Autorizzazione delle applicazioni con OAuth
OAuth è un protocollo aperto che autorizza un'applicazione client ad accedere ai dati da una risorsa protetta attraverso lo scambio di token. I token OAuth sono essenzialmente autorizzazioni fornite a un'applicazione client.
Versioni (Edition) richieste
| Disponibile in: Salesforce Classic e Lightning Experience |
| Disponibile in: tutte le versioni |
Il server di risorse può convalidare i token e consentire all'applicazione client di accedere alle risorse protette definite. In Salesforce, è possibile utilizzare l'autorizzazione OAuth per approvare l'accesso di un'applicazione client alle risorse protette della propria organizzazione.
Importante OAuth non può essere utilizzato in modo indipendente per autenticare l'identità di un utente. Utilizzare invece OpenID Connect come servizio di autenticazione in aggiunta all'autorizzazione OAuth.
- Flussi di autorizzazione OAuth
I flussi di autorizzazione OAuth concedono a un'applicazione client un accesso limitato alle risorse protette su un server di risorse. Ogni flusso OAuth offre un processo diverso per l'approvazione dell'accesso all'applicazione client, ma in generale il flusso è costituito da tre passaggi principali. Per avviare un flusso di autorizzazione, un'applicazione client richiede l'accesso a una risorsa protetta. In risposta, un server di autorizzazione concede i token di accesso all'applicazione client. Un server di risorse convalida quindi questi token di accesso e approva l'accesso alla risorsa protetta. - Generazione di un URL frontdoor da collegare alle sessioni dell'interfaccia utente
Per concedere agli utenti l'accesso ininterrotto a Salesforce e ad altre app, utilizzare una sessione esistente per accedere automaticamente a una nuova interfaccia utente senza che debbano immettere nuovamente le credenziali. Ad esempio, reindirizzare gli utenti da un'applicazione personalizzata a un record specifico in Salesforce. Per passare da una sessione all'altra, utilizzare l'API Bridge interfaccia utente a accesso singolo (API Bridge interfaccia utente in breve). Con questa API, scambiare un token di accesso con un URL frontdoor utilizzato per caricare una nuova sessione. È anche possibile specificare un URI di reindirizzamento a cui vengono inviati gli utenti quando inizia la nuova sessione. - Estensione Proof Key for Code Exchange (PKCE)
Per migliorare la sicurezza delle implementazioni del provider OAuth e di autenticazione, utilizzare l'estensione OAuth 2.0 Proof Key for Code Exchange (PKCE). È possibile richiedere l'estensione PKCE a livello dell'organizzazione, richiederlo per un'applicazione connessa specifica e abilitarla automaticamente per i provider di autenticazione supportati. - Token e ambiti OAuth
I token OAuth autorizzano l'accesso alle risorse protette. Le applicazioni connesse ricevono i token per conto di un client dopo l'autorizzazione. Gli ambiti definiscono ulteriormente i tipi di risorse protette a cui può accedere l'applicazione connessa. Gli ambiti vengono assegnati a un'applicazione connessa durante la compilazione e vengono inclusi con i token OAuth durante il flusso di autorizzazione. - Token di accesso
I token di accesso sono la chiave per le API Salesforce. Quando un client completa correttamente un flusso di autorizzazione, sia che si tratti di un flusso OAuth 2.0 standard o di un flusso Headless Identity, Salesforce emette un token di accesso che può essere utilizzato per accedere ai dati Salesforce protetti. Salesforce supporta due tipi di token di accesso: token opachi e token di accesso basati su JWT. Ciascun tipo ha meriti e limitazioni specifici in base al caso d'uso. - Revoca dei token di accesso a Data Cloud
Revocare un token di accesso a Data Cloud per rimuovere l'accesso client ai dati di Salesforce Data Cloud. - Ambiti personalizzati Oauth
Un'app client esterna può utilizzare il protocollo di autorizzazione OAuth per accedere alle risorse protette. Nell'ambito del protocollo, gli ambiti predefiniti OAuth perfezionano le autorizzazioni dell'app per l'accesso alle risorse protette in Salesforce. Tuttavia, tali ambiti predefiniti sono insufficienti quando un'entità esterna ospita la risorsa protetta. In questo scenario, Salesforce svolge il ruolo di provider di autorizzazioni e autenticazione OAuth, ma ha una scarsa conoscenza della risorsa che sta proteggendo. Per definire le autorizzazioni di un'app client esterna per accedere alle risorse protette ospitate da un'entità esterna, creare un ambito personalizzato OAuth. L'ambito personalizzato indica all'entità esterna a quali informazioni l'app client esterna è autorizzata ad accedere. - URL identità
L'URL identità consente di accedere al servizio Salesforce Identity utilizzando i flussi utente-agente OAuth 2.0 o server Web OAuth 2.0. In questi flussi, quando un'applicazione connessa con ambitoidviene autorizzata correttamente, riceve un URL identità insieme al token di accesso. L'applicazione connessa può quindi inviare una richiesta GET con il token di accesso all'URL identità. In risposta Salesforce restituisce i dettagli relativi all'utente e all'organizzazione sottoposti a query. - Endpoint OAuth
Gli endpoint OAuth sono gli URL che si utilizzano per formulare le richieste di autorizzazione OAuth a Salesforce. Ogni flusso OAuth definisce gli endpoint da utilizzare e i dati della richiesta da fornire. - Endpoint echo OAuth 2.0
Utilizzare l'endpoint echo OAuth 2.0 per semplificare lo sviluppo quando si configura il flusso Codice di autorizzazione e credenziali per i client pubblici, ad esempio le app a pagina singola. È anche possibile utilizzare questo endpoint per le variazioni del flusso Codice di autorizzazione e credenziali, incluse la registrazione headless, l'accesso senza password e i flussi utente guest. - Abilitazione di CORS per gli endpoint OAuth
Le applicazioni Web utilizzano la condivisione delle risorse multiorigine (CORS) per richiedere risorse di origini diverse dalla propria. Ad esempio, una pagina Web può utilizzare CORS per richiedere informazioni su un utente dall'URL di accesso di Dominio personale o dall'URL del sito Experience Cloud. Oltre alle pagine Web pubbliche o inserite nell'elenco degli elementi consentiti, Salesforce supporta CORS per determinati endpoint OAuth quando richiesto da un URL di accesso di Dominio personale o da un sito Experience Cloud. - Query per informazioni utente
Un'applicazione connessa può eseguire una query sull'endpoint UserInfo per ottenere informazioni sull'utente associato al token di accesso dell'applicazione connessa. Salesforce restituisce i principali dati personali dell'utente e importanti endpoint con cui l'applicazione connessa può comunicare, ad esempio foto ed endpoint dell'API accessibili. Questo endpoint UserInfo consente di accedere solo alle informazioni dell'utente corrente e non a quelle degli altri utenti dell'organizzazione. - Query per la configurazione di OpenID Connect
Utilizzare l'endpoint OpenID Connect Discovery per effettuare query per chiedere informazioni sulla configurazione OpenID Connect di Salesforce. Salesforce restituisce informazioni di base sugli endpoint, gli ambiti supportati e altri valori utilizzati per l'autorizzazione OpenID Connect. - Query per le impostazioni di autenticazione SAML
È possibile eseguire query sull'endpoint configurazione autenticazione per avere informazioni sulle impostazioni di Single Sign-On SAML e provider di autenticazione di un'organizzazione o di un sito Experience Cloud. Utilizzare questa funzionalità quando si sviluppano app a cui occorrono queste informazioni su richiesta.
Vedere anche:
Questo articolo ha risolto il problema?
Facci sapere, così possiamo migliorare!
