Información general sobre el SSO de OAuth 2.0
OAuth 2.0 es un estándar de autorización que permite a las aplicaciones obtener acceso limitado a cuentas de usuario en un servicio HTTP. Funciona delegando la autenticación del usuario al servicio que aloja la cuenta de usuario y autorizando a las aplicaciones de terceros para que accedan a la cuenta de usuario. OAuth 2.0 proporciona flujos de autorización en aplicaciones web y de escritorio, y en dispositivos móviles.
Más información sobre OAuth 2.0
SSO básico
Independientemente de las funciones que hayas seleccionado, el SSO básico requiere algunos datos específicos y, en particular, una clave pública. Para añadir implementaciones de fidelidad o tarjetas de crédito, se pedirá más información.
Información de configuración
Para configurar correctamente el acceso SSO de OAuth 2.0 a tu sitio web creado a partir de una plantilla, necesitaremos datos como los siguientes:
- API (autorizar, token, userProfile)
- ID de cliente
- Secreto del cliente
- ResponseMode
- isNounceEnabled
- customerDetailsAPIKey (si está disponible)
Las implementaciones estándar de SSO de OAuth 2.0 en Expedia se cifran utilizando nuestra clave pública, crean un punto de conexión posterior a la autorización, habilitan la notificación y establecen parámetros de alcance. También incluimos información del usuario.
Autorización
El punto de conexión GET /authorize se utiliza para la autenticación y la autorización. Devuelve una concesión de autorización al cliente.
| Campo | Descripción | Tipo de datos | Ejemplo de valor | ¿Obligatorio? |
|---|---|---|---|---|
client_id | Identifica al cliente. Debe coincidir con el valor prerregistrado en tu proveedor de identidad (IDP). Se obtiene durante el registro manual del cliente o mediante la API de registro dinámico de clientes. | Cadena | Sí | |
nonce | Se utiliza para mitigar los ataques de repetición. Este valor se devuelve en el token ID. | Cadena | Sí | |
prompt | El tipo de interacción necesaria para validar. | Cadena | Valores válidos: ninguno consentimiento | No |
redirect_uri | Lugar de devolución de llamada donde se debe enviar el código de autorización o los tokens. Debe coincidir con el valor prerregistrado en tu IDP durante el registro del cliente. | Cadena | Sí | |
response_type | Valor code (IDP). | Cadena | Sí | |
response_mode | Cómo debe devolverse la respuesta de autorización. | Cadena | Valor válido: consulta | No |
scope | Identificador de acceso, utilizado para obtener los detalles del perfil. Necesario para las solicitudes de autenticación. | Cadena | OpenID, perfil y correo electrónico | Sí |
state | El estado de la interacción. Este valor se devuelve en el token y permite al usuario hacer clic, autenticarse y volver a la página que le interesaba originalmente. El valor puede contener caracteres alfanuméricos, comas, puntos, guiones bajos y guiones. | Cadena | Sí |
Parámetros de respuesta
| Parámetro | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
code | Código de autorización que identifica al cliente. Debe coincidir con el valor prerregistrado en tu IDP. Se obtiene durante el registro manual del cliente o a través de la API de registro dinámico de clientes. | Cadena | Sí |
state | El estado de la interacción. Este valor se devuelve en el token y permite al usuario hacer clic, autenticarse y volver a la página que le interesaba originalmente. El valor puede contener caracteres alfanuméricos, comas, puntos, guiones bajos y guiones. | Cadena | Sí |
Tokens
El punto de conexión POST /token se utiliza para verificar la identidad del usuario presentando una concesión de autorización.
