Echange de jetons

OAuth 2.0 Token Exchange est une extension d'OAuth 2.0 qui permet à IBM Security Verify SaaS d'agir comme un service de jetons de sécurité. Ce mécanisme permet aux services ou clients de confiance d'obtenir et d'échanger des jetons en toute sécurité. L'échange de jetons est particulièrement utile lorsqu'un service ou une application doit acquérir un autre type de jeton ou un jeton doté de privilèges spécifiques pour accéder à une ressource ou effectuer une action. Découvrez les concepts ici si c'est la première fois que vous explorez l'échange de jetons OAuth 2.0 ou si vous avez besoin d'un rafraîchissement.

Quelques exemples de guides vous permettront d'approfondir cette question.

Configuration admin

Pour utiliser l'échange de jetons, vous devrez au minimum créer une instance de client OAuth, soit en tant qu'application, soit en tant que client STS. En outre, des jetons personnalisés peuvent être définis. Avant de plonger dans les guides, les sections suivantes vous aideront à naviguer dans la console d'administration.

Types de jeton

Les types de jetons de sécurité utilisés sont au cœur de l'échange de jetons. Verify prend en charge les types de jetons suivants dès le départ :

  • urn:ietf:params:oauth:token-type:access_token est l'identifiant utilisé pour le jeton d'accès délivré par le locataire Verify.
  • urn:ietf:params:oauth:token-type:refresh_token est l'identifiant utilisé pour le jeton de rafraîchissement émis par le locataire Verify.
  • urn:ietf:params:oauth:token-type:id_token est l'identifiant utilisé pour le jeton d'identification OIDC délivré par le locataire Verify.
  • urn:x-oath:params:oauth:token-type:device-secret est l'identifiant utilisé pour le jeton d'acteur utilisé dans le flux SSO de l'application native.

En outre, Verify prend en charge la création d'un type de jeton Web JSON (JWT) personnalisé. Il peut être utilisé pour échanger des jetons émis par des tiers contre des jetons Verify.

4335

Clients d'application

Vous pouvez activer le flux d'échange de jetons dans une application à l'aide du connecteur d'application OpenID Connect. Vous trouverez ce connecteur dans le catalogue d'applications.

4280

Les applications offrent plus de souplesse pour choisir différents types de subventions et configurer les droits des utilisateurs pour le contrôle d'accès.

Clients STS

Si vous avez besoin d'un client plus simple qui n'exige pas de droits d'utilisateur spécifiques et qui ne doit utiliser que le flux d'octroi de l'échange de jetons OAuth 2.0, vous pouvez créer un client STS. Par exemple, une passerelle API ou un service qui doit échanger un jeton peut utiliser un client STS.

4267

Manuels

Plusieurs guides sont disponibles sous forme de sous-thèmes et vous pouvez les consulter en un coup d'œil ici.

Usurpation d'identité

Le mode d'usurpation d'identité pour l'échange de jetons est décrit ici.

NomRécapitulatif
Échange d'un jeton d'utilisateur externe contre un jeton d'accèsÉchange d'un jeton d'identité émis par un tiers (JWT) contre un jeton d'accès émis par le locataire de Verify.

💎

Vivek Shankar, IBM Security