Loading
Identificar sus usuarios y gestionar el acceso
ƍndice de materias
Filtrar por (0)Agregar
Seleccionar filtros

          No hay resultados
          No hay resultados
          Estas son algunas sugerencias de bĆŗsqueda

          Compruebe la ortografĆ­a de sus palabras clave.
          Utilice tĆ©rminos de bĆŗsqueda mĆ”s generales.
          Seleccione menos filtros para ampliar su bĆŗsqueda.

            Buscar en toda la Ayuda de Salesforce
            Buscar en toda la Ayuda de Salesforce
            OAuth 2.0 para aplicaciones de primera parte: Flujo de nombre de usuario-contraseƱa desatendido para clientes privados

            Usted estĆ” aquĆ­:

            1. Ayuda de Salesforce
            2. Documentos
            3. Identificar sus usuarios y gestionar el acceso

            OAuth 2.0 para aplicaciones de primera parte: Flujo de nombre de usuario-contraseƱa desatendido para clientes privados

            Para configurar el inicio de sesiĆ³n de nombre de usuario-contraseƱa para una aplicaciĆ³n sin plataforma desarrollada por su compaƱƭa, utilice este flujo de inicio de sesiĆ³n de nombre de usuario-contraseƱa desatendido, que implementa el protocolo estĆ”ndar borrador de OAuth 2.0 para aplicaciones de primera parte. Con este flujo, puede controlar completamente la experiencia de inicio de sesiĆ³n de front-end en su aplicaciĆ³n de primera parte mientras Salesforce controla el trabajo de backend de autenticaciĆ³n de usuarios y otorgamiento de acceso a recursos protegidos. Este flujo solo es compatible con clientes privados, como aplicaciones cliente-servidor, y solo es compatible con usuarios externos

            Ediciones necesarias

            Disponible en: Salesforce Classic y Lightning Experience
            Disponible en: Enterprise Edition, Unlimited Edition y Developer Edition

            Para configurar el inicio de sesiĆ³n de nombre de usuario-contraseƱa desatendido para un cliente privado, tambiĆ©n puede utilizar esta versiĆ³n del flujo CĆ³digo de autorizaciĆ³n y credenciales, que implementa las API de identidad desatendida. Ambos flujos realizan el mismo caso de uso: inicio de sesiĆ³n de nombre de usuario-contraseƱa desatendido para una aplicaciĆ³n fuera de Salesforce Platform. Pero hay algunas diferencias clave a tener en cuenta.

            OAuth para aplicaciones propias API de identidad desatendida
            Admitido solo para clientes privados. Admitido para clientes pĆŗblicos y privados.
            Se ajusta al proyecto de protocolo de OAuth 2.0 para aplicaciones de primera parte. Flujo de Salesforce patentado que estƔ construido sobre el estƔndar de OAuth 2.0.
            Solo se admite para el marco de trabajo de la aplicaciĆ³n cliente externa Salesforce. Del mismo modo, la Ćŗnica forma de configurar parĆ”metros de aplicaciĆ³n cliente externa para este flujo es a travĆ©s de la API de metadatos. Compatible con la aplicaciĆ³n cliente externa Salesforce y los marcos de trabajo de aplicaciones conectadas.
            Por seguridad, este flujo siempre requiere un JWT de certificado de cliente. Salesforce utiliza el JWT de certificado de cliente para validar que la aplicaciĆ³n fue desarrollada por su compaƱƭa. Por seguridad, requiere autenticaciĆ³n o reCAPTCHA, pero no un JWT de certificado de cliente.

            Antes de configurar este flujo, complete estos pasos.

            De forma predeterminada, los usuarios ingresan su nombre de usuario para iniciar sesiĆ³n. Para proporcionar a los usuarios mĆ”s opciones, configure el descubrimiento de usuarios desatendidos. Por ejemplo, desarrolle un flujo donde los usuarios ingresen su direcciĆ³n de email, nĆŗmero de telĆ©fono o incluso un nĆŗmero de pedido. Consulte Inicio de sesiĆ³n desatendido sin un nombre de usuario.

            A continuaciĆ³n se muestra una descripciĆ³n general del funcionamiento del flujo.

