配置 OIDC 动态客户端注册设置
本文档介绍了如何编辑 OpenID Connect的动态客户端注册设置。
过程
- 转到 “应用程序 ”> “应用程序设置 ”> “动态客户端注册 ”。
- 请向 Verify 提供有关常规设置的基本信息。
表 1. 动态客户端注册设置 字段 描述 授权类型 默认资助类型的列表。 有效值包括 - 授权代码
- 隐式
- 密码
- 设备代码
- JWT 持有者
- 刷新令牌
- 客户机凭证
注: 如需了解更多信息,请参阅 “资助类型”。标识令牌声明 ID 令牌和用户信息的默认声明列表。 令牌声明 用于内省和 JWT 访问令牌的默认声明列表。 访问令牌类型 要生成的访问令牌类型。 Verify 支持以下访问令牌类型: - 缺省值
- JWT
标识令牌签名算法 用于对ID令牌进行签名的算法。 Verify 支持以下签名算法: - RS256
- HS256
- PS256
- ES256
- RS384
- HS384
- PS384
- ES384
- RS512
- HS512
- PS512
- ES512
用户许可 选择是否请求用户同意。 “验证”提供以下选项: - 要求许可
- 不要求许可
访问令牌生存期 访问令牌的有效期(以秒为单位)。 默认值为 7200 秒。 最大值为 2147483647,最小值为 1。 刷新令牌生命周期 刷新令牌的有效期(以秒为单位)。 默认值为 64800 秒。 最大值为 2147483647,最小值为 1。 实施 PKCE 验证 “代码交换证明密钥”(PKCE)用于防范授权码截获攻击。 授权代码流程要继续前 PKCE 需要进行代码质询。 授予所有用户权限 请确认所有用户是否都有权使用此客户端。 如果未提供该参数,其值将设为 false 请求对象的有效期 请求对象的有效期(以秒为单位)。 最大值为 2147483647,最小值为 1。 请求对象需要“exp” 确定请求对象中是否必须包含“exp”属性。 允许定制客户机凭证 确定是否允许使用自定义客户端凭据。 如果未提供该参数,其值将设为 false。 允许的请求对象签名算法 签名请求 JWT 允许使用的签名算法列表。 请求变换规则 输入用于修改动态客户机注册请求的规则。 开放银行配方 适用于所有动态客户注册的开放银行配置方案。 Verify 支持以下开放银行方案: - FAPI 1 高级决赛(通用版)
- 英国开放银行
- 澳大利亚消费者数据权利 (CDR)
- 请向 Verify 提供有关软件声明设置的基本信息。
表 2. 软件声明的设置 字段 描述 需要软件声明以进行动态客户机注册 确定动态客户端注册是否需要软件声明。 需要软件声明以动态更新注册的客户机 确定是否需要软件声明来修改动态注册的客户端。 允许的软件声明签名验证键 已签名软件声明断言的允许密钥 ID 列表。 Verify 支持以下软件声明签名验证密钥: - RS256
- HS256
- PS256
- ES256
- RS384
- HS384
- PS384
- ES384
- RS512
- HS512
- PS512
- ES512
允许的软件声明签名算法 允许用于签名软件声明断言的签名算法列表。 软件声明 JWKS URI 该 JWKS URI 用于验证已签名的软件声明断言。 - 请向 Verify 提供有关请求授权设置的基本信息。
表 3. 请求授权设置 字段 描述 需要 MTLS 以进行动态客户机注册 确定动态客户端注册是否需要 MTLS 客户端身份验证。 需要不记名令牌认证以进行动态客户机注册 确定动态客户端注册是否需要凭证令牌身份验证。 需要 MTLS 以动态管理注册的客户机 确定是否需要 MTLS 客户端身份验证来管理动态注册的客户端。 需要不记名令牌认证以动态管理注册的客户机 确定管理动态注册的客户端时是否需要凭证令牌身份验证。 - 请向 Verify 提供有关注册访问令牌设置的基本信息。
表4。 注册访问令牌的设置 字段 描述 为客户端注册响应生成注册访问令牌 确定是否为客户端注册响应生成注册访问令牌。 注册访问令牌的有效期 注册访问令牌的有效期(以秒为单位)。 默认值为 7200 秒。 最大值为 2147483647,最小值为 1。 注册访问令牌作用域 注册访问令牌的范围列表。 - 点击 “保存更改 ”。