Loading
Identificar sus usuarios y gestionar el acceso
Índice de materias
Filtrar por (0)Agregar
Seleccionar filtros

          No hay resultados
          No hay resultados
          Estas son algunas sugerencias de búsqueda

          Compruebe la ortografía de sus palabras clave.
          Utilice términos de búsqueda más generales.
          Seleccione menos filtros para ampliar su búsqueda.

            Buscar en toda la Ayuda de Salesforce
            Buscar en toda la Ayuda de Salesforce
            Flujo de token de usuario-agente híbrido OAuth 2.0 para Gestión de sesión web

            Usted está aquí:

            1. Ayuda de Salesforce
            2. Documentos
            3. Identificar sus usuarios y gestionar el acceso

            Flujo de token de usuario-agente híbrido OAuth 2.0 para Gestión de sesión web

            Utilice el flujo de token de usuario-agente híbrido de OAuth 2.0 para proporcionar a aplicaciones híbridas gestión directa de sesiones web. Cuando el servidor que autoriza otorga un token de acceso, incluye los Id. de sesión (SID) para los dominios solicitados en su respuesta. Tras la autorización, la aplicación híbrida puede establecer cookies de dominio de contenido, Lightning y Visualforce y acortar un token de acceso en una sesión web, proporcionando servicio ininterrumpido.

            Ediciones necesarias

            Disponible en: Salesforce Classic y Lightning Experience
            Disponible en: todas las ediciones
            Nota
            Nota La creación de aplicaciones conectadas está restringida a partir de Spring ‘26. Puede continuar utilizando aplicaciones conectadas existentes durante y después de Spring ‘26. Sin embargo, recomendamos utilizar aplicaciones cliente externas en su lugar. Si debe seguir creando aplicaciones conectadas, haga contacto con el Servicio de asistencia de Salesforce.

            Consulte Las nuevas aplicaciones conectadas ya no se pueden crear en Spring ‘26 para obtener más detalles.

            El flujo de token usuario-agente híbrido sigue los mismos pasos de autorización utilizados en el flujo usuario-agente, con la excepción de que el flujo de token usuario-agente híbrido utiliza hybrid_token como su tipo de otorgamiento. Por ejemplo, crea una aplicación híbrida para su departamento de ventas para acceder a información durante sus desplazamientos, incluyendo un tablero que realiza un seguimiento de clientes potenciales de ventas principales. Esta aplicación implementa el flujo de token de aplicación híbrida, que sigue estos pasos.

            • Para integrar la aplicación híbrida con la API de Salesforce, cree una aplicación conectada. Active parámetros de OAuth y asigne estos ámbitos de OAuth a la aplicación conectada:
              • lightning
              • content
              • refresh_token
              • visualforce
              • web
            • El usuario final abre la aplicación y se dirige a Salesforce para autenticar y autorizar la aplicación.
            • Después de que el usuario apruebe el acceso para este flujo de autorización, la aplicación conectada recibe la devolución de llamada desde Salesforce a la URL de redireccionamiento, que extrae los tokens de acceso y actualización. Los SID de contenido, Visualforce y Lightning para los dominios respectivos también están incluidos, junto con cookies de sesión que permiten a la aplicación acortar directamente una sesión web.
            • La aplicación establece las cookies de sesión de Lightning, Visualforce y contenido y acorta un token de acceso en una sesión web.
            • El usuario puede acceder al tablero de clientes potenciales de ventas principales sin sesiones interrumpidas.

            Este es el desglose de cada paso del flujo de aplicación híbrida de OAuth 2.0.

            • Cree una aplicación conectada para la aplicación híbrida.
            • La aplicación redirige los usos al extremo de autorización.
            • El usuario autentica y autoriza el acceso.
            • Salesforce otorga el token de acceso y los ámbitos solicitados.
              Nota
              Nota El flujo híbrido usuario-agente solo puede emitir tokens de acceso opacos. No admite tokens de acceso basados en JWT.
            • La aplicación establece directamente los SID en las cookies de sesión de los dominios y acorta el acceso en una sesión web.

