Registro de cliente dinámico de OpenID Connect para pasarelas de API externas

Nota La creación de aplicaciones conectadas está restringida a partir de Spring ‘26. Puede continuar utilizando aplicaciones conectadas existentes durante y después de Spring ‘26. Sin embargo, recomendamos utilizar aplicaciones cliente externas en su lugar. Si debe seguir creando aplicaciones conectadas, haga contacto con el Servicio de asistencia de Salesforce.

Consulte Las nuevas aplicaciones conectadas ya no se pueden crear en Spring ‘26 para obtener más detalles.

El registro de clientes dinámico permite que los servidores de recursos registren aplicaciones cliente directamente como aplicaciones conectadas en Salesforce. Las aplicaciones cliente son aplicaciones externas que solicitan acceso a recursos protegidos. Para registrar aplicaciones cliente como aplicaciones conectadas, el servidor de recursos envía una solicitud al servidor de autorización. El servidor de autorización verifica la solicitud del servidor de recursos y crea la aplicación conectada, dándole un Id. de cliente y secreto de cliente exclusivos.

Como parte del proceso de autorización, la instrospección de tokens permite a todas las aplicaciones conectadas de OAuth comprobar el estado actual de un token de acceso o actualización de OAuth 2.0. El servidor de recursos o las aplicaciones conectadas envían el Id. de cliente y el secreto de la aplicación cliente al servidor de autorización, iniciando un flujo de autorización de OAuth. Como parte de este flujo, el servidor de autorización valida o realiza una introspección del token de acceso de la aplicación cliente. Si el token de acceso es vigente y válido, se otorga acceso a la aplicación cliente.

Por ejemplo, desea que sus socios de Salesforce puedan acceder a datos de estado de pedidos de forma independiente. De este modo construye un servicio que expone el estado de los pedidos entre varios sistemas con una pasarela de API, que se implementa en la plataforma Anypoint de MuleSoft. Para habilitar el acceso protegido a estos datos, realiza los pasos siguientes.

1. Aplica una política para exigir tokens de OpenID en la pasarela de API.
2. Configura su instancia de Salesforce como un proveedor de gestión de clientes en la plataforma Anypoint de Mulesoft.

Con esta configuración, la pasarela de API utiliza su instancia de Salesforce como su proveedor de autorización en el flujo de registro de cliente dinámico de OpenID Connect.

Estos son los pasos para este flujo.

1. Crea una aplicación conectada para la pasarela de API y genera un token de acceso inicial para ella. Salesforce requiere este token para autenticar las solicitudes de registro de cliente dinámico. Consulte Generar un token de acceso inicial.
2. Configure su pasarela de API:
   • Aplique una política para exigir tokens de OpenID.
   • Configure su instancia de Salesforce como un proveedor de gestión de clientes.
   • Si lo requiere su pasarela de API, registre su token de acceso inicial.
3. Para iniciar el flujo, la pasarela de API registra una aplicación conectada con el extremo de registro de clientes dinámico de Salesforce.
4. Tras un registro satisfactorio, Salesforce responde con los metadatos de la aplicación conectada registrada.
5. La pasarela de API envía una solicitud al extremo de autorizaciones de Salesforce para aprobar la aplicación conectada registrada en base al tipo de otorgamiento de autorización asociado con ella. Con una validación satisfactoria, Salesforce genera un token de acceso para la aplicación conectada registrada.
6. La pasarela de API envía una solicitud al extremo de introspección de tokens de Salesforce para validar el token de acceso.
7. Después de una validación satisfactoria, la pasarela de API permite a la aplicación conectada registrada acceder a los datos protegidos.

Registrar una aplicación conectada

La aplicación conectada que representa la pasarela de API externa registra una nueva aplicación cliente como una aplicación conectada con el extremo de registro de clientes dinámico de Salesforce. El formato de la URL de extremo de registro de cliente dinámico es https://nombrehost/services/oauth2/register.

Nota El número máximo de aplicaciones conectadas de OAuth 2.0 que se pueden registrar a través del extremo de registro de cliente dinámico es 100.

Salesforce requiere la aplicación conectada de OAuth 2.0 de solicitud para proporcionar el token de acceso inicial en el encabezado de la solicitud. Este ejemplo es una solicitud publicada en el extremo de registro de cliente dinámico.

POST /services/oauth2/register HTTP/1.1
Content-Type: application/json
Accept: application/json
Authorization: Bearer <initial.access.token>
Host: myorg.salesforce.com

{"redirect_uris":["https://client.salesforce.com/redirect.html",
"https://client.salesforce.com/callback","http://localhost"],
"response_types":["code","token","id_token"],
"grant_types":["authorization_code","implicit","refresh_token"],
"application_type":"web",
"contacts":["abc@sf.com","ve7jtb@example.org"],
"client_name","Client Name Example",
"logo_uri":"https://client.salesforce.com/logo.png",
"client_uri":"https://client.salesforce.com/info.html"}

Incluya los siguientes parámetros en la solicitud de registro. Para obtener información adicional sobre estos parámetros, consulte la sección 3.1 Solicitud de registro de cliente en Registro de cliente dinámico de OpenID Connect 1.0 con el conjunto de erratas 1.

