Flujo de credenciales de cliente de OAuth 2.0 para la integraciĆ³n de servidor a servidor
En ocasiones, desea compartir directamente informaciĆ³n entre dos aplicaciones sin molestar a un usuario. Para estos escenarios, puede utilizar el flujo de credenciales de cliente de OAuth 2.0. En este flujo, la aplicaciĆ³n cliente intercambia sus credenciales de cliente definidas en la aplicaciĆ³n cliente externa (su clave de consumidor y secreto de consumidor) para un token de acceso. Este flujo elimina la necesidad de interacciĆ³n de usuario explĆcita, aunque le requiere especificar un usuario de integraciĆ³n para ejecutar la integraciĆ³n. Puede utilizar este flujo como una alternativa mĆ”s segura al flujo de nombre de usuario-contraseƱa de OAuth 2.0.
Ediciones necesarias
| Disponible en: Salesforce Classic y Lightning Experience |
| Disponible en: todas las ediciones |
Para utilizar el flujo de credenciales de cliente, debe crear una aplicaciĆ³n cliente externa y configurar sus parĆ”metros de OAuth y polĆticas de acceso.
Por ejemplo, crea una aplicaciĆ³n personalizada para ejecutar reportes automatizados desde Salesforce. Desea que la aplicaciĆ³n ejecute reportes cada noche. Para integrar su aplicaciĆ³n personalizada con Salesforce, configura una aplicaciĆ³n cliente externa. A continuaciĆ³n, para configurar su aplicaciĆ³n cliente externa para el flujo de credenciales de cliente, activa el flujo y asigna un usuario de integraciĆ³n. Cuando se inicia el servicio de reportes nocturno, su aplicaciĆ³n personalizada accede a los datos de Salesforce utilizando estos pasos de alto nivel.
- La aplicaciĆ³n cliente externa envĆa sus credenciales de cliente al extremo de tokens de Salesforce OAuth a travĆ©s de una solicitud POST.
- Salesforce valida las credenciales de cliente y autentica la aplicaciĆ³n.
- Salesforce devuelve un token de acceso en nombre del usuario de integraciĆ³n que asignĆ³.
- La aplicaciĆ³n cliente externa utiliza el token de acceso para llamar a una API de Salesforce, como API de REST.
- La API responde con los datos solicitados para el reporte.
Solicitar un token de acceso
Desglosemos el proceso de obtenciĆ³n de un token de acceso con el flujo de credenciales del cliente.
Para iniciar el flujo, la aplicaciĆ³n cliente externa publica sus credenciales de cliente en el extremo de tokens de Salesforce. Puede incluir las credenciales de cliente como parĆ”metros en el cuerpo de la solicitud. O bien, para mĆ”s seguridad, ponga las credenciales de su cliente en un encabezado de autorizaciĆ³n bĆ”sica.
A continuaciĆ³n se incluye un ejemplo de solicitud POST con las credenciales de cliente en el cuerpo de la solicitud.
POST /services/oauth2/token HTTP/1.1
Host: MyDomainName.my.salesforce.com
grant_type=client_credentials&
client_id=*******************&
client_secret=*******************Para este flujo, no se admiten las solicitudes a https://login.salesforce.com y https://test.salesforce.com. Utilice su URL de Mi dominio en su lugar. Para buscar la URL de Mi dominio, desde ConfiguraciĆ³n, en el cuadro BĆŗsqueda rĆ”pida, ingrese Mi dominio y, a continuaciĆ³n, seleccione Mi dominio.
Estos parƔmetros deben incluirse en la solicitud.
