Délégation avec OIDC
Par défaut, la délégation est désactivée pour les locataires sans module complémentaire en cours d’utilisation depuis le 8 juin 2017. Les anciens locataires qui utilisent actuellement un module complémentaire nécessitant une délégation peuvent continuer à utiliser cette fonction. Si la fonctionnalité de délégation est modifiée ou supprimée à un moment donné, les clients qui l’utilisent seront informés à l’avance et disposeront d’un délai suffisant pour migrer.
Traditionnellement, la délégation est utilisée pour :
Échanger un jeton d’ID émis pour une application contre un nouveau jeton émis pour une autre application.
Obtenir un nouveau jeton d’ID à l’aide d’un jeton d’actualisation.
Échanger un jeton d’ID contre un jeton d’API tiers (par exemple Firebase, AWS).
Le pipeline conforme à l’OIDC exige que les jetons d’ID ne soient plus utilisés pour sécuriser les API et que les jetons d’actualisation ne soient utilisés qu’au point de terminaison /oauth/token; le point de terminaison /delegation est déconseillé.
Les applications conformes à l’OIDC ne peuvent pas être la source ou la cible de demandes de délégation.
API tierces
Comme il n’existe pas de mécanisme conforme à l’OIDC pour obtenir des jetons d’API tierces (p. ex., Firebase, AWS), la délégation peut toujours être utilisée pour obtenir des jetons d’API tierces.