            Redireccionamiento al extremo de autorización

            Para obtener la autorización de un usuario para acceder a datos de Salesforce, la aplicación redirige el usuario al extremo de autorización. A continuación se incluye un redireccionamiento HTTP de ejemplo.

            https://login.salesforce.com/services/oauth2/authorize?response_type=hybrid_token&
client_id=3MVG9lKcPoNINVBIPJjdw1J9LLJbP_pqwoJYyuisjQhr_LLurNDv7AgQvDTZwCoZuDZrXcPCmBv4o.8ds.5iE&
redirect_uri=https%3A%2F%2Flogin.salesforce.com%2Fservices%2Foauth2%2Fsuccess&scope=web%20visualforce%20refresh_token%20lightning%20content

            Incluya estos parámetros en la URL.

            Parámetro Descripción
            Extremo de autorización de OAuth 2.0 El extremo de autorización de OAuth 2.0 de la instancia de Salesforce. Las aplicaciones conectadas envían solicitudes de autorización de OAuth a este extremo.
            client_id Haga clic en la clave de consumidor de la aplicación conectada. Para acceder a la clave de consumidor, desde el Gestor de aplicaciones, busque la aplicación conectada y seleccione Ver desde el menú desplegable. A continuación haga clic en Gestionar detalles de consumidor. A veces se le solicita verificar su identidad antes de poder ver la clave de consumidor.
            redirect_uri La URL donde se redirige a los usuarios después de una autenticación satisfactoria. El URI de redireccionamiento debe coincidir con uno de los valores del campo URL de devolución de llamada de la aplicación conectada. De lo contrario, la aprobación falla. Puede encontrar el URI de redireccionamiento en la página Gestionar aplicaciones conectadas de la aplicación conectada o en la definición de la aplicación conectada. Este valor debe tener codificación de URL.
            response_type Utilice el valor hybrid_token. También puede utilizar el valor token id_token, con el ámbito openid y un parámetro nonce. Si especifica token id_token, Salesforce devuelve un token de Id. en la respuesta.

            Estos parámetros son opcionales.

            Parámetro Descripción
            scope

            Los permisos que definen el tipo de recursos protegidos a los que la aplicación conectada puede acceder. Usted asigna ámbitos a una aplicación conectada cuando la construye, y se incluyen con los tokens de OAuth durante el flujo de autorización.

            Si no incluye este parámetro, se solicitan todos los ámbitos asignados a la aplicación conectada. Los ámbitos que se hayan pasado en este parámetro deben ser un subconjunto de los ámbitos registrados. Para consultar los parámetros válidos, vea Ámbitos de OAuth.

            Para este flujo, asigne el ámbito web a la aplicación conectada de modo que pueda acceder a una sesión web. El ámbito web es un requisito previo para utilizar el flujo de token de usuario-agente híbrido. También se recomienda configurar la aplicación conectada para acceder a estos ámbitos.

            • content (solicita dominio y SID de contenido)
            • lightning (solicita dominio y SID de Lightning)
            • visualforce (solicita dominio y SID de Visualforce)
            • refresh_token (solicita sesiones renovadas)
            state Cualquier estado que solicite el servicio web externo a la URL de devolución de llamadas. Este valor debe tener codificación de URL.
            display

            Cambia el tipo de visualización de las páginas de inicio de sesión y autorización. Salesforce admite estos valores:

            • page: Pantalla de autorización de página completa (predeterminado).
            • popup: Cuadro de diálogo compacto optimizado para cuadros emergentes de explorador web moderno.
            • touch: Cuadro de diálogo optimizado para aplicaciones móviles diseñado para dispositivos móviles modernos, como Android e iPhone.
            • mobile: Cuadro de diálogo optimizado para aplicaciones móviles diseñado para dispositivos menos modernos, como sistema operativo BlackBerry 5.
            login_hint

            Proporciona un valor de nombre de usuario válido para rellenar previamente la página de inicio de sesión con el nombre de usuario, como login_hint=username@company.com. Si un usuario ya tiene una sesión activa en el navegador y por lo tanto el parámetro login_hint no hace nada, la sesión de usuario activa continúa.

