Documentación de integraciones

Registrar una aplicación OAuth2.0 para la autenticación de servidor a servidor

Brightspace admite la autenticación de API de servidor a servidor mediante la concesión de credenciales de cliente OAuth 2.0 con Afirmación de cliente (clave privada JWT). Este modelo permite que las integraciones de confianza llamen a las API de Brightspace sin la interacción del usuario, al tiempo que protege los datos confidenciales del LMS.

Para utilizar esta función, primero debe crear un usuario de servicio dedicado para la integración y, a continuación, registrar una aplicación OAuth 2.0 que utilice ese usuario de servicio para obtener tokens de acceso.

Importante: La autenticación de servidor a servidor solo está disponible para aplicaciones OAuth 2.0 asociadas a un usuario de servicio. Debe utilizar un usuario de servicio no humano dedicado con permisos mínimos para cada integración. Para obtener información sobre cómo crear usuarios de servicio, consulte Administrar usuarios de servicio.

Para obtener información sobre la configuración de la autenticación OAuth 2.0 para desarrolladores, consulte Configuración de la autenticación OAuth 2.0 en la documentación para desarrolladores de Brightspace.

Permisos requeridos

Para registrar una aplicación OAuth 2.0 para la autenticación de servidor a servidor, su rol debe tener los siguientes permisos:

Usuarios de servicio > Ver herramienta de usuarios de servicio
Administrar extensibilidad > Puede administrar aplicaciones de API

Acceder a la lista de aplicaciones de OAuth 2.0

Los administradores administran las aplicaciones OAuth 2.0 desde la página Administrar extensibilidad.

Para acceder a la lista de aplicaciones de OAuth 2.0:

Vaya a Herramientas de administración > Administrar extensibilidad.
Haga clic en la pestaña OAuth 2.0 para ver la lista de aplicaciones registradas.

En la página se enumeran las aplicaciones de OAuth 2.0 existentes y sus tipos de concesiones.

Registrar una aplicación de OAuth 2.0 de servidor a servidor

Para registrar una nueva aplicación de OAuth 2.0 que utilice la concesión de credenciales de cliente con afirmación de cliente mediante un JWT firmado:

En la pestaña OAuth 2.0, haga clic en Registrar una aplicación. Se abre la página Registrar una aplicación.
En Tipo de concesión, seleccione Credenciales del cliente.
En Nombre de la aplicación, ingrese un nombre claro que identifique la integración. Por ejemplo, Cliente API de servidor a servidor o el nombre del servicio del proveedor.
En URL de JWKS, ingrese la URL HTTPS que aloja el conjunto de claves web JSON (JWKS) para su servidor de autorización. Brightspace utiliza esta URL para recuperar claves públicas para verificar las afirmaciones firmadas del cliente.
En Alcance, ingrese los alcances que la aplicación puede solicitar. Los alcances deben utilizar el formato equipo de trabajo:recurso:permisos. Separe los alcances múltiples con espacios. La parte del equipo de trabajo no puede ser un valor comodín.
En Duración del token de acceso (segundos), ingrese la cantidad de segundos que cada token de acceso debe permanecer válido. El mínimo es de 1800 segundos (30 minutos) y el máximo es de 72 000 segundos (20 horas).
En Usuario de servicio, haga clic en Agregar usuario de servicio y haga lo siguiente:
1. En el cuadro de diálogo Agregar usuario de servicio, busque el Usuario de servicio que creó anteriormente para esta integración.
2. Seleccione el Usuario de servicio y haga clic en Agregar.
Revise o ingrese una Descripción que explique el propósito de la aplicación y el sistema que representa.
Seleccione Acepto el Acuerdo para desarrolladores de interfaz de programación de aplicaciones.
Haga clic en Registrar.

La aplicación de OAuth 2.0 aparece en la lista de aplicaciones con un Tipo de concesión de Credenciales de cliente. En esta lista, puede confirmar que la aplicación esté registrada y eliminarla más adelante si es necesario.

Nota: El registro en Brightspace solo completa la parte de la configuración correspondiente a la plataforma. Los desarrolladores también deben configurar su servidor de autorización para emitir afirmaciones firmadas del cliente que hagan referencia a la aplicación registrada y a su dirección URL de JWKS.

Próximos pasos para desarrolladores

Una vez registrada la aplicación de OAuth 2.0, los desarrolladores pueden comenzar a utilizarla para la autenticación de API de servidor a servidor.

Configure el servidor de autorización externo para firmar un token web JSON (JWT) con la clave privada que corresponde a la clave pública de la URL de JWKS.
Implemente el flujo de credenciales de cliente de OAuth 2.0 con la clave privada JWT para intercambiar el JWT firmado por un token de acceso de Brightspace.
Llame a las API de Brightspace utilizando el token de acceso en el encabezado Autorización: Portador .

Importante: Los permisos disponibles para las llamadas de API se determinan por el rol y los permisos asignados al usuario del servicio que está vinculado a la aplicación de OAuth 2.0. Siga las prácticas de privilegios mínimos y conceda solo los permisos necesarios para que la integración funcione.