La Control Room de Automation 360 puede funcionar como un servidor de autorización OAuth 2.0 y OpenID Connect (OIDC) para implementaciones en la nube, lo que permite a los administradores registrar hasta 25 clientes externos de OAuth por cada Control Room, y gestionar su ciclo de vida y permisos de acceso.

Después del registro, estos clientes pueden obtener tókenes del servidor de autorización de AAI utilizando los flujos estándar de OAuth 2.0 y OIDC, y usar esos tókenes para acceder de forma segura a los recursos de Automation 360. La Control Room admite los tipos de concesión de código de autorización, código de autorización con PKCE y token de actualización para emitir y renovar estos tókenes. Esta capacidad permite integraciones entrantes basadas en estándares con sistemas externos y aplicaciones internas, incluidos clientes de MCP y otros clientes compatibles con OAuth.

El servidor de autorización de AAI emite tókenes de OAuth con los siguientes atributos:

  • Formato de token: indica si los tókenes emitidos son tókenes web JSON (JWT).
  • Tiempo de expiración del token de acceso: indica cuánto tiempo permanece válido un token de acceso antes de que expire.
  • Duración del token de actualización: indica cuánto tiempo se puede usar un token de actualización para obtener nuevos tókenes de acceso.
  • Punto final JWKS: es el punto final que expone el conjunto de claves web JSON (JWKS), que contiene las claves públicas utilizadas para verificar las firmas de JWT.

Estas configuraciones determinan cuánto tiempo permanecen válidos los tókenes emitidos y cómo los sistemas externos pueden validar o revocar tókenes al integrarse con Automation 360.

Nota: Para configurar la Control Room como un cliente de OAuth para conexiones salientes a servicios externos, consulte Configurar conexiones ‌OAuth en la Control Room.

Antes de empezar

Asegúrese de que su rol de usuario incluya uno de los siguientes permisos de la Control Room:
  • Ver registro de aplicaciones: para ver los clientes de OAuth existentes.
  • Administrar registro de aplicaciones: para crear, actualizar y eliminar clientes de OAuth.

Procedimiento

  1. Inicie sesión en la Control Room de Automation 360.
  2. Desde el panel de navegación izquierdo, seleccione Administrar.
  3. Vaya a Clientes de OAuth. Enumere todos los clientes deOAuth existentes registrados en la Control Room, si los hubiera.
    Ver clientes de OAuth
  4. Haga clic en Crear cliente para registrar un nuevo cliente de OAuth.
    Crear nuevos clientes de OAuth
  5. Ingrese un Nombre de aplicación único para identificar el cliente de OAuth.
  6. Seleccione un Tipo de aplicación de la lista desplegable.
    • Web regular: use este Tipo de aplicación cuando planee usar un secreto de cliente. Normalmente, se utiliza cuando su cliente reside en un servidor web seguro que puede proteger el secreto.
    • Aplicación de una sola página: utilice este Tipo de aplicación cuando tenga la intención de usar PKCE y omitir el paso de un secreto de cliente. Normalmente, se utiliza cuando su cliente se encuentra en un entorno no protegido que no puede garantizar la protección del secreto.
  7. Opcional: Ingrese una Descripción para el cliente de OAuth.
  8. Ingrese uno o más URI de redireccionamiento para validar el cliente y haga clic en Agregar. Separe cada URI de redireccionamiento con una coma. Actualmente, puede agregar hasta 10 URI de redireccionamiento.
    Nota: Cuando guarda la configuración del cliente de OAuth, el sistema verifica que todos los URI de redireccionamiento utilicen HTTPS. Una vez que se validan, se generan los metadatos del cliente.
  9. Haga clic en Crear cliente.

    El cliente recién creado se mostrará en la página Clientes de OAuth. Haga clic en el Nombre de la aplicación creada para ver los detalles del cliente de OAuth, que consisten en metadatos de cliente generados automáticamente. Consulte Ver y administrar clientes de OAuth.

    Todos los valores generados se pueden copiar individualmente. Comparta el ID de cliente, el Secreto de cliente y las URL de los puntos finales con el propietario de la aplicación externa para que pueda configurarlos en su aplicación cliente de OAuth.

    Nota:
    • Trate el Secreto de cliente como una contraseña. Solo debe compartirse con administradores de confianza de la aplicación externa y almacenarse en un lugar seguro, como un gestor de secretos.
    • Los usuarios autorizados pueden ver el Secreto de cliente desde la página Clientes de OAuth en cualquier momento.