Войти как партнер
Войти как партнер
Основная информация и параметры приложения - Документация
Перейти к содержанию

Документация

Основная информация и параметры приложения

Основная информация

Название Описание
Название приложения Название, которое будет отображаться в интерфейсе сервиса Trusted.ID и виджете входа
Описание приложения Краткое описание, которое будет отображаться в интерфейсе сервиса Trusted.ID
Логотип Изображение, которое будет отображаться в интерфейсе сервиса Trusted.ID и в виджете входа
Отображать в каталоге Приложение будет отображаться на вкладке Каталог модуля Паспор (ID)
Обложка приложения Изображение, которое будет выведено в шапке виджета входа

app-create1.png

Параметры приложения

1. Основные идентификаторы

Название Параметр Описание
Идентификатор client_id Уникальный идентификатор приложения. Возможно быстро скопировать значение, используя соответствующую кнопку в поле
Секретный ключ client_secret Значение скрыто, должен быть известен только приложению. Возможно показать значение или скопировать
Адрес приложения - Сайт информационной системы, на котором будет использоваться вход через Trusted.ID

2. Настройки доступа и видимости

Название Параметр Описание
Отображать в каталоге - Приложение будет отображаться на вкладке Каталог модуля Паспорт (ID)
Ограниченный доступ - Вход в приложение будет доступен только для пользователей с правами «Администратор»

3. Возвратный URL (Redirect_uri)

Название Параметр Описание
Возвратный URL Redirect_uri URL, на который сервер Trusted.ID будет перенаправлять пользователя после аутентификации. После того как пользователь аутентифицируется и даст согласие на доступ к своим данным, сервер перенаправляет пользователя обратно на Redirect_uri с кодом авторизации, ID токеном или другой информацией, в зависимости от запрошенного response_type.

4. URL выхода из системы (post_logout_redirect_uri)

Название Параметр Описание
URL выхода из системы post_logout_redirect_uri URL, на который сервис будет перенаправлять пользователя после выхода. Если значение не указано, то используется Возвратный URL (Redirect_uri)

5. URL запроса аутентификации (request_uris)

Название Параметр Описание
URL запроса аутентификации или восстановления после аутентификации #1 request_uris список URL-адресов, на которых система разместила запросы авторизации в формате JWT (Request Object). Когда система отправляет запрос на авторизацию серверу, она может просто указать параметр request_uri, который ссылается на один из URL-адресов, определенных в этом списке. Сервер затем извлекает объект запроса JWT по этому URL для обработки запроса.

6. Тип ответов (response_types)

Название Параметр Описание
Тип ответов response_types

Тип ответов, которые возвращает авторизационный сервер. Эти типы ответов определяют, какие токены и коды будут возвращены системе.

- code - получит только код авторизации, который она затем может обменять на токен доступа;
- id_token - получит только ID токен, который содержит информацию о профиле пользователя;
- code id_token - получит код авторизации и ID токен;
- code token - получит код авторизации и токен доступа;
- code id_token token - получит код авторизации, ID токен и токен доступа;
- none - используется, когда не требуется получения кода авторизации, токена доступа или ID токена через перенаправление. Может быть полезным в случаях, когда необходимо подтвердить аутентификацию пользователя, но не требуется доступ к его данным.

7. Типы предоставления доступа (grant_types)

Название Параметр Описание
Типы предоставления доступа grant_types

Cпособ получения авторизации для доступа к защищенным ресурсам.

- authorization code - используется для получения доступа к серверу авторизации через промежуточный сервер клиента, что помогает обеспечить безопасность, поскольку токен доступа не передается напрямую клиенту (рекомендуется использовать);
- implicit - данный тип в протоколах OpenID Connect (OIDC) и OAuth 2.0 был разработан для сценариев, где клиентскому приложению не требуется или не удается безопасно хранить долгосрочные секреты. В таких случаях, после аутентификации пользователя, сервер авторизации непосредственно выдает токен доступа клиенту;
- refresh_token - позволяет приложению получать новый токен доступа, используя уже полученный токен обновления, без необходимости повторного ввода учетных данных пользователя;
- urn:ietf:params:oauth:grant-type:device_code - позволяет включить возможность входа в приложение по QR-коду.

8. Метод аутентификации клиента для конечной точки получения токена (token_endpoint_auth_method)

Название Параметр Описание
Метод аутентификации клиента для конечной точки получения токена token_endpoint_auth_method

Метод, который клиент использует для аутентификации при обращении к token endpoint сервера авторизации.