            • Paso 1: Un usuario final va a su aplicaciĆ³n de primera parte e inicia sesiĆ³n a travĆ©s de su nombre de usuario y contraseƱa. O bien, si estĆ” utilizando el descubrimiento de usuarios desatendidos, ingresan un identificador como una direcciĆ³n de email, un nĆŗmero de telĆ©fono o un nĆŗmero de pedido, junto con su contraseƱa.
            • Paso 2: Su aplicaciĆ³n de primera parte acuƱa un JWT de certificado de cliente y genera parĆ”metros para la extensiĆ³n Proof Key for Code Exchange (PKCE).
            • Paso 3: Para obtener un cĆ³digo de autorizaciĆ³n, su aplicaciĆ³n de primera parte envĆ­a una solicitud POST desatendida al extremo services/oauth2/v1/authorization_challenge en su sitio de Experience Cloud. La solicitud incluye un JWT de certificado de cliente junto con las credenciales del usuario.
            • Paso 4: Para confirmar que su aplicaciĆ³n externa enviĆ³ la solicitud, Salesforce valida el JWT de certificado de cliente y luego valida los otros parĆ”metros.
            • (Opcional) Si estĆ” utilizando descubrimiento de usuarios desatendidos, su controlador Apex encuentra al usuario basĆ”ndose en el identificador que utilizĆ³ para iniciar sesiĆ³n. Si las credenciales de usuario son vĆ”lidas y el usuario tiene una direcciĆ³n de email o un nĆŗmero de telĆ©fono verificados, el inicio de sesiĆ³n continĆŗa.
            • Paso 5: Si la solicitud se realiza correctamente, Salesforce devuelve un cĆ³digo de autorizaciĆ³n.
            • Paso 6: Para intercambiar el cĆ³digo por un token de acceso, su aplicaciĆ³n de primera parte envĆ­a una solicitud al extremo /services/oauth2/token.
            • Paso 7: Salesforce devuelve una respuesta de token que contiene el token de acceso.
            • Paso 8: Su aplicaciĆ³n de primera parte procesa el token de acceso y crea la sesiĆ³n del usuario.
            • Paso 9: El usuario final ahora iniciĆ³ sesiĆ³n y realiza una acciĆ³n en su aplicaciĆ³n que requiere acceso a un recurso de Salesforce protegido.
            • Paso 10: Su aplicaciĆ³n de primera parte realiza una llamada autenticada a una API de Salesforce.
            • Paso 11: El usuario ahora puede acceder a sus datos de Salesforce en su aplicaciĆ³n de primera parte.

            Paso 1: El usuario final abre la aplicaciĆ³n de primera parte e inicia sesiĆ³n

            Un usuario final abre su aplicaciĆ³n de primera parte con la intenciĆ³n de iniciar sesiĆ³n. En su aplicaciĆ³n, su formulario de inicio de sesiĆ³n aparece mostrando campos de nombre de usuario y contraseƱa y un botĆ³n de inicio de sesiĆ³n. Salesforce no proporciona este formulario de inicio de sesiĆ³n. Su aspecto y comportamiento dependen de usted. Su usuario ingresa su nombre de usuario y contraseƱa y hace clic en el botĆ³n de inicio de sesiĆ³n.

            Paso 2: La aplicaciĆ³n de primera parte acuƱa un JWT de certificado de cliente y genera valores de code_verifier y code_challenge

            La aplicaciĆ³n acuƱa un JWT de certificado de cliente.

            La aplicaciĆ³n tambiĆ©n genera valores para los parĆ”metros PKCE utilizados para verificar el cĆ³digo de autorizaciĆ³n.

            Nota
            Nota Recomendamos encarecidamente que implemente siempre PKCE para este flujo. De lo contrario, no obtiene sus beneficios de seguridad.

            Para obtener mĆ”s informaciĆ³n sobre PKCE, consulte la especificaciĆ³n RFC 7636: Clave de prueba para el intercambio de cĆ³digos por clientes pĆŗblicos de OAuth proporcionado por Internet Engineering Task Force (IETF).

            La especificaciĆ³n PKCE definida en RFC 7636 tambiĆ©n incluye un parĆ”metro code_challenge_method opcional que puede enviar en la solicitud de autorizaciĆ³n. Salesforce ignora cualquier valor que envĆ­e en este parĆ”metro y establece de forma predeterminada SHA256.