Parámetros de solicitud
| Parámetro | Descripción | Tipo de datos | Ejemplo de valor | ¿Obligatorio? |
|---|---|---|---|---|
grant_type | El mecanismo que utiliza tu IDP para autorizar la creación de los tokens. | Cadena | authorization_code | Sí |
redirect_uri | Especifica la ubicación de la llamada de retorno donde se ha enviado la autorización. Este valor debe coincidir con el redirect_uri utilizado para generar el authorization_code original. | Cadena | Sí | |
code | Código de identificación del cliente recibido en la respuesta a la llamada /authorize. | Cadena | Sí |
Encabezados de solicitud
| Parámetro | Descripción | Tipo de datos | Ejemplo de valor | ¿Obligatorio? |
|---|---|---|---|---|
accept | Debe ser "application/json" | Cadena | application/json | Sí |
authorization | Codifica el ID y el secreto del cliente con Base64. Utiliza la información codificada en el encabezado de autorización HTTP. | Cadena | Basic<ID y secreto del cliente cifrados con Base64> | Sí |
Content-Type | Debe ser "application/x-www-form-urlencoded" | Cadena | application/x-www-form-urlencoded | Sí |
Propiedades de respuesta
| Campo | Descripción | Tipo de datos |
|---|---|---|
access_token | Un token de acceso | Cadena |
token_type | El público del token | Cadena |
expires_in | El tiempo de caducidad del token de acceso en segundos | Entero |
scope | Los ámbitos contenidos en el token de acceso | Cadena |
id_token | Un identificador que se devuelve si se concede el ámbito OpenID | Cadena |
Identificador
ID_token es un token web JSON (JWT) que incluye fragmentos de información de autenticación llamados reclamaciones. Las soluciones de plantilla de Expedia utilizan las reclamaciones header, payload y signature.
Reclamaciones de encabezado
| Campo | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
alg | Identifica el algoritmo utilizado de firma digital (siempre RS256) | Cadena | No |
kid | ID de la clave: identifica la clave pública utilizada para verificar el token de identificación; la clave pública correspondiente se puede encontrar a través del conjunto de claves web JSON (JWKS) | Cadena | Sí |
Reclamaciones de carga
| Campo | Descripción | Tipo de datos | ¿Obligatorio? |
|---|---|---|---|
amr | Matriz JSON de cadenas que son identificadores para los métodos de autenticación | Matriz | No |
aud | Identifica el público al que va dirigido este token de identificación (uno de los ID de cliente OAuth 2.0 de tu aplicación) | Cadena | Sí |
auth_time | La hora a la que se ha verificado el usuario final, representada en tiempo Unix (segundos) | Entero | No |
exp | La hora a la que caduca el ID de token, representada en tiempo Unix (segundos) | Entero | Sí |
iat | La hora a la que se ha emitido el ID de token, representada en tiempo Unix (segundos) | Entero | No |
idp | Un indicador del proveedor de identidad | Cadena | Sí |
iss | La URL del servidor de autorización que ha emitido este token de identificación | Cadena | No |
jti | Un identificador único para este ID de token con fines de depuración y revocación | Cadena | Sí |
sub | Un identificador único para el sujeto de la llamada de autorización (el usuario) | Cadena | No |
ver | La versión semántica del ID de token | Entero | Sí |
Reclamaciones de firma
Validación de la firma: la firma se validará con la clave adecuada para ese client_id y algoritmo.
Añadir programa de fidelidad
Como parte de tu sitio web creado a partir de una plantilla, puedes incluir la posibilidad de que tus clientes ganen puntos de fidelidad en sus compras de viajes. Si quieres, la plantilla también puede permitir a tus clientes utilizar sus puntos de fidelidad acumulados para comprar viajes.
Se aplican los mismos requisitos de configuración que en la implementación estándar, así como muchos de los valores. Aquí solo se incluyen los que son diferentes.
Además de la información estándar del usuario, la configuración del programa de fidelidad incluirá los siguientes valores.
programAccount
| Campo | Descripción | ¿Obligatorio? |
|---|---|---|
programId | Identificador del programa de fidelidad al que está afiliado el cliente o el nombre del nivel asociado al programa de fidelidad | Sí |
loyaltyAccountNumber | El número de la cuenta de fidelidad del cliente; solo debería rellenarse si se requiere un identificador secundario (que no sea el membershipId único) para operaciones de fidelidad | No |
lastFourDigitsOfCreditCard | Los cuatro últimos dígitos de la tarjeta de crédito utilizada en la reserva | No |
accountName | Nombre del programa (si no coincide con el nombre del nivel) | No |
loyaltyConversionRatio | Ratio de cómo se convierten los puntos obtenidos en el pago (por ejemplo, 1 EUR = 1 punto) | No |
loyaltyAccountBalance | Saldo actual de puntos de fidelidad obtenidos por el cliente | Sí |
value | Saldo de fidelidad; anidado bajo loyaltyAccountBalance | Sí |
currency | La moneda de recompensa que se utiliza en el programa de fidelidad, como CAD, USD, PUNTOS, MILLAS; anidado bajo loyaltyAccountBalance | Sí |