- none - не предоставляет учетные данные при обращении к token endpoint. Этот метод используется, когда клиент не может конфиденциально хранить учетные данные или когда аутентификация не требуется;
- client_secret_post - отправляет свои учетные данные в теле запроса;
- client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

Выбор метода аутентификации зависит от требований безопасности приложения и способности клиента безопасно хранить свои учетные данные. Например, методы client_secret_jwt и private_key_jwt обеспечивают более высокий уровень безопасности, так как используют асимметричное шифрование и позволяют избежать передачи секретов клиента через сеть.

9. Метод аутентификации, используемый при доступе к конечной точке проверки токена (introspection_endpoint_auth_method)

Название Параметр Описание
Метод аутентификации, используемый при доступе к конечной точке проверки токена introspection_endpoint_auth_method

Метод, который клиент использует при обращении к introspection endpoint. Эта конечная точка используется для проверки состояния токена доступа и получения информации о нем.

- none - не предоставляет учетные данные при обращении к introspection endpoint;
- client_secret_post - отправляет свои учетные данные в теле запроса;
- client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

Выбор метода зависит от требований безопасности и возможностей клиента. Например, методы, использующие JWT, обеспечивают дополнительный уровень безопасности за счет использования подписанных токенов, что предотвращает необходимость передачи секретов клиента через сеть.

10. Метод аутентификации, используемый при доступе к конечной точке отзыва токенов (revocation_endpoint_auth_method)

Название Параметр Описание
Метод аутентификации, используемый при доступе к конечной точке отзыва токена introspection_endpoint_auth_method

Определяет метод аутентификации, который клиент использует при обращении к revocation endpoint. Эта конечная точка используется для отзыва токенов доступа или обновления токенов. Этот метод обычно совпадает с методами, используемыми для token endpoint и introspection endpoint.

- none - не предоставляет учетные данные при обращении к revocation endpoint;
- client_secret_post - отправляет свои учетные данные в теле запроса;
client_secret_basic - использует HTTP Basic Authentication, отправляя свои учетные данные в заголовке запроса;
- client_secret_jwt - подписывает JWT (JSON Web Token) с использованием своего секрета и отправляет его в качестве учетных данных;
- private_key_jwt - подписывает JWT с использованием своего приватного ключа и отправляет его в качестве учетных данных.

11. Алгоритм подписи, используемый при создании подписанного ID-токена (id_token_signed_response_alg)

Название Параметр Описание
Алгоритм подписи, используемый при создании подписанного ID-токена id_token_signed_response_alg Указывает алгоритм, который используется для подписи ID токена. ID токен — это JSON Web Token (JWT), который содержит утверждения (claims) о аутентификации пользователя

12. Проверка наличия времени аутентификации (require_auth_time)

Название Параметр Описание
Проверка наличия времени аутентификации require_auth_time Указывает, должен ли сервер авторизации предоставить время аутентификации пользователя в токене ID. Если этот параметр включен, сервер авторизации включает в ID токен утверждение auth_time, которое представляет собой время, когда пользователь в последний раз выполнил аутентификацию

13. Параметр для обеспечения безопасности передачи данных между клиентом и сервером авторизации (require_signed_request_object)

Название Параметр Описание
Параметр для обеспечения безопасности передачи данных между клиентом и сервером авторизаци require_signed_request_object Указывает, требуется ли подписанный Request Object при отправке запроса на авторизацию. Request Object — это способ безопасной передачи параметров авторизации от клиента к серверу авторизации, обычно в форме JWT (JSON Web Token). Когда require_signed_request_object включен, клиент должен подписать Request Object с использованием заранее согласованного алгоритма подписи, который указан в конфигурации клиента.

14. Способ передачи ID пользователя в идентификационном токене (subject_type)

Название Параметр Описание
Способ передачи ID пользователя в идентификационном токене subject_type

Определяет способ, которым идентификатор пользователя (sub claim) представляется клиенту. Этот параметр влияет на то, как пользовательские идентификаторы генерируются и управляются.

- public - идентификатор пользователя является одинаковым для всех клиентов. Это означает, что каждый клиент будет видеть один и тот же sub claim для пользователя;
- pairwise - идентификатор пользователя уникален для каждого клиента. Это обеспечивает большую конфиденциальность, так как разные клиенты не смогут связать активность пользователя между собой. pairwise часто используется в сценариях, где необходимо защитить приватность пользователя от различных клиентов.

Параметры приложения

Для повышения удобства работы и хранения данных веб-сайт TRUSTED.RU использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.