Activar configuración de OAuth para integración de API

Usted está aquí:

Activar configuración de OAuth para integración de API

Puede utilizar una aplicación conectada para solicitar el acceso a datos de Salesforce en nombre de una aplicación externa. Para que una aplicación solicite acceso, debe estar integrada con la API de Salesforce utilizando el protocolo OAuth 2.0. OAuth 2.0 es un protocolo abierto que autoriza el uso compartido de datos seguro entre aplicaciones a través del intercambio de tokens. Cuando los desarrolladores o los proveedores de software independientes (ISV) desean integrar su aplicación con Salesforce, utilizan las API de OAuth. Estas API de OAuth permiten a un usuario trabajar en una sola aplicación pero ven los datos de otra.

Ediciones necesarias

Disponible en: Salesforce Classic y Lightning Experience

Se pueden crear aplicaciones conectadas en: Group Edition, Essentials Edition, Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition y Developer Edition

Las aplicaciones conectadas se pueden instalar en: todas las ediciones

Permisos de usuario necesarios
Para leer, crear, actualizar o eliminar aplicaciones conectadas:	Personalizar aplicación Y Modificar todos los datos O Gestionar aplicaciones conectadas
Para actualizar todos los campos, excepto Perfiles, Conjuntos de permisos y Atributos SAML de proveedor de servicio:	Personalizar aplicación Y Modificar todos los datos O Gestionar aplicaciones conectadas
Para actualizar Perfiles, Conjuntos de permisos y Atributos SAML de proveedor de servicio:	Personalizar aplicación Y Modificar todos los datos Y Gestionar perfiles y conjuntos de permisos
Para rotar la clave de consumidor y el secreto de consumidor:	Permitir la rotación de secreto y clave de consumidor
Para instalar y desinstalar aplicaciones conectadas:	Personalizar aplicación Y Modificar todos los datos O Gestionar aplicaciones conectadas
Para instalar y desinstalar aplicaciones conectadas empaquetadas:	Descargar paquetes de AppExchange Y Personalizar aplicación Y Modificar todos los datos O Gestionar aplicaciones conectadas

Nota La creación de aplicaciones conectadas está restringida a partir de Spring ‘26. Puede continuar utilizando aplicaciones conectadas existentes durante y después de Spring ‘26. Sin embargo, recomendamos utilizar aplicaciones cliente externas en su lugar. Si debe seguir creando aplicaciones conectadas, haga contacto con el Servicio de asistencia de Salesforce.

Consulte Las nuevas aplicaciones conectadas ya no se pueden crear en Spring ‘26 para obtener más detalles.

Cree su aplicación conectada y complete su información básica.
En el área API (Activar configuración de OAuth) de la página, seleccione Activar configuración de OAuth.
Si está configurando una aplicación conectada para una aplicación externa en un dispositivo con capacidades de entrada y visualización limitadas, como televisores, electrodomésticos o aplicaciones de línea de comandos, seleccione Activar para flujo de dispositivo.
No se utiliza una URL de devolución de llamada en el flujo del dispositivo. Sin embargo, cuando se activa este flujo, el valor para la dirección URL de devolución de llamadas toma como valor predeterminado un marcador de posición. Puede especificar una URL de devolución de llamadas según sea necesario, como cuando se utilice este mismo cliente para un flujo diferente.
Ingrese la URL de devolución de llamada (extremo) a la que Salesforce devuelve las llamadas en su aplicación durante OAuth. Es lo mismo que la URI de redirección de OAuth.
Según el flujo de OAuth usado, esta suele ser la dirección URL a la que el explorador del usuario se redirige tras la autorización correcta.

Dado que esta dirección URL se usa para que algunos flujos de OAuth pasen un token de acceso, la dirección URL debe usar un esquema HTTPS o URI personalizado seguros.

Si ingresa múltiples direcciones URL de devolución de llamada, Salesforce hace coincidir en tiempo de ejecución el valor de la URL de devolución de llamada especificado por la aplicación con uno de los valores de URL de devolución de llamada. Debe coincidir con uno de los valores para superar la validación. Separe múltiples direcciones URL de devolución de llamadas con saltos de línea. El campo URL de devolución de llamadas tiene un límite de 2000 caracteres, acumulativamente. Si ingresa varias direcciones URL y superan este límite, cree otras aplicación conectada para gestionar más direcciones URL de devolución de llamadas.
Si utilice el flujo de JWT de OAuth, seleccione Utilizar firmas digitales (Use Digital Signatures). Si la aplicación utiliza un certificado, haga clic en Seleccionar archivo y seleccione el certificado en su sistema para cargar para el flujo JWT OAuth.