            Paso 3: La aplicaciĆ³n de primera parte solicita desatendidamente un cĆ³digo de autorizaciĆ³n

            Desde el navegador, su aplicaciĆ³n envĆ­a las credenciales del usuario, junto con otros parĆ”metros, al extremo services/oauth2/v1/authorization_challenge en su sitio de Experience Cloud a travĆ©s de una solicitud POST desatendida.

            No hay encabezados obligatorios para esta solicitud. Opcionalmente, para conectar este flujo con el flujo de invitados desatendido, puede incluir un encabezado Uvid-Hint con un token de acceso basado en JWT que contiene un valor de Id. de visitante exclusivo (UVID).

            Extremo de solicitud POST inicial a reto de autorizaciĆ³n: Encabezados
            Encabezado ĀæObligatorio? DescripciĆ³n
            Uvid-Hint

            No. Si implementa el flujo de usuarios invitados en su aplicaciĆ³n, puede opcionalmente utilizar este encabezado para pasar en un token de acceso basado en JWT que contenga un UVID vinculado a la identidad de un usuario invitado. Al pasar el UVID a un flujo de usuario nombrado, puede llevar informaciĆ³n contextual desde una sesiĆ³n de usuario invitado, como las preferencias de cookies del usuario, a una sesiĆ³n de usuario nombrada.

            En lugar de pasar un token basado en JWT con UVID en un encabezado, tambiƩn puede pasar el valor UVID sin formato en el cuerpo de la solicitud.

            		 Un token de acceso basado en JWT que contiene un valor UVID, que es un identificador exclusivo universal (UUID) de VersiĆ³n 4 que su aplicaciĆ³n genera y gestiona completamente. Para obtener un token de acceso con UVID, debe activar su aplicaciĆ³n cliente externa o aplicaciĆ³n conectada para emitir tokens de acceso basados en JWT e implementar el flujo de invitados desatendido en su aplicaciĆ³n.

            Incluya estos parƔmetros en el cuerpo de la solicitud.

            Extremo de solicitud POST inicial a reto de autorizaciĆ³n: ParĆ”metros de cuerpo
            ParĆ”metro ĀæObligatorio? DescripciĆ³n
            code_challenge Obligatorio si requerĆ­a PKCE para su aplicaciĆ³n cliente externa. Para que las funciones de seguridad de este flujo funcionen correctamente, recomendamos encarecidamente que siempre requiera PKCE.

            Especifica el valor de hash SHA256 del valor code_verifier en la solicitud de token. Establezca este parĆ”metro para ayudar a evitar ataques de intercepciĆ³n de cĆ³digos de autorizaciĆ³n. El valor debe estar codificado con URL base 64 como se define en https://tools.ietf.org/html/rfc4648#section-5

            Si se proporciona code_challenge en la solicitud de autorizaciĆ³n y se proporciona code_verifier en la solicitud de token, Salesforce compara los dos valores. Si code_challenge no es vĆ”lido o no coincide, el inicio de sesiĆ³n falla con el cĆ³digo de error invalid_request.

            Si code_challenge se proporciona en la solicitud de autorizaciĆ³n, pero no hay code_verifier en la solicitud de token, el inicio de sesiĆ³n falla con el cĆ³digo de error invalid_grant.
            username SĆ­. El nombre de usuario que el usuario enviĆ³ a su formulario de inicio de sesiĆ³n.
            client_id SĆ­. La clave de consumidor de la aplicaciĆ³n cliente externa.
            password SĆ­. La contraseƱa que el usuario enviĆ³ a su formulario de inicio de sesiĆ³n.
            client_assertion SĆ­. El JWT de certificado de cliente que generĆ³, firmado por el certificado configurado para su aplicaciĆ³n cliente externa.
            recaptcha

            Obligatorio si se le aplican estas condiciones:

            • Active Requerir reCAPTCHA para acceder al extremo de reto de autorizaciĆ³n de OAuth 2.0 para flujos de autorizaciĆ³n de inicio de sesiĆ³n de nombre de usuario-contraseƱa en su configuraciĆ³n de Registro e inicio de sesiĆ³n de Experience Cloud.
            • EstĆ” utilizando reCAPTCHA v2 o v3.
            		 Un token cifrado emitido por la API de reCAPTCHA de Google cuando un usuario completa un reto de reCAPTCHA.
            recaptchaevent

            Obligatorio si se le aplican estas condiciones:

            • Active Requerir reCAPTCHA para acceder al extremo de reto de autorizaciĆ³n de OAuth 2.0 para flujos de autorizaciĆ³n de inicio de sesiĆ³n de nombre de usuario-contraseƱa en su configuraciĆ³n de Registro e inicio de sesiĆ³n de Experience Cloud.
            • EstĆ” utilizando reCAPTCHA Enterprise.

