Autorizar aplicaciones con OAuth
OAuth es un protocolo abierto que autoriza a una aplicación cliente a acceder a datos desde un recurso protegido a través del intercambio de tokens. Los tokens de OAuth son en esencia permisos dados a una aplicación cliente.
Ediciones necesarias
| Disponible en: Salesforce Classic y Lightning Experience |
| Disponible en: todas las ediciones |
El servidor de recursos puede validar los tokens y permitir que la aplicación cliente acceda a los recursos protegidos definidos. En Salesforce, puede utilizar autorización OAuth para aprobar el acceso de una aplicación cliente a los recursos protegidos de su organización.
Importante No puede utilizar OAuth de manera independiente para autenticar la identidad de un usuario. En su lugar, utilice OpenID Connect como un servicio de autenticación además de la autorización de OAuth.
- Flujos de autorización OAuth
Los flujos de autorización OAuth dan acceso restringido a una aplicación cliente a recursos protegidos en un servidor de recursos. Cada flujo de OAuth ofrece un proceso diferente para aprobar el acceso a una aplicación cliente, pero en general los flujos constan de tres pasos principales. Para iniciar un flujo de autorización, una aplicación cliente solicita acceso a un recurso protegido. En respuesta, un servidor que autoriza otorga tokens de acceso a la aplicación cliente. Un servidor de recursos valida a continuación estos tokens de acceso y aprueba el acceso al recurso protegido. - Generar una URL de puerta principal para unir en sesiones de la interfaz de usuario
Para proporcionar a los usuarios acceso ininterrumpido a Salesforce y otras aplicaciones, utilice una sesión existente para iniciar sesión automáticamente en una nueva interfaz de usuario sin hacerles ingresar sus credenciales de nuevo. Por ejemplo, redirija usuarios desde una aplicación personalizada a un registro específico en Salesforce. Para puentear de una sesión a otra, utilice API de puente de interfaz de usuario de acceso único (API de puente de interfaz de usuario para abreviar). Con esta API, puede intercambiar un token de acceso para una URL de puerta principal que utiliza para cargar una nueva sesión. También puede especificar un URI de redireccionamiento donde se envían los usuarios cuando comienza su nueva sesión. - Extensión de clave de prueba para Code Exchange (PKCE)
Para mejorar la seguridad de sus implementaciones de proveedor de autenticación y OAuth, utilice la clave de prueba de OAuth 2.0 para el intercambio de códigos (PKCE). Puede requerir PKCE a nivel de toda la organización, requerirlo para una aplicación conectada específica y activarlo automáticamente para proveedores de autenticación compatibles. - Tokens y ámbitos de OAuth
Los tokens de OAuth autorizan el acceso a recursos protegidos. Las aplicaciones conectadas reciben tokens en nombre de un cliente después de la autorización. Los ámbitos definen más el tipo de recursos protegidos a los que el aplicación conectada puede acceder. Usted asigna ámbitos a una aplicación conectada cuando la construye, y se incluyen con los tokens de OAuth durante el flujo de autorización. - Tokens de acceso
Los tokens de acceso son su clave para las API de Salesforce. Cuando un cliente completa con éxito un flujo de autorización, ya sea un flujo de OAuth 2.0 estándar o un flujo de identidad desatendido, Salesforce emite un token de acceso que se puede utilizar para acceder a datos protegidos de Salesforce. Salesforce admite dos tipos de tokens de acceso: tokens opacos y tokens de acceso basados en tokens Web de JSON (JWT). Cada tipo tiene sus propios límites y su propia descripción en base a su caso de uso. - Revocar tokens de acceso de Data Cloud
Revoque un token de acceso de Data Cloud para eliminar el acceso de clientes a datos de Salesforce Data Cloud. - Ámbitos personalizados de OAuth
Una aplicación cliente externa puede utilizar el protocolo de autorización de OAuth para acceder a recursos protegidos. Como parte del protocolo, los ámbitos predeterminados de OAuth ajustan los permisos de la aplicación para acceder a recursos protegidos en Salesforce. Sin embargo, estos ámbitos predeterminados no son suficientes cuando una entidad externa aloja el recurso protegido. En este escenario, Salesforce desempeña la función de proveedor de autorización y autenticación de OAuth, pero tiene ligeros conocimientos sobre el recurso que está protegiendo. Para definir los permisos de una aplicación cliente externa para acceder a recursos protegidos alojados por una entidad externa, cree un ámbito personalizado de OAuth. El ámbito personalizado indica a la entidad externa a qué información está autorizada la aplicación cliente externa para acceder. - URL de identidad
La URL de identidad es la pasarela al Servicio de identidad de Salesforce al que se puede acceder empleando los flujos usuario-agente o servidor web de OAuth 2.0. En estos flujos, cuando una aplicación conectada con el ámbitoidse autoriza correctamente, recibe una dirección URL de identidad junto con el token de acceso. La aplicación conectada puede enviar una solicitud GET con el token de acceso a la URL de identidad. En respuesta, Salesforce devuelve detalles sobre el usuario y la organización consultados. - Extremos de OAuth
Los extremos de OAuth son las direcciones URL que utiliza para realizar solicitudes de autorización de OAuth a Salesforce. Cada flujo de OAuth define qué extremos utilizar y qué datos de solicitud proporcionar. - Extremo echo de OAuth 2.0
Utilice el extremo echo de OAuth 2.0 para simplificar el desarrollo cuando configure el flujo Código de autorización y credenciales para clientes públicos, como aplicaciones de una única página. También puede utilizar este extremo para variaciones del flujo Código de autorización y credenciales, incluyendo registro desatendido, inicio de sesión sin contraseña y flujos de usuario invitado. - Activar CORS para Extremos de OAuth
Las aplicaciones web utilizan Uso compartido de recursos de origen cruzado (CORS) para solicitar recursos de orígenes distintos a los suyos. Por ejemplo, una página web puede utilizar CORS para solicitar información sobre un usuario desde su URL de inicio de sesión de Mi dominio o URL de sitio de Experience Cloud. Además de las páginas web públicas e incluidas en la lista de admisión, Salesforce admite CORS para ciertos extremos de OAuth cuando se solicita desde una URL de inicio de sesión de Mi dominio o URL de sitio de Experience Cloud. - Consultar información de usuario
Una aplicación conectada puede consultar el extremo UserInfo para obtener información sobre el usuario asociado con el token de acceso de la aplicación conectada. Salesforce devuelve información personal básica acerca del usuario y extremos importantes a los que puede dirigirse la aplicación conectada, como fotos y extremos de API accesibles. Este extremo de información de usuario proporciona acceso a información solo para el usuario actual. No proporciona acceso a otros usuarios en la organización. - Consulta de la configuración de OpenID Connect
Utilice el extremo de detección de conexión OpenID para consultar información acerca de la configuración de OpenID Connect de Salesforce. Salesforce devuelve información básica sobre extremos, ámbitos admitidos y otros valores usados para la autorización de Conexión OpenID. - Consultar configuración de autenticación SAML
Puede consultar el extremo de configuración de autenticación para obtener información sobre el inicio de sesión único de un sitio de Experience Cloud o SAML de una organización y los parámetros del proveedor de autenticación. Utilice esta función cuando esté desarrollando aplicaciones que necesiten esta información bajo solicitud.
Consulte también:
¿Resolvió este artículo su problema?
¡Háganos saber cómo podemos mejorar!
