de transação ”. Este campo não se aplica a outros tipos de token. Consulte “Token de transação” para obter mais detalhes.

Configure as definições de fluxo do dispositivo.

Tabela 9. Fluxo de dispositivos
Campo	Descrição
Gerar código QR para o fluxo de dispositivo	Indica se um código QR é gerado juntamente com o código do usuário.

Configure mapeamentos de solicitação e de resposta para cada um dos terminais.
1. Configure o mapeamento de solicitação e resposta para o terminal de autorização.
  - O mapeamento de solicitação está disponível para solicitação de consentimento, contexto de autorização e ID de intenção. Consulte OpenID Mapeamento de solicitações do Connect para solicitações de consentimento, OpenID Mapeamento de solicitações do Connect para contexto de autorização e OpenID Mapeamento de solicitações do Connect para ID de intenção do Open Banking para obter mais informações sobre cada um desses parâmetros.
  - O mapeamento de resposta permite incluir parâmetros e cabeçalhos na resposta. Consulte o mapeamento de solicitações e respostas OpenID Connect.
2. Configure o mapeamento de resposta para o terminal do token.
  - O mapeamento de resposta permite incluir parâmetros e cabeçalhos na resposta. Consulte o mapeamento de solicitações e respostas OpenID Connect.
3. Configure o mapeamento de introspecção para incluir e modificar atributos retornados do terminal de introspecção.
  Consulte OpenID para obter informações sobre o mapeamento entre o Connect introspect, o token de identificação e as informações do usuário.
4. Configure o mapeamento de atributo de informações do usuário e do token de ID para incluir e modificar atributos retornados do terminal de informações do usuário e no token de ID.
  Consulte OpenID para obter informações sobre o mapeamento entre o Connect introspect, o token de identificação e as informações do usuário.
Selecione os provedores de identidade e a política que determinam como os usuários podem acessar o aplicativo.
1. Selecione os provedores de identidade que podem ser usados para fazer login neste aplicativo.
  
  A configuração padrão permite o acesso a partir de todos os provedores de identidade corporativos configurados para o locatário. Para limitar os provedores de identidade que podem ser usados para fazer login no aplicativo, selecione “Selecionar provedores de identidade compatíveis específicos ”. Marque as caixas de seleção dos provedores de identidade dos quais você deseja permitir o login.
2. Selecione a política que determina como os usuários podem acessar o aplicativo.
  Você pode continuar usando a política de acesso padrão que foi atribuída. Como alternativa, você pode desmarcar a caixa de seleção e clicar no botão para selecionar uma opção da lista de políticas de acesso predefinidas. Para obter mais informações, consulte Políticas de acesso. Ao selecionar uma política de acesso, opte por aplicá-la aos tipos de concessão de API marcando a caixa de seleção correspondente a cada tipo de concessão.
Selecione se deve ser pedido consentimento do usuário.
A solicitação de consentimento do usuário pode ser incluída nos aplicativos OpenID Connect. Se o padrão, Solicitar consentimento, permanecer selecionado, ao usuário será solicitado que dê consentimento explicitamente com escopos e outras informações de transação. Se Não solicitar consentimento for selecionado, nenhum consentimento será coletado, mas a solicitação de autorização será bem-sucedida. Se a opção “Solicitar apenas consentimentos não aprovados” estiver selecionada, o usuário será solicitado a dar consentimento apenas para aquilo que ainda não tenha sido consentido.
Restringir escopos customizados.
Os escopos customizados podem ser solicitados por um cliente OIDC/OAuth nos fluxos de concessão de OIDC/OAuth suportados. Se Restringir escopos customizados estiver ativado, que é a configuração padrão, os escopos que são concedidos ao cliente no final do fluxo serão restringidos àqueles escopos especificados nessa seção. Se Restringir escopos customizados estiver desativado, quaisquer escopos customizados solicitados serão concedidos quando o fluxo for concluído.
openidObservação: os escopos padrão, profile, email, phone, e address não podem ser restringidos.
1. Certifique-se de que a caixa de seleção “Restringir escopos personalizados” esteja marcada.
2. Digite o nome do escopo customizado que você deseja conceder e uma descrição.
  O nome do escopo refere-se ao escopo OAuth2/OIDC que é solicitado por uma parte/cliente dependente. A descrição é uma explicação fácil para o escopo.
  
  Outro conjunto de campos de escopo é exibido.
3. Repita a etapa anterior para cada escopo customizado que você deseja conceder.
Restringir detalhes de autorização
Os detalhes da autorização podem ser solicitados por um cliente OIDC/ OAuth nos fluxos de concessão OIDC/ OAuth compatíveis. Se a opção “Restringir detalhes de autorização” estiver ativada, os detalhes de autorização concedidos no final do fluxo serão restritos aos detalhes de autorização especificados nesta seção. Se a opção “Restringir detalhes de autorização” estiver desativada, qualquer detalhe de autorização solicitado será concedido quando o fluxo for concluído.
1. Certifique-se de que a caixa de seleção “Detalhes da autorização de restrição” esteja marcada.
2. Verifique se a opção “Ignorar detalhes de autorização desconhecidos” está ativada.
3. Digite ou selecione o nome do tipo de detalhe de autorização que você deseja conceder. Você pode editar e definir uma regra personalizada adicional para filtrar solicitações com base em uma propriedade no JSON dos detalhes de autorização. Por exemplo, se o tipo de detalhe de autorização for resource_access e incluir uma location propriedade, a solicitação só poderá ser aprovada quando o local for o Japão. Nesse caso, a regra seria: requestContext.ad.location == 'Japan'.
4. Clique em “Adicionar” e repita a etapa anterior para cada tipo de detalhe de autorização que você deseja conceder.
Conceda autorizações de API para o token de conexão.
Restringir o acesso da API é a configuração padrão para novos aplicativos. O aplicativo não tem autorizações de token de conexão. Para conceder autorizações de acesso à API execute as etapas a seguir.
1. Selecione o ícone de edição.
  O assistente de cliente da API de Edição é iniciado.
2. Selecione as permissões de usuário e não usuário que deseja conceder ao token de conexão.
  Se você marcar a caixa de seleção “Permissões padrão para tokens de usuário” ou desmarcar a caixa de seleção “Restringir acesso à API”, será concedido um conjunto de direitos padrão para tokens de usuário. Consulte as autorizações da API de token de login padrão.
3. Selecione “Salvar ”.
Selecione “Salvar ”.

O quê fazer em seguida

Forneça à parte confiável as Verify informações necessárias para concluir a configuração do login do OpenID Connect entre Verify [nome] e a parte confiável. Consulte as instruções que são fornecidas na interface com o usuário.
Inclua autorizações de usuário ou do grupo para permitir acesso aos aplicativos configurados. Consulte “Gerenciamento de permissões de aplicativos” (pelo administrador ou pelo proprietário do aplicativo).
Aplique a autenticação de dois fatores para controle de segurança incluído nos usuários quando eles se conectam ao aplicativo configurado. Consulte “Configurando fatores de autenticação ”.
Inclua os clientes da API neste aplicativo. Consulte “Gerenciamento do OpenID Connect” e “ OpenID Connect” para obter acesso à API de aplicativos do Open Banking.
Configure propósitos de privacidade e EULAs para este aplicativo. Acesse OpenID Connect.