| ParĆ”metro | DescripciĆ³n |
|---|---|
client_id |
La clave de consumidor de la aplicaciĆ³n cliente externa. Para acceder a la clave de consumidor, desde el Gestor de aplicaciĆ³n cliente externa, busque la aplicaciĆ³n cliente externa y seleccione Modificar configuraciĆ³n desde el menĆŗ desplegable. A continuaciĆ³n amplĆe la secciĆ³n ConfiguraciĆ³n de OAuth y haga clic en Clave y secreto de consumidor. A veces se le solicita verificar su identidad antes de poder ver la clave de consumidor. |
client_secret |
El secreto de consumidor de la aplicaciĆ³n cliente externa. Para acceder al secreto de consumidor, desde el Gestor de aplicaciĆ³n cliente externa, busque la aplicaciĆ³n cliente externa y seleccione Modificar configuraciĆ³n desde el menĆŗ desplegable. A continuaciĆ³n amplĆe la secciĆ³n ConfiguraciĆ³n de OAuth y haga clic en Clave y secreto de consumidor. A veces se le solicita verificar su identidad antes de poder ver el secreto de consumidor. |
grant_type |
El tipo de concesiĆ³n de OAuth 2.0 que solicita la aplicaciĆ³n cliente externa. Para el flujo de credenciales de cliente, este valor se debe establecer en Para obtener una explicaciĆ³n detallada del tipo de otorgamiento de credenciales de cliente, consulte la secciĆ³n Otorgar credenciales de cliente en El marco de trabajo de autorizaciĆ³n OAuth 2.0 desde la Grupo de tareas de ingenierĆa de Internet. |
A continuaciĆ³n se incluye un ejemplo con las credenciales de cliente en un encabezado de autorizaciĆ³n bĆ”sica. Con este formato, client_id se anexa a client_secret en el formato client_id:client_secret, y el valor resultante tiene codificaciĆ³n Base64.
POST /services/oauth2/token HTTP/1.1
Host: MyDomainName.my.salesforce.com
Header: Authorization: Basic
TXlDbGllbnRJRDpNeUNsaWVudFNlY3JldA==
grant_type=client_credentialsSi utiliza este formato, grant_type es el Ćŗnico parĆ”metro requerido en el cuerpo de la solicitud. grant_type debe establecerse como client_credentials.
Salesforce otorga un token de acceso
DespuĆ©s de validar las credenciales del cliente, Salesforce devuelve una respuesta que contiene un token de acceso y Ć”mbitos solicitados. La aplicaciĆ³n puede utilizar el token de acceso para acceder a datos protegidos en Salesforce.
A continuaciĆ³n se incluye un ejemplo de respuesta de token de acceso en formato JSON.
{
"access_token": "*******************",
"instance_url": "https://yourInstance.salesforce.com",
"id": "https://login.salesforce.com/id/XXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXXXXX",
"token_type": "Bearer",
"scope": "id api",
"issued_at": "1657741493799",
"signature": "c2lnbmF0dXJl"
}Estos parƔmetros se incluyen en la respuesta.
| ParĆ”metro | DescripciĆ³n |
|---|---|
access_token
|
Token de OAuth que una aplicaciĆ³n cliente externa utiliza para solicitar el acceso a un recurso protegido en nombre de la aplicaciĆ³n cliente. Pueden acompaƱar permisos adicionales en la forma de Ć”mbitos al token de acceso. |
instance_url
|
Una URL que indica la instancia de la organizaciĆ³n del usuario. Por ejemplo: https://yourInstance.salesforce.com/. |
id
|
Una URL de identidad que se puede utilizar para identificar la organizaciĆ³n y el usuario de integraciĆ³n. El formato de la URL es https://login.salesforce.com/id/orgID/userID. |
token_type
|
Un tipo de token Bearer, que se utiliza para todas las respuestas que influyen un token de acceso.
|
scope
|
Los Ć”mbitos asociados con el token de acceso. Los Ć”mbitos definen mĆ”s el tipo de recursos protegidos a los que el cliente puede acceder. Usted asigna Ć”mbitos a una aplicaciĆ³n cliente externa cuando la crea, y se incluyen con los tokens de OAuth durante el flujo de autorizaciĆ³n. Debido a que el flujo de credenciales de cliente no admite sesiones de la interfaz de usuario y no emite un token de actualizaciĆ³n, Salesforce filtra automĆ”ticamente estos Ć”mbitos.
Para obtener mĆ”s informaciĆ³n, consulte Tokens y Ć”mbitos de OAuth. |
issued_at
|
Marca de tiempo del momento de creaciĆ³n de la firma en milisegundos. |
signature
|
Firma HMAC-SHA256 con codificaciĆ³n Base64 firmada con client_secret. La firma puede incluir el Id. concatenado y el valor issued_at, que puede utilizar para verificar que la URL de identidad no cambiĆ³ desde que la enviĆ³ el servidor. |
