OAuth Requisiti 2.0 per il collegamento degli account - Integrazioni gestite per AWS IoT Device Management
OAuth requisiti di configurazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

OAuth Requisiti 2.0 per il collegamento degli account

Ogni connettore C2C si basa su un server di autorizzazione OAuth 2.0 per autenticare gli utenti finali. Tramite questo server, gli utenti finali collegano i propri account di terze parti alla piattaforma del dispositivo del cliente. Il collegamento dell'account è il primo passaggio richiesto da un utente finale per utilizzare i dispositivi supportati dal connettore C2C. Per ulteriori informazioni sui diversi ruoli nel collegamento degli account e OAuth nella versione 2.0, consulta. Ruoli di collegamento degli account

Sebbene il connettore C2C non richieda l'implementazione di una logica aziendale specifica per supportare il flusso di autorizzazione, il server di autorizzazione OAuth2 .0 associato al connettore C2C deve soddisfare i. OAuth requisiti di configurazione

Nota

Le integrazioni gestite supportano AWS IoT Device Management solo la OAuth versione 2.0 con un flusso di codice di autorizzazione. Per ulteriori informazioni, consulta RFC 6749.

Il collegamento degli account è un processo che consente alle integrazioni gestite e al connettore di accedere ai dispositivi dell'utente finale utilizzando un token di accesso. Questo token fornisce integrazioni gestite per AWS IoT Device Management con l'autorizzazione dell'utente finale, in modo che il connettore possa interagire con i dati dell'utente finale tramite chiamate API. Per ulteriori informazioni, consulta Flusso di lavoro per il collegamento degli account.

Ti consigliamo di non registrare questi token sensibili in nessun registro. Se tuttavia sono archiviati nei log, ti consigliamo di utilizzare le politiche di protezione dei dati di CloudWatch Logs per mascherare i token contenuti nei log. Per ulteriori informazioni, consulta Aiutare a proteggere i dati di registro sensibili con il mascheramento.

Le integrazioni gestite per AWS IoT Device Management non ottengono direttamente un token di accesso, ma lo fanno tramite l'Authorization Code Grant Type. Innanzitutto, le integrazioni gestite per AWS IoT Device Management devono ottenere un codice di autorizzazione. Quindi scambia il codice con un token di accesso e un token di aggiornamento. Il token di aggiornamento viene utilizzato per richiedere un nuovo token di accesso alla scadenza del vecchio token di accesso. Se sia il token di accesso che il token di aggiornamento sono scaduti, è necessario eseguire nuovamente il flusso di collegamento degli account. È possibile farlo con l'operazione API. StartAccountAssociationRefresh

Importante

Il token di accesso emesso deve essere definito per utente, ma non per OAuth client. Il token non deve fornire l'accesso a tutti i dispositivi di tutti gli utenti del client.

Il server di autorizzazione deve eseguire una delle seguenti operazioni:

  • Emetti token di accesso che contengono un ID estraibile dell'utente finale (proprietario della risorsa), come un token JWT.

  • Restituisci l'ID dell'utente finale per ogni token di accesso emesso.

OAuth requisiti di configurazione

La tabella seguente illustra i parametri richiesti dal server di OAuth autorizzazione per le integrazioni gestite per AWS IoT Device Management per eseguire il collegamento degli account:

OAuth Parametri del server
Campo Campo obbligatorio Commento

clientId

Un identificatore pubblico per l'applicazione. Viene utilizzato per avviare flussi di autenticazione e può essere condiviso pubblicamente.

clientSecret

Una chiave segreta utilizzata per autenticare l'applicazione con il server di autorizzazione, soprattutto quando si scambia un codice di autorizzazione con un token di accesso. Deve essere mantenuta riservata e non condivisa pubblicamente.

authorizationType

Il tipo di autorizzazione supportato da questa configurazione di autorizzazione. Attualmente, "OAuth 2.0" è l'unico valore supportato.

authUrl

L'URL di autorizzazione per il provider cloud di terze parti.

tokenUrl

L'URL del token per il provider di servizi cloud di terze parti.

tokenEndpointAuthenticationScheme

Schema di autenticazione di «HTTP_BASIC» o «REQUEST_BODY_CREDENTIALS». HTTP_BASIC segnala che le credenziali del client sono incluse nell'intestazione di autorizzazione, mentre il ladder segnala che sono incluse nel corpo della richiesta.

Il OAuth server utilizzato deve essere configurato in modo che i valori delle stringhe dei token di accesso siano codificati in Base64 con il set di caratteri UTF-8.