            Un objeto JSON que contiene estos subparƔmetros.

            • token: Un token cifrado emitido por la API de reCAPTCHA de Google cuando un usuario completa un reto de reCAPTCHA.
            • siteKey: La clave del sitio de Google reCAPTCHA.
            • (Opcional)expectedAction: La acciĆ³n que espera que el usuario realice para iniciar reCAPTCHA, como login. Este parĆ”metro se asigna al parĆ”metro action de Google.
            • projectId: El Id. de proyecto de Google.

            Para obtener mĆ”s informaciĆ³n, consulte la documentaciĆ³n de reCAPTCHA de Google.
            scope No.

            Permisos que definen el tipo de recursos protegidos a los que puede acceder la aplicaciĆ³n cliente externa. Usted asigna Ć”mbitos a la aplicaciĆ³n cliente externa cuando la construye, y se incluyen con los tokens de OAuth durante el flujo de autorizaciĆ³n.

            Utilice este parĆ”metro para solicitar un subconjunto de los Ć”mbitos asignados a su aplicaciĆ³n cliente externa. Si no incluye este parĆ”metro, se solicitan todos los Ć”mbitos asignados a la aplicaciĆ³n.
            uvid_hint

            No. Si implementa el flujo de usuario invitado en su aplicaciĆ³n, puede utilizar opcionalmente este parĆ”metro para pasar en un valor UVID vinculado a la identidad de un usuario invitado, incluyendo informaciĆ³n contextual desde una sesiĆ³n de usuario invitado en una sesiĆ³n de usuario nombrada.

            En lugar de pasar el UVID en el cuerpo de la solicitud, tambiƩn puede pasarla en un token basado en JWT con un UVID a travƩs del encabezado UVID-Hint.

            Un valor UVID sin formato, que es un UUID de versiĆ³n 4 que genera y gestiona completamente por su aplicaciĆ³n. Para obtener UVID, debe activar su aplicaciĆ³n para emitir tokens de acceso basados en JWT e implementar el flujo de invitados desatendido en su aplicaciĆ³n. Puede opcionalmente utilizar este parĆ”metro para pasar en un valor de UVID vinculado a la identidad de un usuario invitado, trasladando informaciĆ³n contextual desde una sesiĆ³n de usuario invitado a una sesiĆ³n de usuario nombrada.

            En lugar de pasar el UVID en el cuerpo de la solicitud, tambiƩn puede pasarla en un token basado en JWT con un UVID a travƩs del encabezado UVID-Hint.
            login_hint Obligatorio si estĆ” utilizando un controlador de Apex de descubrimiento de usuarios desatendido. Un identificador que su controlador de Apex utiliza para buscar la cuenta de Salesforce de un usuario. Por ejemplo, recopile el nĆŗmero de pedido de un usuario en su aplicaciĆ³n y pĆ”selo en el parĆ”metro login_hint. Enviamos el valor login_hint directamente a su controlador de Apex.
            customdata

            Obligatorio si estĆ” utilizando un controlador de descubrimiento de usuarios desatendido que gestiona datos personalizados. Por ejemplo, si tambiĆ©n estĆ” utilizando el controlador con un flujo de inicio de sesiĆ³n que gestiona datos personalizados, debe pasar datos personalizados en el flujo de contraseƱa olvidada.

            De lo contrario, es opcional pero puede ser Ćŗtil para ayudar a su gestor a encontrar el usuario.

            		 Cadena JSON que contiene datos adicionales que su controlador de descubrimiento desatendido de Apex utiliza para buscar la cuenta de Salesforce de un usuario. Por ejemplo, pase informaciĆ³n acerca de la configuraciĆ³n regional del usuario.

            A continuaciĆ³n se incluye un ejemplo de solicitud al extremo de reto de autorizaciĆ³n.

