Gestión de permisos
Las aplicaciones de terceros, que no son propiedad de tu servicio, se integran con Logto como proveedores de identidad para autenticar a los usuarios. Estas aplicaciones, generalmente de proveedores de servicios externos, requieren una gestión cuidadosa de permisos para proteger los datos de los usuarios.
Logto te permite controlar los permisos específicos otorgados a las aplicaciones de terceros. Esto incluye gestionar perfiles de usuario, recursos de API y alcances de organización. A diferencia de las aplicaciones de primera parte, las aplicaciones de terceros que soliciten alcances no autorizados se les negará el acceso.
Al habilitar alcances específicos, determinas qué información de usuario pueden acceder las aplicaciones de terceros. Los usuarios revisarán y aprobarán estos permisos en la pantalla de consentimiento antes de otorgar acceso.
Gestiona los permisos de tus aplicaciones de terceros OIDC
Ve a la Consola > Aplicaciones > Página de detalles de la aplicación de tu aplicación de terceros OIDC y navega a la pestaña Permisos y haz clic en el botón Agregar permisos para gestionar los permisos de tus aplicaciones de terceros.
Los datos básicos del usuario siempre son necesarios para las solicitudes de aplicaciones de terceros. Además, Logto admite la asignación de recursos de organización, lo que lo hace ideal para servicios B2B.
Otorgar permisos de datos de usuario
Asigna permisos a nivel de usuario, incluidos permisos de perfil de usuario (por ejemplo, correo electrónico, nombre y avatar) y permisos de recursos de API (por ejemplo, acceso de lectura o escritura a recursos específicos).
Los nombres de los recursos solicitados (por ejemplo, Datos personales del usuario, Nombre de la API) y las descripciones específicas de los permisos (por ejemplo, Tu dirección de correo electrónico) aparecerán en la pantalla de consentimiento para que los usuarios los revisen.
Al hacer clic en el botón Autorizar, los usuarios aceptan otorgar los permisos especificados a la aplicación de terceros.
Otorgar permisos de datos de la organización
Asigna permisos a nivel de organización, incluidos permisos de organización y permisos de recursos de API. Logto permite que los recursos de API se asignen a roles específicos de la organización.
En la pantalla de consentimiento, los datos de la organización se muestran por separado de los datos del usuario. Durante el flujo de autorización, el usuario debe seleccionar una organización específica para otorgar acceso. Los usuarios pueden cambiar entre organizaciones antes de confirmar. La aplicación de terceros solo recibirá acceso a los datos de la organización seleccionada y los permisos asociados.
Tipos de permisos
Permisos de usuario (Alcances de perfil de usuario)
Esos permisos son alcances estándar de OIDC y alcances esenciales del perfil de usuario de Logto utilizados para acceder a reclamos de usuario. Los reclamos de usuario se devolverán en el token de ID y el endpoint de userinfo respectivamente.
profile: Alcance estándar de OIDC, utilizado para acceder al nombre y avatar del usuario.email: Alcance estándar de OIDC, utilizado para acceder al correo electrónico del usuario.phone: Alcance estándar de OIDC, utilizado para acceder al número de teléfono del usuario.custom_data: Alcance de perfil de usuario de Logto, utilizado para acceder a datos personalizados del usuario.identity: Alcance de perfil de usuario de Logto, utilizado para acceder a la información de identidades sociales vinculadas del usuario.role: Alcance de perfil de usuario de Logto, utilizado para acceder a la información de rol del usuario.urn:logto:scope:organizations: Alcance de organización de usuario de Logto, utilizado para acceder a la información de organizaciones del usuario. Si está habilitado y solicitado por una aplicación de terceros, se mostrará un selector de organización en la pantalla de consentimiento. Esto permite a los usuarios revisar y elegir la organización a la que desean otorgar acceso. Consulta organizaciones para más detalles.urn:logto:scope:organization_roles: Alcance de organización de usuario de Logto, utilizado para acceder a la información de roles de organización del usuario.
Solicitar un alcance de perfil de usuario no habilitado en la solicitud de autorización resultará en un error.
Permisos de recursos de API (Alcances de recursos de API)
Logto proporciona control de acceso basado en roles (RBAC) para recursos de API. Los recursos de API son los recursos que son propiedad de tu servicio y están protegidos por Logto. Puedes asignar alcances de API definidos por ti mismo a las aplicaciones de terceros para acceder a tus recursos de API. Consulta RBAC, Plantilla de organización y Protege tu API para más detalles.
Puedes crear y gestionar tus alcances de recursos de API en la Consola > Recursos de API.
Los alcances de recursos de API que no están habilitados para las aplicaciones de terceros serán ignorados al enviar una solicitud de autorización. No se mostrarán en la pantalla de consentimiento del usuario y no serán otorgados por Logto.
Permisos de organización (Alcances de organización)
Permisos de organización son los alcances definidos exclusivamente para organizaciones de Logto. Se utilizan para acceder a la información y recursos de la organización.
Para usar los permisos de organización de Logto, necesitas habilitar el alcance de usuario urn:logto:scope:organizations. De lo contrario, los permisos de organización serán ignorados al enviar una solicitud de autorización.
Puedes definir tus propios alcances de organización en la página de configuración de la plantilla de organización. Consulta Configurar plantilla de organización para más detalles.
Los alcances de organización que no están habilitados para las aplicaciones de terceros serán ignorados al enviar una solicitud de autorización. No se mostrarán en la pantalla de consentimiento del usuario y no serán otorgados por Logto.