Crear conexiones ‌OAuth

Un administrador del Control Room puede crear conexiones ‌OAuth para que los usuarios utilicen estas conexiones en la acción de autenticación para los paquetes sin necesidad de introducir los detalles de autenticación.

La marca y el logotipo de Salesforce, la marca y el logotipo de Microsoft SharePoint, la marca y el logotipo de Apigee, la marca y el logotipo de ServiceNow, y la marca y el logotipo de Genesys son marcas comerciales o marcas comerciales registradas de Salesforce, Inc., Microsoft Corp., Google LLC, ServiceNow, Inc. y Genesys, respectivamente, y se utilizan únicamente con fines de identificación.

Antes de empezar

  • Si los servidores de la Control Room están detrás de un proxy y las conexiones externas tienen que pasar por el proxy, entonces configure los ajustes del proxy de modo directo como se detalla en Configure los valores de proxy de reenvío.
  • Asegúrese de estar utilizando un rol de usuario que tenga habilitada la opción Administrar conexiones para la función Conexiones OAuth. Consulte Características de permisos para un rol.
  • Si va a agregar más de un alcance, asegúrese de separarlos mediante comas.

    Ejemplo: api,refresh_token,offline_access

  • Asegúrese de que ha configurado una aplicación empresarial y anotado el ID de cliente, el secreto de cliente, la URL de autorización, la URL de token y el alcance. Consulte Configurar aplicaciones empresariales
    Nota:
    • Tenga en cuenta los requisitos previos anteriores para evitar un error de conexión.
    • Aunque la siguiente tabla enumera las aplicaciones que están certificadas, puede configurar sus aplicaciones empresariales mediante Administrar > Conexiones OAuth > Crear conexión y seleccionando el Tipo de proveedor como Personalizado.

Ejemplos de componentes clave de ‌OAuth

Aplicaciones corporativas URL de autorización URL del token Alcance
Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token No es necesario
Google Workspace (Calendar, Drive, Sheets y Gmail) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
  • Google Sheets: https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/spreadsheets
  • Google Drive: https://www.googleapis.com/auth/drive
  • Google Calendar: https://www.googleapis.com/auth/calendar
  • Gmail: https://developers.google.com/identity/protocols/oauth2/scopes#gmail

    https://mail.google.com/,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/gmail.send
Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token offline_access write:jira-work,read:jira-user,manage:jira-webhook,read:jira-work
Microsoft Entra https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access,openid,https://graph.microsoft.com/.default
Microsoft 365 Outlook https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token Flujo de código de autorización: offline_access, openid, https://graph.microsoft.com/.default
Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api,refresh_token,offline_access
ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do No es necesario
SharePoint https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token https://<domain-name>/AllSites.Manage offline_access openid
Nota: El alcance OpenID solo es necesario cuando sus aplicaciones requieren la subdeclaración en el token de ID para identificar al usuario final. De lo contrario, este alcance es opcional.

Procedimiento

  1. En la Control Room, vaya a Gestionar > Conexiones OAuth.
  2. Haga clic en Crear conexión.
  3. En la pantalla Configuración de conexión que se abre, seleccione un Tipo de proveedor.
    Nota: La URL de devolución de llamada se utiliza en los ajustes de configuración de su aplicación empresarial para conectarse a la Control Room.
  4. Ingrese un Nombre de conexión único para identificar la conexión.
  5. Opcional: Ingrese una Descripción para la conexión.
    Imagen que muestra la página de configuración de la conexión de OAuth
  6. Haga clic en Siguiente.
    Aparece la pantalla Detalles de autenticación.
  7. Seleccione un Tipo de concesión. Consulte Flujo de código de autorización de ‌OAuth y Flujo de credenciales del cliente de ‌OAuth.
    Nota: Si está configurando una cuenta de Google Cloud Platform (GCP), seleccione Flujo de código de autorización, ya que la conexión OAuth administrada por Control Room que utiliza el Flujo de código de autorización con PKCE no es compatible actualmente.
  8. Ingrese la ID de cliente que le ha facilitado el proveedor para su cuenta.
  9. Ingrese el Secreto del cliente que proporciona el proveedor para su cuenta.
    Nota:
    • Después de probar o crear una conexión, el campo de Secreto de cliente no se mostrará en la interfaz de usuario, pero el servicio de backend seguirá utilizando el valor almacenado. Este es el comportamiento esperado.
    • El campo Secreto de cliente está oculto mientras ingresa el valor, similar a un campo de contraseña. Esto mejora la seguridad al evitar que el secreto sea visible en texto claro.
  10. Ingrese la URL de autorización utilizada para obtener un código de autorización para su cuenta.
    Nota: Para las cuentas de Apigee o Google Cloud Platform (GCP), debe añadir &access_type=offline a la URL de autorización. Por ejemplo: https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline.
  11. Ingrese la URL del token utilizada para intercambiar un código de autorización por un token de acceso.
  12. Opcional: Ingrese Ámbito.

    El proveedor de identidad puede establecer el tiempo de expiración del token. Si el token caduca, el Bot usa el alcance offline_access para obtener un nuevo token válido cuando se activa, según los detalles de la Control Room. Consulte Configurar conexiones ‌OAuth en la Control Room.

    Imagen que muestra la página de detalles de la autenticación de OAuth
    Esta información se usa como reclamos (información sobre el usuario) en un token de acceso y se reenvía al servidor de recursos para limitar el acceso.
    Nota: Recomendamos que agregue el alcance offline_access o el alcance de token de actualización apropiado en la Control Room y al configurar su proveedor de identidad para que el token de acceso pueda actualizarse automáticamente. De lo contrario, tendrá que actualizar manualmente el token en la Control Room. Consulte Autenticar conexiones ‌OAuth específicas del usuario.
  13. Haga clic en Siguiente.
    Aparece la pantalla Probar conexión y guardar credenciales.
  14. Opcional: Seleccione la opción Guardar credenciales de inicio de sesión.
    Nota: Utilice esta opción solo cuando desee generar un token compartido que permita a los usuarios utilizar esta conexión sin proporcionar autenticación ni consentimiento del usuario. Cuando seleccione esta opción, debe seleccionar la opción tipo de token Compartido cuando utilice esta conexión. Consulte Tokens de ‌OAuth.
  15. Opcional: Haga clic en Guardar los cambios y probar la conexión.
    Imagen que muestra la página para guardar credenciales y probar la conexión de OAuth
    Nota: Después de hacer clic en la opción Guardar cambios y probar la conexión y si la conexión se realiza correctamente, el botón Siguiente está deshabilitado. Haga clic en el botón Atrás, vuelva a introducir el Secreto del cliente y, a continuación, haga clic en Siguiente. No es necesario volver a probar la conexión a menos que haya realizado cambios en los detalles de autenticación proporcionados anteriormente.
  16. Haga clic en Siguiente.
    Aparece la pantalla Invitar roles.
  17. Seleccione los roles personalizados a los que desea invitar a utilizar esta conexión. Solo los roles invitados pueden usar el token en un bot, ya sea privado o compartido.Imagen que muestra la página para invitar roles a OAuth

    La acción de invitar roles es obligatoria si un bot utiliza la conexión OAuth. Esta acción es opcional si un servicio externo utilizará la conexión OAuth.

    Nota: Solo se muestran los roles personalizados en la lista de Roles disponibles.
  18. Haga clic en Crear conexión. Se crea una conexión ‌OAuth.

El siguiente video muestra cómo crear una conexión de ‌OAuth:

Qué hacer a continuación

Usar la conexión ‌OAuth