Pular para o conteúdo principal

Gerenciamento de permissões do aplicativo OIDC / OAuth

Aplicativos de terceiros, que não pertencem ao seu serviço, são integrados ao Logto como provedores de identidade para autenticar usuários. Esses aplicativos, normalmente de provedores de serviços externos, exigem um gerenciamento cuidadoso de permissões para proteger os dados dos usuários.

O Logto permite que você controle as permissões específicas concedidas a aplicativos de terceiros. Isso inclui o gerenciamento de perfil do usuário, recursos de API e escopos de organização. Diferente dos aplicativos de primeira parte, aplicativos de terceiros que solicitarem escopos não autorizados terão o acesso negado.

Ao habilitar escopos específicos, você determina quais informações do usuário os aplicativos de terceiros podem acessar. Os usuários revisarão e aprovarão essas permissões na tela de consentimento antes de conceder o acesso.

Gerencie as permissões dos seus aplicativos OIDC de terceiros

Acesse a Console > Aplicativos > Página de detalhes do aplicativo do seu aplicativo OIDC de terceiros, navegue até a guia Permissões e clique no botão Adicionar permissões para gerenciar as permissões dos seus aplicativos de terceiros.

Dados básicos do usuário são sempre necessários para solicitações de aplicativos de terceiros. Além disso, o Logto suporta a atribuição de recursos de organização, tornando-o ideal para serviços B2B.

Conceder permissões de dados do usuário

Atribua permissões em nível de usuário, incluindo permissões de perfil do usuário (por exemplo, email, nome e avatar) e permissões de recursos de API (por exemplo, acesso de leitura ou escrita a recursos específicos).

Os nomes dos recursos solicitados (por exemplo, Dados pessoais do usuário, nome da API) e descrições específicas das permissões (por exemplo, Seu endereço de email) aparecerão na tela de consentimento para revisão dos usuários.

Ao clicar no botão Autorizar, os usuários concordam em conceder as permissões especificadas ao aplicativo de terceiros.

conceder permissões de dados do usuário

Conceder permissões de dados da organização

Atribua permissões em nível de organização, incluindo permissões de organização e permissões de recursos de API. O Logto permite que recursos de API sejam atribuídos a papéis específicos da organização.

Na tela de consentimento, os dados da organização são exibidos separadamente dos dados do usuário. Durante o fluxo de autorização, o usuário deve selecionar uma organização específica para conceder acesso. Os usuários podem alternar entre organizações antes de confirmar. O aplicativo de terceiros receberá acesso apenas aos dados da organização selecionada e às permissões associadas.

conceder permissões de dados da organização

Tipos de permissões

Permissões de usuário (Escopos de perfil do usuário)

Essas permissões são escopos padrão do OIDC e escopos essenciais de perfil do usuário do Logto usados para acessar reivindicações do usuário. As reivindicações do usuário serão retornadas no token de ID e no endpoint userinfo, conforme apropriado.

  • profile: Escopo padrão do OIDC, usado para acessar nome e avatar do usuário.
  • email: Escopo padrão do OIDC, usado para acessar o email do usuário.
  • phone: Escopo padrão do OIDC, usado para acessar o número de telefone do usuário.
  • custom_data: Escopo de perfil do usuário do Logto, usado para acessar dados personalizados do usuário.
  • identity: Escopo de perfil do usuário do Logto, usado para acessar informações de identidades sociais vinculadas ao usuário.
  • role: Escopo de perfil do usuário do Logto, usado para acessar informações de papel do usuário.
  • urn:logto:scope:organizations: Escopo de organização do usuário do Logto, usado para acessar informações das organizações do usuário. Se habilitado e solicitado por um aplicativo de terceiros, um seletor de organização será exibido na tela de consentimento. Isso permite que os usuários revisem e escolham a organização à qual desejam conceder acesso. Veja organizações para mais detalhes.
  • urn:logto:scope:organization_roles: Escopo de organização do usuário do Logto, usado para acessar informações de papéis do usuário na organização.
atenção:

Solicitar um escopo de perfil do usuário não habilitado na solicitação de autorização resultará em erro.

Permissões de recursos de API (Escopos de recursos de API)

O Logto fornece controle de acesso baseado em papel (RBAC) para recursos de API. Recursos de API são os recursos que pertencem ao seu serviço e são protegidos pelo Logto. Você pode atribuir escopos de API definidos por você mesmo aos aplicativos de terceiros para acessar seus recursos de API. Consulte RBAC, modelo de organização e Proteja sua API para mais detalhes.

Você pode criar e gerenciar seus escopos de recursos de API em Console > Recursos de API.

atenção:

Escopos de recursos de API que não estão habilitados para os aplicativos de terceiros serão ignorados ao enviar uma solicitação de autorização. Eles não serão exibidos na tela de consentimento do usuário e não serão concedidos pelo Logto.

Permissões de organização (Escopos de organização)

Permissões de organização são os escopos definidos exclusivamente para organizações Logto. Eles são usados para acessar informações e recursos da organização.

nota:

Para usar permissões de organização do Logto, você precisa habilitar o escopo de usuário urn:logto:scope:organizations. Caso contrário, as permissões de organização serão ignoradas ao enviar uma solicitação de autorização.

Você pode definir seus próprios escopos de organização na página de configurações do modelo de organização. Veja Configurar modelo de organização para mais detalhes.

atenção:

Escopos de organização que não estão habilitados para os aplicativos de terceiros serão ignorados ao enviar uma solicitação de autorização. Eles não serão exibidos na tela de consentimento do usuário e não serão concedidos pelo Logto.