            POST /services/oauth2/v1/authorization_challenge? HTTP 1.1
Host: MyExperienceCloudSite.my.site.com

username=janice.edwards@example.com&
password=*****&
client_assertion=******&
recaptcha=********&
scope=profile&
code_challenge=********

            Paso 4: Salesforce valida la solicitud

            Salesforce intenta primero validar el JWT de certificado de cliente validando que la firma pasada en el parĆ”metro client_asssertion coincide con la firma para el certificado configurado para la aplicaciĆ³n cliente externa.

            Si el JWT de certificado de cliente no es vĆ”lido, Salesforce devuelve un error invalid_attestation y debe volver a enviar la solicitud con todos los parĆ”metros que enviĆ³ originalmente. A continuaciĆ³n se incluye un ejemplo de respuesta de error.

            HTTP/1.1 403 Forbidden
Content-Type: application/json
Cache-Control: no-store

{
  "error": "invalid_attestation",
  "error_code": "client_attestation_failed"
}

            Si el JWT del certificado de cliente es vĆ”lido, pero hay otros problemas con la solicitud, Salesforce devuelve una respuesta de error especificando quĆ© falla con la solicitud. A continuaciĆ³n se muestra un ejemplo de respuesta que se devuelve si el usuario envĆ­a un nombre de usuario o una contraseƱa incorrectos.

            HTTP/1.1 403 Forbidden
Content-Type: application/json
Cache-Control: no-store

{
  "error": "authorization_required",
  "auth_session": "uY29tL2F1d*****",
  "error_code": "invalid_credentials"
}

            La respuesta incluye un parĆ”metro auth_session que permanece vĆ”lido durante 5 minutos despuĆ©s de su emisiĆ³n. Durante el periodo de tiempo en el que auth_session es vĆ”lida, puede utilizarla para volver a enviar la solicitud. En las versiones corregidas que vuelva a enviar, incluya solo los valores corregidos para los parĆ”metros que provocaron el fallo de la solicitud. TambiĆ©n debe volver a enviar password con cada solicitud porque Salesforce no la almacena. Pero para otros parĆ”metros, si no provocaron el fallo de la solicitud, puede dejarlos fuera. Salesforce ya sabe que enviĆ³ estos parĆ”metros porque estĆ”n vinculados a auth_session.

            Nota
            Nota Los parƔmetros de reCAPTCHA no se vinculan a auth_session, pero puede volver a enviar la solicitud sin ellos a no ser que hayan causado el fallo de la solicitud.

            Estos son algunos ejemplos de escenarios de error comunes. Esta lista no es exhaustiva.

            • El usuario enviĆ³ el nombre de usuario o la contraseƱa incorrectos. Vuelva a enviar la solicitud solo con username, password y auth_session.
            • El token de reCAPTCHA era incorrecto. Vuelva a enviar la solicitud solo con el token de reCAPTCHA, password, y auth_session.

            Transcurridos 5 minutos desde que se emitiĆ³ la sesiĆ³n de autenticaciĆ³n, ya no funciona y obtiene un error auth_session_invalid. En ese caso, vuelva a enviar la solicitud completa con todos los parĆ”metros que incluyĆ³ originalmente.

            (Opcional) El controlador de descubrimiento de usuarios desatendido encuentra el usuario

            Si estĆ” utilizando un controlador de descubrimiento de usuarios desatendido, el controlador toma los parĆ”metros login_hint y customdata y encuentra el usuario asociado. El controlador confirma que la direcciĆ³n de email o el nĆŗmero de telĆ©fono del usuario estĆ” verificado.

            Para obtener un controlador de ejemplo, consulte Auth.HeadlessUserDiscoveryHandler.

            Paso 5: Salesforce devuelve un cĆ³digo de autorizaciĆ³n

            Cuando su solicitud al extremo de reto de autorizaciĆ³n se realiza correctamente (ya sea en el primer intento o despuĆ©s de varios reintentos con auth_session), Salesforce devuelve un cĆ³digo de autorizaciĆ³n. Este es un ejemplo de una respuesta correcta del cĆ³digo de autorizaciĆ³n.

            HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store

{
  "authorization_code": "uY29tL2F1d******"
}

            Paso 6: Su aplicaciĆ³n intercambia el cĆ³digo de autorizaciĆ³n por un token de acceso

            DespuĆ©s de obtener el cĆ³digo de autorizaciĆ³n, su aplicaciĆ³n envĆ­a una solicitud al extremo services/oauth2/token.

            Esta solicitud no tiene encabezados. Incluya estos parƔmetros en el cuerpo de la solicitud.

            Solicitud de token: ParƔmetros de cuerpo
            ParĆ”metro ĀæObligatorio? DescripciĆ³n
            code SĆ­. El servidor de autorizaciĆ³n crea un cĆ³digo de autorizaciĆ³n, que es un token efĆ­mero que pasa al cliente despuĆ©s de una autenticaciĆ³n correcta. El cliente envĆ­a el cĆ³digo de autorizaciĆ³n al servidor de autorizaciĆ³n para obtener un token de acceso y, opcionalmente, un token de actualizaciĆ³n.
            client_id SĆ­. La clave de consumidor de la aplicaciĆ³n cliente externa.
            client_secret SĆ­. El secreto de consumidor de la aplicaciĆ³n cliente externa. En este flujo, actĆŗa como una contraseƱa que la aplicaciĆ³n utiliza para acceder a Salesforce.
            redirect_uri SĆ­. La URL donde se redirige a los usuarios despuĆ©s de una autenticaciĆ³n satisfactoria. redirect_URI debe coincidir con uno de los valores del campo URL de devoluciĆ³n de llamada de la aplicaciĆ³n cliente externa. De lo contrario, la aprobaciĆ³n falla. Este valor debe tener codificaciĆ³n de URL.
            grant_type SĆ­. El tipo de validaciĆ³n que la aplicaciĆ³n puede proporcionar para probar que es un visitante seguro. Para este flujo, el valor debe ser authorization_code.
            code_verifier Obligatorio si requerĆ­a PKCE para su aplicaciĆ³n cliente externa. Para que las funciones de seguridad de este flujo funcionen correctamente, recomendamos encarecidamente que siempre requiera PKCE.

            Especifica 128 bytes de datos aleatorios con alta entropĆ­a para hacer que intentar determinar el valor del cĆ³digo sea difĆ­cil. Establezca este parĆ”metro para ayudar a evitar ataques de intercepciĆ³n de cĆ³digos de autorizaciĆ³n. El valor debe estar codificado con base64url como se define en https://datatracker.ietf.org/doc/html/rfc4648#section-5.

            Si existe un valor code_verifier en la solicitud de token y un valor code_challenge en la solicitud de autorizaciĆ³n, Salesforce compara los dos valores. Si code_verifier no es vĆ”lido o no coincide, el inicio de sesiĆ³n falla con el cĆ³digo de error invalid_grant.

            Si el valor code_verifier estĆ” en la solicitud de token, pero no hay valor code_challenge en la solicitud de autorizaciĆ³n, el inicio de sesiĆ³n falla con el cĆ³digo de error invalid_grant.

            A continuaciĆ³n se incluye una solicitud de token de ejemplo.

            POST services/oauth2/token? HTTP 1.1
Host: MyExperienceCloudSite.my.site.com

code=********&
client_id=**********&
client_secret=*********&
redirect_uri=<callback_URL>&
grant_type=authorization_code&
code_verifier=*******

            Paso 7: Salesforce otorga un token de acceso

            DespuĆ©s de validar las credenciales de la aplicaciĆ³n. Salesforce devuelve un token de acceso. A continuaciĆ³n se incluye un ejemplo de respuesta de token de acceso en formato JSON.

            {
"access_token":"*******************",
"sfdc_community_url":"https://MyDomainName.my.site.com",
"sfdc_community_id":"0DBxxxxxxxxxxxx",
"signature":"ts6wm/svX3jXlCGR4uu+SbA04M6qhD1SAgVTEwZ59P4=",
"scope":"openid api",
"id_token":"XXXXXX",
"instance_url":"https://yourInstance.salesforce.com",
"id":"https://yourInstance.salesforce.com/id/00Dxxxxxxxxxxxx/005xxxxxxxxxxxx",
"token_type":"Bearer",
"issued_at":"1667600739962"
}

            La respuesta del token de acceso contiene estos parƔmetros.