Importante El certificado está limitado a 4.000 caracteres y el archivo debe ser inferior a 4 KB.
Seleccione los ámbitos de OAuth para aplicar a la aplicación conectada. Los ámbitos de OAuth definen permisos para la aplicación conectada, otorgados como token tras autorizar la aplicación. El nombre del token de OAuth está entre paréntesis. Para obtener una lista de ámbitos y sus descripciones, consulte Tokens y ámbitos de OAuth.
Para requerir la extensión de clave de prueba de OAuth 2.0 para el intercambio de códigos (PKCE) para todas las versiones compatibles del flujo de código de autorización de OAuth 2.0, seleccione Requerir clave de prueba para el intercambio de códigos (PKCE) extensión para flujos de autorización compatibles.
Este parámetro requiere PKCE para el flujo de servidor web, el flujo de servidor web híbrido, el flujo Código de autorización y credenciales y todas las variaciones del flujo Código de autorización y credenciales incluyendo el registro desatendido, el inicio de sesión sin contraseña y la identidad sin encabezado para usuarios invitados. Con esta configuración activada, cualquiera de estos flujos que no implementen PKCE se bloquean para esta aplicación conectada. Para obtener más información sobre el uso de PKCE para proteger sus aplicaciones, consulte Extensión de clave de prueba para el intercambio de códigos (PKCE).
Para requerir el secreto de cliente de la aplicación a cambio de un token de acceso, seleccione Requerir secreto para el flujo de servidor web.

Importante Si la aplicación cliente no puede mantener la pregunta secreta del cliente confidencial y debe utilizar el flujo del servidor Web, anule la selección de Requerir secreto para flujo de servidor web. Todavía generamos una pregunta secreta del cliente para su aplicación pero esta configuración indica al flujo del servidor Web no requerir el parámetro client_secret en la solicitud del token de acceso. Recomendamos usuario-agente como una opción más segura que el flujo del servidor Web sin la pregunta secreta.
Para requerir el secreto de cliente en la solicitud de autorización de un token de actualización y un flujo de token de actualización híbrida, seleccione Requerir secreto para flujo de token de actualización. Si no selecciona esta opción y una aplicación conectada envía el secreto de cliente en la solicitud de autorización, Salesforce aún lo valida.
Puede seleccionar esta opción para aplicaciones basadas en servidor web que pueden proteger secretos de clientes. Pero para aplicaciones que no pueden proteger secretos de cliente, como aplicaciones móviles o aplicaciones instaladas en el equipo de un usuario, recomendamos de lo contrario seleccionar esta opción.
Nota Para nuevas aplicaciones conectadas, esta selección se activa automáticamente. Para aplicaciones conectadas creadas antes de la versión Spring ’21, esta selección no se activa automáticamente.
Para configurar los parámetros para el flujo de credenciales de cliente, consulte Configurar una aplicación conectada para el flujo de credenciales de cliente de OAuth 2.0.
Para configurar los parámetros para el flujo Código de autorización y credenciales, consulte Configurar una aplicación conectada para el flujo Código de autorización y credenciales.
Para configurar parámetros para el flujo de intercambio de tokens, consulte Integrar una aplicación para el flujo de intercambio de tokens.
Para obtener un nuevo token de actualización cada vez que se invoca el flujo del token de actualización, seleccione Activar rotación de tokens de actualización.
La activación de este parámetro es una mejor práctica en la seguridad. Con esta configuración activada, el token de actualización antiguo se invalida automáticamente después de utilizarlo, de modo que cada token se utilice solo una vez. Si alguien intenta utilizar un token de actualización que se cerró, Salesforce invalida el token de actualización actual y cualquier token de acceso asociado.
Para configurar tokens de acceso basados en Token web de JSON (JWT), consulte Activar tokens de acceso basados en Token web de JSON (JWT).
Para autorizar una aplicación conectada única para introspeccionar todos los tokens de acceso y de actualización en toda la organización, seleccione Introspección de todos los tokens.
De forma predeterminada, todas las aplicaciones conectadas pueden introspeccionar sus propios tokens. Además, un cliente de OAuth que registra directamente aplicaciones conectadas de OAuth 2.0 a través del extremo de registro de cliente dinámico puede consultar los tokens por si mismo y sus aplicaciones registradas. Consulte Introspección de token de OpenID Connect.

Para controlar cómo gestiona la solicitud de OAuth el token de Id., seleccione Configurar token de Id.

Si la solicitud de OAuth incluye el ámbito Permitir el acceso a su identificador único (openid), el toen devuelto puede incluir el token de Id.

