Pular para o conteúdo principal

Gerenciamento de permissões

Aplicativos de terceiros, que não pertencem ao seu serviço, são integrados ao Logto como provedores de identidade para autenticar usuários. Esses aplicativos, geralmente de provedores de serviços externos, exigem um gerenciamento cuidadoso de permissões para proteger os dados dos usuários.

O Logto permite que você controle as permissões específicas concedidas a aplicativos de terceiros. Isso inclui gerenciar o perfil do usuário, recurso de API e escopos de organização. Ao contrário dos aplicativos de primeira parte, aplicativos de terceiros que solicitam escopos não autorizados terão o acesso negado.

Ao habilitar escopos específicos, você determina quais informações do usuário os aplicativos de terceiros podem acessar. Os usuários revisarão e aprovarão essas permissões na tela de consentimento antes de conceder o acesso.

Gerenciar as permissões dos seus aplicativos de terceiros OIDC

Vá para a página Detalhes do aplicativo do seu aplicativo de terceiros OIDC, navegue até a guia Permissões e clique no botão Adicionar permissões para gerenciar as permissões dos seus aplicativos de terceiros.

Dados básicos do usuário são sempre necessários para solicitações de aplicativos de terceiros. Além disso, o Logto suporta a atribuição de recursos de organização, tornando-o ideal para serviços B2B.

Conceder permissões de dados do usuário

Atribua permissões em nível de usuário, incluindo permissões de perfil do usuário (por exemplo, email, nome e avatar) e permissões de recursos de API (por exemplo, acesso de leitura ou escrita a recursos específicos).

Os nomes dos recursos solicitados (por exemplo, Dados pessoais do usuário, Nome da API) e descrições específicas de permissões (por exemplo, Seu endereço de email) aparecerão na tela de consentimento para revisão dos usuários.

Ao clicar no botão Autorizar, os usuários concordam em conceder as permissões especificadas ao aplicativo de terceiros.

conceder permissões de dados do usuário

Conceder permissões de dados da organização

Atribua permissões em nível de organização, incluindo permissões de organização e permissões de recursos de API. O Logto permite que recursos de API sejam atribuídos a papéis específicos da organização.

Na tela de consentimento, os dados da organização são exibidos separadamente dos dados do usuário. Durante o fluxo de autorização, o usuário deve selecionar uma organização específica para conceder acesso. Os usuários podem alternar entre organizações antes de confirmar. O aplicativo de terceiros receberá acesso apenas aos dados da organização selecionada e às permissões associadas.

conceder permissões de dados da organização

Tipos de permissões

Permissões de usuário (Escopos de perfil do usuário)

Essas permissões são escopos padrão do OIDC e escopos essenciais de perfil de usuário do Logto usados para acessar reivindicações de usuário. As reivindicações de usuário serão retornadas no token de ID e no endpoint userinfo, respectivamente.

  • profile: Escopo padrão do OIDC, usado para acessar nome e avatar do usuário.
  • email: Escopo padrão do OIDC, usado para acessar email do usuário.
  • phone: Escopo padrão do OIDC, usado para acessar número de telefone do usuário.
  • custom_data: Escopo de perfil de usuário do Logto, usado para acessar dados personalizados do usuário.
  • identity: Escopo de perfil de usuário do Logto, usado para acessar informações de identidades sociais vinculadas ao usuário.
  • role: Escopo de perfil de usuário do Logto, usado para acessar informações de papel do usuário.
  • urn:logto:scope:organizations: Escopo de organização do usuário do Logto, usado para acessar informações de organizações do usuário. Se habilitado e solicitado por um aplicativo de terceiros, um seletor de organização será exibido na tela de consentimento. Isso permite que os usuários revisem e escolham a organização à qual desejam conceder acesso. Veja organizações para mais detalhes.
  • urn:logto:scope:organization_roles: Escopo de organização do usuário do Logto, usado para acessar informações de papéis de organização do usuário.
atenção

Solicitar um escopo de perfil de usuário não habilitado na solicitação de autorização resultará em um erro.

Permissões de recursos de API (Escopos de recursos de API)

O Logto fornece controle de acesso baseado em papel (RBAC) para recursos de API. Recursos de API são os recursos que pertencem ao seu serviço e são protegidos pelo Logto. Você pode atribuir escopos de API definidos por você mesmo aos aplicativos de terceiros para acessar seus recursos de API. Consulte RBAC, Modelo de organização e Proteja sua API para mais detalhes.

Você pode criar e gerenciar seus escopos de recursos de API em Console > Recursos de API.

atenção

Escopos de recursos de API que não estão habilitados para os aplicativos de terceiros serão ignorados ao enviar uma solicitação de autorização. Eles não serão exibidos na tela de consentimento do usuário e não serão concedidos pelo Logto.

Permissões de organização (Escopos de organização)

Permissões de organização são os escopos definidos exclusivamente para organizações do Logto. Eles são usados para acessar informações e recursos da organização.

nota

Para usar permissões de organização do Logto, você precisa habilitar o escopo de usuário urn:logto:scope:organizations. Caso contrário, as permissões de organização serão ignoradas ao enviar uma solicitação de autorização.

Você pode definir seus próprios escopos de organização na página de configurações do modelo de organização. Consulte Configurar modelo de organização para mais detalhes.

atenção

Escopos de organização que não estão habilitados para os aplicativos de terceiros serão ignorados ao enviar uma solicitação de autorização. Eles não serão exibidos na tela de consentimento do usuário e não serão concedidos pelo Logto.