            Para pasar el parámetro login_hint para sitios de Experience Cloud, pase también el parámetro prompt=login. Juntos, estos parámetros redirigen al usuario a la página de inicio de sesión con la sugerencia de inicio de sesión correcta.
            nonce Utilizar con el ámbito openid para solicitar un token de Id. de usuario. El token de Id. de usuario se devuelve en la respuesta. Este parámetro es opcional, pero ayuda a detectar ataques de repetición.
            prompt

            Especifica cómo el servidor de autorización solicita al usuario una reaprobación y reautenticación. Salesforce admite estos valores:

            • login: El servidor de autorización debe solicitar al usuario la reautenticación, forzando así el usuario a volver a iniciar sesión.
            • consent: El servidor de autorización debe solicitar al usuario una reaprobación antes de devolver información al cliente.
            • select_account: Si se presenta, utilice una para las siguientes acciones.
              • Si cero o una indicación está disponible y el usuario ha iniciado sesión, muestre la página de aprobación sin solicitar el inicio de sesión.
              • Si cero o una indicación está disponible y el usuario no ha iniciado sesión, solicite el inicio de sesión.
              • Si más de una indicación está disponible, muestre el selector de cuentas.

            Puede pasar los valores login y consent, separados por un espacio, para solicitar al usuario tanto iniciar sesión como volver a autenticarse. Por ejemplo: ?prompt=login%20consent

            El usuario autentica y autoriza el acceso

            El usuario inicia sesión en Salesforce con sus credenciales. El usuario interactúa con el extremo de autorización directamente, de modo que la aplicación nunca ve las credenciales del usuario.

            Página de inicio de sesión en organización de Salesforce

            Tras un inicio de sesión satisfactorio, Salesforce redirige a los usuarios a la página de aprobación para otorgar acceso a la aplicación.

            Salesforce otorga el token de acceso y los ámbitos solicitados

            Después de que el usuario aprueba el acceso a la aplicación, Salesforce redirige al usuario a la URL de devolución de llamada. Incluido en el redireccionamiento está el token de acceso otorgado, los nombres de dominio solicitados, las sesiones de dominio y los ámbitos asociados. La aplicación conectada extrae el token y los parámetros para acceder a los recursos de ámbito en nombre del usuario final.

            A continuación se incluye un ejemplo de la devolución de llamada del servidor. La respuesta está detrás de una etiqueta de almohadilla (#), en lugar de los parámetros de consulta de HTTP.

            https://www.customercontactinfo.com/user_callback.jsp#
access_token=yourtokenhere&
refresh_token=yourtokenhere&
instance_url=https://yourInstance.salesforce.com/
id=https://user.internal.salesforce.com/7443%2Fid%2F00Dxx0000006HM7EAM%2F005xx000001X8ErAAK&
issued_at=1604004352722&
signature=DcQ84..
content_domain=MyDomainName.file.force.com&
content_sid=00Dxx0000006Gb…&
lightning_domain=MyDomainName.lightning.force.com&
lightning_sid=00Dxx000000...&
visualforce_domain=MyDomainName.file.force.com&
visualforce_sid=00Dxx000000...&
sidCookieName=sid&
cookie-sid_Client=0000000...&
cookie-clientSrc=10.xxx.xx.xx&
csrf_token=eyJub...&
scope=web+visualforce+refresh_token+lightning+content&
token_type=Bearer

            La respuesta en el ejemplo contiene estos parámetros tras la etiqueta de almohadilla (#). La URL de devolución de llamadas de la aplicación conectada precede a la etiqueta de almohadilla (#).

            Parámetro Descripción
            access_token Token de OAuth que una aplicación conectada utiliza para solicitar el acceso a un recurso protegido en nombre de una aplicación cliente. Pueden acompañar permisos adicionales en la forma de ámbitos al token de acceso.
            refresh_token

            Token obtenido del servidor web, usuario-agente o flujo de token de aplicación híbrida. Se trata de un valor secreto. Tome las medidas apropiadas para protegerlo.

            El token de actualización del flujo de token usuario-agente híbrido solo se emite si ha solicitado el token scope=refresh_token y se cumple una de estas situaciones:

            • La URL de redirección utiliza un protocolo personalizado.
            • El host de URL de redirección coincide con el host solicitado e incluye el servlet services/oauth2/success. Por ejemplo:
              • https://login.salesforce.com/services/oauth2/success
              • https://test.salesforce.com/services/oauth2/success
              • https://MyDomainName.my.salesforce.com/services/oauth2/success
              • https://MyDomainName.my.site.com/services/oauth2/success
            • La URL de redireccionamiento es https://mobileauth.salesforce.com/oauth/done

            El token de actualización otorgado en este flujo es completamente compatible con el flujo de token de actualización de OAuth estándar.
            instance_url Una URL que indica la instancia de la organización del usuario. Por ejemplo: https://yourInstance.salesforce.com/.
            id Una URL de identidad que se puede utilizar para identificar al usuario y para consultar con el fin de obtener más información acerca del usuario. Consulte URL de identidad.
            issued_at Marca de tiempo del momento de creación de la firma en milisegundos.
            signature Firma HMAC-SHA256 con codificación Base64 firmada con client_secret. La firma puede incluir el Id. concatenado y issued_at value, que puede utilizar para verificar que la URL de identidad no cambió desde que la envió el servidor.
            scope

            Los ámbitos asociados con el token de acceso.

