JWTBearerOAuth2AccessTokenProvider

Description

Fournit des jetons d’accès à OAuth 2.0 qui peuvent être utilisés comme en-tête d’autorisation Bearer dans les requêtes HTTP. Ce service de contrôleur permet de mettre en œuvre le flux de support OAuth 2.0 JWT.

Balises

access token, authorization, hjwt, oauth2, provider

Propriétés

Dans la liste ci-dessous, les propriétés requises sont signalées par un astérisque (*). Les autres propriétés sont considérées comme facultatives. La table indique également les valeurs par défaut et précise si une propriété prend en charge le langage d’expression NiFi.

Nom d’affichage

Nom d’API

Valeur par défaut

Valeurs autorisées

Description

Nom du paramètre d’assertion *

Nom du paramètre d’assertion

assertion

Nom du paramètre à utiliser pour l’assertion JWT dans la requête vers le point de terminaison du jeton.

Audience

Audience

La revendication du public (aud) pour JWT. Liste d’audiences séparées par des espaces, si plusieurs audiences sont attendues.

Type d’autorisation *

Type d’autorisation

urn:ietf:params:oauth:grant-type:jwt-bearer

Valeur à fixer pour le paramètre grant_type dans la requête adressée au point de terminaison du jeton.

Émetteur

Émetteur

La demande de l’émetteur pour JWT.

Délai d’expiration JWT *

Délai d’expiration JWT

1 heure

Délai d’expiration utilisé pour paramétrer la créance correspondante de JWT. Dans le cas où le jeton d’accès renvoyé ne comporte pas de date d’expiration, celle-ci sera utilisée avec la fenêtre d’actualisation pour réacquérir un nouveau jeton d’accès.

JWT ID

JWT ID

L’allégation jti (JWT ID) fournit un identificateur unique pour le JWT. La valeur de l’identificateur doit être attribuée de manière à ce qu’il y ait une probabilité négligeable que la même valeur soit accidentellement attribuée à un objet de données différent ; si l’application utilise plusieurs émetteurs, les collisions MUST sont également évitées entre les valeurs produites par différents émetteurs. La valeur jti est une chaîne sensible à la casse. Si elle est paramétrée, il est recommandé de fixer cette valeur à ${UUID()}.

ID de clé

ID de clé

L’ID de la clé publique utilisée pour signer le JWT. Il sera utilisé comme en-tête enfant dans le JWT.

Service de clé privée *

Service de clé privée

Le service de clé privée à utiliser pour la signature des JWTs.

Fenêtre d’actualisation *

Fenêtre d’actualisation

5 minutes

Le service tentera d’actualiser les jetons expirant dans la fenêtre d’actualisation, en soustrayant la durée configurée de l’expiration du jeton.

Service contextuel SSL *

Service contextuel SSL

Une instance de SSLContextProvider configurée avec un certificat qui sera utilisé pour l’ensemble de l’en-tête x5t. Vous devez utiliser l’algorithme RSA.

Portée

Portée

Le champ d’application (cadre) de JWT.

Ensemble d’en-tête JWT X.509 Cert Thumbprint *

Ensemble d’en-tête JWT X.509 Cert Thumbprint

false

  • true

  • false

Si true, le champ x5t de l’en-tête JWT sera complété par l’empreinte -256 SHA du code DER du certificat X.509, encodée en base64url. Si la valeur est définie sur true, une instance de SSLContextProvider doit être configurée avec un certificat utilisant l’algorithme RSA.

Algorithme de signature *

Algorithme de signature

PS256

  • RS256

  • RS384

  • RS512

  • PS256

  • PS384

  • PS512

  • ES256

  • ES384

  • ES512

  • Ed25519

L’algorithme à utiliser pour signer le JWT.

Objet

Objet

L’objet de la revendication (sous) pour le JWT.

URL du point de terminaison du jeton *

URL du point de terminaison du jeton

L’URL du point de terminaison du jeton OAuth2.

Service Web Client *

Web Client Service

Le service Web Client à utiliser pour appeler le point de terminaison du jeton.

Gestion de l’État

Ce composant ne stocke pas d’état.

Restreint

Cette composante n’est pas limitée.

Considérations relatives aux ressources du système

Ce composant ne précise pas les ressources du système à prendre en compte.