            ParƔmetros de respuesta de token
            ParĆ”metro ĀæObligatorio? DescripciĆ³n
            access_token SĆ­. Token de OAuth que una aplicaciĆ³n cliente externa utiliza para solicitar el acceso a un recurso protegido en nombre de la aplicaciĆ³n cliente. Pueden acompaƱar permisos adicionales en la forma de Ć”mbitos al token de acceso.
            id SĆ­. Una URL de identidad que se puede utilizar para identificar al usuario y para consultar con el fin de obtener mĆ”s informaciĆ³n acerca del usuario. Consulte URL de identidad.
            id_token No. Una estructura de datos firmada que contiene atributos de usuario autenticados, incluyendo un identificador Ćŗnico para el usuario y una marca de tiempo que indica el momento en que se emite el token. TambiĆ©n identifica la aplicaciĆ³n solicitante. Consulte Especificaciones de OpenID Connect.
            instance_url SĆ­. Una URL que indica la instancia de la organizaciĆ³n del usuario. Por ejemplo, https://yourInstance.salesforce.com/.
            issued_at SĆ­. Una marca de hora de la creaciĆ³n de la firma, expresada como el nĆŗmero de milisegundos desde 1970-01-01T0:0:0Z UTC.
            refresh_token No. Token obtenido del servidor web, usuario-agente o flujo de token de aplicaciĆ³n hĆ­brida. Se trata de un valor secreto. Tome las medidas apropiadas para protegerlo. Este parĆ”metro solo se devuelve si su aplicaciĆ³n cliente externa o aplicaciĆ³n conectada se configura con un Ć”mbito refresh_token.
            signature SĆ­. Firma HMAC-SHA256 con codificaciĆ³n Base64 firmada con client_secret. La firma puede incluir el Id. concatenado y el valor issued_at, que puede utilizar para verificar que la URL de identidad no cambiĆ³ desde que la enviĆ³ el servidor.
            sfdc_community_url SĆ­. La URL del sitio de Experience Cloud.
            sfdc_community_id SĆ­. El Id. de sitio de Experience Cloud del usuario.
            state No. El estado solicitado por el cliente. Este valor solo se incluye si el parƔmetro state estƔ incluido en la cadena de consulta original.
            token_type SĆ­. Un tipo de token Bearer, que se utiliza para todas las respuestas que influyen un token de acceso.

            Paso 8: La aplicaciĆ³n crea la sesiĆ³n del usuario

            La aplicaciĆ³n recibe la respuesta del token de acceso y crea la sesiĆ³n del usuario.

            Paso 9: El usuario inicia sesiĆ³n y realiza una acciĆ³n en la aplicaciĆ³n

            El usuario final ahora tiene su sesiĆ³n iniciada y realiza una acciĆ³n en su aplicaciĆ³n que requiere acceso a datos de Salesforce. Por ejemplo, hace clic en un botĆ³n para ver su historial de pedidos, que se almacena en Salesforce.

            Nota
            Nota Cuando configura su aplicaciĆ³n cliente externa o aplicaciĆ³n conectada para el flujo CĆ³digo de autorizaciĆ³n y credenciales, establece la polĆ­tica Usuarios permitidos en Usuarios aprobados por el administrador se han autorizado previamente y configura quĆ© perfiles o conjuntos de permisos pueden acceder a la aplicaciĆ³n. Con esta polĆ­tica, los usuarios acceden a la aplicaciĆ³n sin autorizarla, de modo que no obtienen una pantalla de autorizaciĆ³n solicitĆ”ndoles permitir a la aplicaciĆ³n acceder a sus datos.

            Paso 10: La aplicaciĆ³n realiza una llamada autenticada a un extremo de Salesforce

            Para acceder a los datos de Salesforce del usuario, su aplicaciĆ³n utiliza el token de acceso para realizar una llamada autenticada a un extremo de Salesforce protegido, como una API de Salesforce.

            Paso 11: El usuario puede acceder a datos de Salesforce

            El usuario puede ahora acceder a datos de Salesforce protegidos en su aplicaciĆ³n. Por ejemplo, puede ver su historial de pedidos. Desde la perspectiva del usuario, el proceso completo desde el inicio de sesiĆ³n hasta el acceso a sus datos se produjo sin requerir nunca salir de la aplicaciĆ³n.

             
            Cargando
            Salesforce Help | Article