            Los ámbitos definen más el tipo de recursos protegidos a los que el cliente puede acceder. Usted asigna ámbitos a una aplicación conectada cuando la construye, y se incluyen con los tokens de OAuth durante el flujo de autorización.

            Para consultar los parámetros válidos, vea Ámbitos de OAuth.
            content_domain

            El dominio de la sesión de contenido, que se asigna al SID de contenido: MyDomainName.file.force.com → content_sid.

            Solo recibirá este valor si asigna el ámbito content.
            content_sid

            El SID asociado con el dominio de la sesión de contenido. Salesforce devuelve un SID exclusivo que la aplicación híbrida establece directamente en la cookie de sesión del dominio.

            Solo recibirá este valor si asigna el ámbito content.
            lightning_domain

            El dominio de la sesión Lightning, que se asigna al SID de Lightning: MyDomainName.lightning.force.com → lightning_sid.

            Recibirá este valor solo si asigna el ámbito lightning.
            lightning_sid

            El SID asociado con el dominio de la sesión de Lightning. Salesforce devuelve un SID exclusivo que la aplicación híbrida establece directamente en la cookie de sesión del dominio.

            Recibirá este valor solo si asigna el ámbito lightning.
            visualforce_domain

            El dominio de la sesión de Visualforce, que se asigna al SID de Visualforce: MyDomainName.vf.force.com → visualforce_sid.

            Recibirá este valor solo si asigna el ámbito visualforce.
            visualforce_sid

            El SID asociado con el dominio de la sesión de Visualforce. Salesforce devuelve un SID exclusivo que la aplicación híbrida establece directamente en la cookie de sesión del dominio.

            Recibirá este valor solo si asigna el ámbito visualforce.
            token_type Un tipo de token Bearer, que se utiliza para todas las respuestas que influyen un token de acceso.
            csrf_token

            El token de falsificación de petición en sitios cruzados (CSRF) para prevenir ataques durante sesiones secundarias.

            Recibirá este valor solo si asigna el ámbito lightning.
            sidCookieName El nombre de la cookie de sesión que la aplicación híbrida utiliza para acortar directamente una sesión web. El valor predeterminado es sid.
               
            cookie-sid_Client Una cookie de sesión que detecta y evita manipulación de sesión. Esta cookie de sesión permite a la aplicación híbrida acortar directamente una sesión web.
            cookie-clientSrc Una cookie de sesión que se utiliza para protecciones de seguridad. Esta cookie de sesión permite a la aplicación híbrida acortar directamente una sesión web.

            La respuesta también puede contener estos parámetros.

            Parámetro Descripción
            id_token

            Una estructura de datos firmada que contiene atributos de usuario autenticados, incluyendo un identificador único para el usuario y una marca de tiempo que indica el momento en que se emite el token. También identifica la aplicación del cliente solicitante. Consulte Especificaciones de OpenID Connect.

            Este parámetro se devuelve si el parámetro scope incluye openid.
            sfdc_site_url Si el usuario es un miembro de un sitio de Experience Cloud, se proporciona la URL del sitio.
            sfdc_site_id Si el usuario es un miembro de un sitio de Experience Cloud, se proporciona el Id. de sitio del usuario.

            La aplicación establece SID de dominio y acorta el acceso a una sesión web

            La aplicación híbrida establece los SID asociados del dominio en las cookies de sesión para acortar directamente una sesión web.

            Para implementaciones que están reestableciendo la división de usuario en objetos para la configuración Restablecer a división predeterminada en Inicio de sesión, la aplicación híbrida debe acortar una sesión web utilizando frontdoor.jsp. Para obtener más información, consulte Uso de Frontdoor.jsp para acortar sesiones en Salesforce. Para obtener más información acerca de divisiones de usuario, consulte Organizar datos con divisiones.

             
            Cargando
            Salesforce Help | Article