Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
OAuth 2.0 exigences relatives à la liaison de comptes
Chaque connecteur C2C s'appuie sur un serveur d'autorisation OAuth 2.0 pour authentifier les utilisateurs finaux. Grâce à ce serveur, les utilisateurs finaux relient leurs comptes tiers à la plate-forme de l'appareil du client. L'association de comptes est la première étape requise par un utilisateur final pour utiliser les appareils compatibles avec votre connecteur C2C. Pour plus d'informations sur les différents rôles liés à la liaison de comptes et à la OAuth version 2.0, consultezRôles de liaison de comptes.
Bien que votre connecteur C2C n'ait pas besoin d'implémenter une logique métier spécifique pour prendre en charge le flux d'autorisation, le serveur d'autorisation OAuth2 .0 associé à votre connecteur C2C doit respecter les. OAuth exigences de configuration
Note
Intégrations gérées AWS IoT Device Management uniquement pour les supports OAuth 2.0 avec un flux de code d'autorisation. Consultez la RFC 6749
La liaison de comptes est un processus qui permet aux intégrations gérées et au connecteur d'accéder aux appareils d'un utilisateur final à l'aide d'un jeton d'accès. Ce jeton fournit des intégrations gérées pour AWS IoT Device Management avec l'autorisation de l'utilisateur final, de sorte que le connecteur puisse interagir avec les données de l'utilisateur final via des appels d'API. Pour de plus amples informations, veuillez consulter Flux de travail de liaison de comptes.
Nous vous recommandons de n'enregistrer ces jetons sensibles dans aucun journal. Toutefois, s'ils sont stockés dans des journaux, nous vous recommandons d'utiliser CloudWatch les politiques de protection des données des journaux pour masquer les jetons présents dans les journaux. Pour plus d'informations, voir Aider à protéger les données de journal sensibles grâce au masquage.
Les intégrations gérées pour AWS IoT Device Management n'obtiennent pas directement de jeton d'accès ; elles le font via le type d'octroi de code d'autorisation. Tout d'abord, les intégrations gérées pour AWS IoT Device Management doivent obtenir un code d'autorisation. Il échange ensuite le code contre un jeton d'accès et un jeton d'actualisation. Le jeton d'actualisation est utilisé pour demander un nouveau jeton d'accès lorsque l'ancien jeton d'accès expire. Si le jeton d'accès et le jeton d'actualisation ont tous deux expiré, vous devez exécuter à nouveau le flux de liaison des comptes. Vous pouvez le faire à l'aide de l'opération StartAccountAssociationRefresh API.
Important
Le jeton d'accès émis doit être défini par utilisateur, mais pas par OAuth client. Le jeton ne doit pas donner accès à tous les appareils de tous les utilisateurs du client.
Le serveur d'autorisation doit effectuer l'une des opérations suivantes :
-
Émettez des jetons d'accès contenant un identifiant d'utilisateur final (propriétaire de la ressource) extractible, tel qu'un jeton JWT.
-
Renvoie l'identifiant de l'utilisateur final pour chaque jeton d'accès émis.
OAuth exigences de configuration
Le tableau suivant illustre les paramètres requis par votre serveur OAuth d'autorisation pour les intégrations gérées permettant à AWS IoT Device Management d'effectuer la liaison de comptes :
| Champ | Obligatoire | Commentaire |
|
|
Oui |
Un identifiant public pour votre application. Il est utilisé pour initier des flux d'authentification et peut être partagé publiquement. |
|
|
Oui |
Clé secrète utilisée pour authentifier l'application auprès du serveur d'autorisation, notamment lors de l'échange d'un code d'autorisation contre un jeton d'accès. Il doit rester confidentiel et ne pas être partagé publiquement. |
|
|
Oui |
Type d'autorisation pris en charge par cette configuration d'autorisation. Actuellement, « OAuth 2.0 » est la seule valeur prise en charge. |
|
|
Oui |
URL d'autorisation du fournisseur de cloud tiers. |
|
|
Oui |
URL du jeton pour le fournisseur de cloud tiers. |
|
|
Oui |
Schéma d'authentification « HTTP_BASIC » ou « REQUEST_BODY_CREDENTIALS ». HTTP_BASIC indique que les informations d'identification du client sont incluses dans l'en-tête d'autorisation, tandis que le ladder indique qu'elles sont incluses dans le corps de la demande. |
Le OAuth serveur que vous utilisez doit être configuré de telle sorte que les valeurs des chaînes de jetons d'accès soient codées en Base64 avec le jeu de caractères UTF-8.