Parámetro	Descripción
redirect_url	La URL donde se redirige a los usuarios después de una autenticación satisfactoria. El URI de redireccionamiento debe coincidir con uno de los valores del campo URL de devolución de llamada de la aplicación conectada. De lo contrario, la aprobación falla. Puede encontrar el URI de redireccionamiento en la página Gestionar aplicaciones conectadas de la aplicación conectada o en la definición de la aplicación conectada. Este valor debe tener codificación de URL.
response_types	Los valores de respuesta de OAuth 2.0 que el propio cliente se limita a utilizar. Salesforce no almacena o restringe tipos de respuesta para clientes.
grant_types	Los tipos de otorgamiento de OAuth 2.0 que el propio cliente se limita a utilizar. Salesforce no almacena o restringe tipos de otorgamiento para clientes.
application_type	(Opcional) Tipo de aplicación, como native o web. Salesforce no almacena el tipo de aplicación con el cliente.
contacts	(Opcional) Si no proporciona un valor de contacto, Salesforce genera automáticamente un contacto predeterminado.
client_name	(Opcional) SI no proporciona un valor de nombre de cliente, Salesforce genera automáticamente un nombre de cliente predeterminado.
scopes	(Opcional) Permisos que definen el tipo de recursos protegidos a los que puede acceder una aplicación conectada. Usted asigna ámbitos a una aplicación conectada cuando la construye, y se incluyen con los tokens de OAuth durante el flujo de autorización. Si no incluye este parámetro, se solicitan todos los ámbitos asignados a la aplicación conectada. Los ámbitos que se hayan pasado en este parámetro deben ser un subconjunto de los ámbitos registrados. Para consultar los parámetros válidos, vea Ámbitos de OAuth. Si no proporciona ámbitos, Salesforce agrega id, api y openid para el cliente. Si incluye el tipo de otorgamiento refresh_token en la solicitud, pero no proporciona un ámbito, Salesforce agrega el ámbito refresh_token.

HTTP/1.1 201 Created
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache

{"client_id":"client_id=3MVG9lKcPoNINVBIPJjdw1J9LLM82HnFVVX19KY1
uA5mu0QqEWhqKpoW3svG3XHrXDiCQjK1mdgAvhCscA9GE",
"client_secret":"client_secret=
1955279925675241571",
"registration_access_token":"00DR00000009GVP!ARQAQE5XuPV7J4GoOu3wvLZjZI_TxoBpeZpRb6d8AVdII6cz
_BY_uu1PKxGeAjkSvO0LpWoL_qfbQWKlXoz1f2ICNiy.6Ndr",
"registration_client_uri":"https://login.salesforce.com/
services/oauth2/register/3MVG9qKMKuRGRcbs8STMW7uUqqf0OP5l1GeQt1qRF6_
UyAqTC1ky0RlpN3L9Z8PSo4nTTTmDzymYy4tEbrKY.",
"client_id_issued_at":1534292303,
"client_secret_expires_at":0,
"token_endpoint_auth_method":"client_secret_post",
"redirect_uris":["https://login.salesforce.com/redirect.html",
"https://client.salesforce.com/callback","http://localhost"],
"response_types":["code","token","id_token"],
"grant_types":["authorization_code","implicit","refresh_token"],
"contacts":["abc@sf.com"],
"client_name":"Client Name Example",
"logo_uri":"https://client.salesforce.com/logo.png",
"client_uri":"https://client.salesforce.com/info.html",
"scopes":["openid","refresh_token","id","api"]}

HTTP/1.1 200 OK
Content-Type: application/json

{
"active":true,
"scope":"id api web full refresh_token openid",
"client_id":"OAuthSp",
"username":"myuser@salesforce.com",
"sub":"https://login.salesforce.com/id/00Dxx0000001gEREAY/005xx000001Sv6AAAS",
"token_type":"access_token",
"exp":1528502109,
"iat":1528494909,
"nbf":1528494909"
}

HTTP/1.1 200 OK
Content-Type: application/json

{
"active":true,
"scope":"id api web full refresh_token openid",
"client_id":"OAuthSp",
"username":"myuser@salesforce.com",
"sub":"https://login.salesforce.com/id/00Dxx0000001gEREAY/005xx000001Sv6AAAS",
"token_type":"access_token",
"exp":1528502109,
"iat":1528494909,
"nbf":1528494909
child_sessions":{ 
      "content":"inactive",
      "lightning":"active",
      "visualforce":"missing"}
}

HTTP/1.1 200 OK
Content-Type: application/json

{
"active": false
}