Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
OAuth Requisitos de la versión 2.0 para vincular cuentas
Cada conector C2C se basa en un servidor de autorización OAuth 2.0 para autenticar a los usuarios finales. A través de este servidor, los usuarios finales vinculan sus cuentas de terceros con la plataforma del dispositivo del cliente. La vinculación de cuentas es el primer paso que debe realizar un usuario final para utilizar los dispositivos compatibles con el conector C2C. Para obtener más información sobre las diferentes funciones de la vinculación de cuentas y la OAuth versión 2.0, consulteFunciones de vinculación de cuentas.
Si bien su conector C2C no necesita implementar una lógica empresarial específica para admitir el flujo de autorizaciones, el servidor de autorización OAuth2 .0 asociado a su conector C2C debe cumplir con las. OAuth requisitos de configuración
nota
Las integraciones gestionadas AWS IoT Device Management solo admiten la OAuth versión 2.0 con un flujo de códigos de autorización. Consulte el RFC 6749
La vinculación de cuentas es un proceso que permite a las integraciones gestionadas y al conector acceder a los dispositivos de un usuario final mediante un token de acceso. Este token proporciona integraciones administradas para AWS IoT Device Management con el permiso del usuario final, de modo que el conector puede interactuar con los datos del usuario final mediante llamadas a la API. Para obtener más información, consulte Flujo de trabajo para vincular cuentas.
Le recomendamos que no registre estos tokens confidenciales en ningún registro. Sin embargo, si se almacenan en registros, le recomendamos que utilice las políticas de protección de datos de los CloudWatch registros para ocultar los tokens de los registros. Para obtener más información, consulte Ayuda para proteger los datos de registro confidenciales con el enmascaramiento.
Las integraciones gestionadas AWS IoT Device Management no obtienen un token de acceso directamente, sino a través del tipo de concesión del código de autorización. En primer lugar, las integraciones gestionadas para AWS IoT Device Management deben obtener un código de autorización. A continuación, intercambia el código por un token de acceso y un token de actualización. El token de actualización se usa para solicitar un nuevo token de acceso cuando caduca el token de acceso anterior. Si tanto el token de acceso como el token de actualización han caducado, debes volver a realizar el flujo de vinculación de cuentas. Puede hacerlo con la operación de la StartAccountAssociationRefresh API.
importante
El alcance del token de acceso emitido debe ser para cada usuario, pero no para cada OAuth cliente. El token no debe proporcionar acceso a todos los dispositivos de todos los usuarios del cliente.
El servidor de autorización debe realizar una de las siguientes acciones:
-
Emita identificadores de acceso que contengan un identificador de usuario final (propietario del recurso) extraíble, como un token JWT.
-
Devuelve el ID de usuario final de cada token de acceso emitido.
OAuth requisitos de configuración
En la siguiente tabla se muestran los parámetros necesarios de su servidor de OAuth autorización para que las integraciones administradas de AWS IoT Device Management puedan vincular cuentas:
| Campo | Obligatorio | Comentario |
|
|
Sí |
Un identificador público para su aplicación. Se usa para iniciar los flujos de autenticación y se puede compartir públicamente. |
|
|
Sí |
Clave secreta que se utiliza para autenticar la aplicación en el servidor de autorización, especialmente cuando se intercambia un código de autorización por un token de acceso. Debe mantenerse confidencial y no compartirse públicamente. |
|
|
Sí |
El tipo de autorización que admite esta configuración de autorización. Actualmente, el único valor admitido es OAuth "2.0". |
|
|
Sí |
La URL de autorización del proveedor de servicios en la nube externo. |
|
|
Sí |
La URL del token del proveedor de servicios en la nube externo. |
|
|
Sí |
Esquema de autenticación de «HTTP_BASIC» o «REQUEST_BODY_CREDENTIALS». HTTP_BASIC indica que las credenciales del cliente están incluidas en el encabezado de autorización, mientras que la escalera indica que están incluidas en el cuerpo de la solicitud. |
El OAuth servidor que utilice debe estar configurado de modo que los valores de las cadenas de los símbolos de acceso estén codificados en Base64 con el juego de caracteres UTF-8.