El token de Id. siempre está incluido en las respuestas de token de acceso.

Con la configuración del token de Id. principal activada, configure los ajustes secundarios que controlan los contenidos del token de Id. en respuestas de token de acceso y actualización. Especifique estos ajustes.

Configuración	Descripción
Token válido para	El periodo de tiempo en que el token de Id. es válido tras su emisión. El periodo puede ser de 1 a 720 minutos. El valor predeterminado es 2 minutos.
Audiencias del token de Id.	Los consumidores previstos para el token de Id. Por ejemplo, el servicio de destino en el que utiliza el token de Id., como `https://your_service.com`.
Incluir reclamaciones estándar	Incluya las reclamaciones estándar que contienen información sobre el usuario, como el nombre, el perfil, el número de teléfono y la dirección del usuario. Las especificaciones de OpenID Connect definen un conjunto de reclamaciones estándar para su devolución en el token de Id.
Incluir atributos personalizados	Si su aplicación tiene atributos personalizados específicos, inclúyalos en el token de Id.
Incluir permisos personalizados	Si su aplicación tiene permisos personalizados específicos, inclúyalos en el token de Id.

Si está configurando la aplicación para emitir tokens de activos para dispositivos conectados, seleccione Activar tokens de activos y especifique estos parámetros.

Configuración	Descripción
Token válido para	El plazo hasta que el token de activos es válido después de su emisión.
Certificado de firma de activo	El certificado autofirmado que creó para la firma de tokens de activos. El tamaño del certificado está limitado a 4 KB.
Audiencias de activo	Los consumidores destinados del token de activos. Por ejemplo, el servicio externo para su dispositivo conectado, como `https://your_device_backend.com`.
Incluir atributos personalizados	Si su aplicación tiene atributos personalizados específicos, inclúyalos en el token de activos.
Incluir permisos personalizados	Si su aplicación tiene permisos personalizados específicos, inclúyalos en el token de activos.

Asegúrese de especificar la URL de devolución de llamadas (extremo). Por ejemplo, https://your_device_backend.com/callback.

Seleccione los ámbitos de OAuth Acceder y gestionar sus datos (api) y Permitir el acceso a su identificador único (openid), que se requieren para tokens de activos.

Para utilizar el cierre de sesión único para casos de uso donde Salesforce es un proveedor de OpenID Connect, seleccione Activar cierre de sesión único y luego ingrese una URL de cierre de sesión único para determinar dónde envía Salesforce solicitudes de cierre de sesión. La URL de cierre de sesión único debe ser una URL absoluta que comience por https://.
Estos parámetros son solo una parte de una configuración de cierre de sesión único. Para finalizar la configuración del cierre de sesión único, establezca la URL a la que se redirige a los usuarios después de cerrar sesión y compartir información con su proveedor de OpenID Connect. Consulte Configurar el cierre de sesión único de OpenID Connect con Salesforce como proveedor de OpenID Connect.
Después de configurar todos los parámetros para su aplicación conectada, guarde sus cambios.

Para obtener ayuda con la configuración de flujos de OAuth, consulte Flujos de autorización de OAuth en la Ayuda de Salesforce.

Importante Cuando desarrolle integraciones de OAuth, pase siempre información confidencial en el cuerpo de una solicitud POST o en un encabezado de solicitud. No utilice parámetros GET en la cadena de consulta URL para pasar información confidencial. La información confidencial incluye, entre otros, nombres de usuario, contraseñas, tokens de OAuth, secretos de clientes y cualquier información de identificación personal. Para obtener más información sobre mejores prácticas de seguridad, consulte Almacenamiento de datos confidenciales en la Guía de codificación segura.

Consulte también:

Flujos de autorización OAuth

¿Resolvió este artículo su problema?

¡Háganos saber cómo podemos mejorar!

Este texto se tradujo con el sistema de traducción automática de Salesforce. Obtenga más detalles aquí.

Activar configuración de OAuth para integración de API

Ediciones necesarias

Consulte también:

General Information

Required Cookies

Functional Cookies

Advertising Cookies

General Information

Required Cookies

Functional Cookies

Advertising Cookies

Cookie List

Este texto se tradujo con el sistema de traducción automática de Salesforce. Obtenga más detalles aquí.Cambiar a inglésAhora no

Área de productos

Repercusión de función

Edición

Experiencia

Activar configuración de OAuth para integración de API

Ediciones necesarias

Consulte también:

Este texto se tradujo con el sistema de traducción automática de Salesforce. Obtenga más detalles aquí.