Documentação de integrações

Registrar um aplicativo OAuth2.0 para autenticação servidor a servidor

O Brightspace oferece suporte à autenticação de API servidor a servidor usando a concessão de credenciais de cliente OAuth 2.0 com a asserção do cliente (chave privada JWT). Esse modelo permite que integrações confiáveis chamem APIs do Brightspace sem interação do usuário, ao mesmo tempo em que protegem dados confidenciais do Sistema de gestão de aprendizagem (Learning Management System, LMS).

Para usar esse recurso, você deve primeiro criar um usuário do serviço dedicado para a integração e, em seguida, registrar um aplicativo OAuth 2.0 que use esse usuário de serviço para obter tokens de acesso.

Importante: a autenticação servidor a servidor está disponível somente para aplicativos OAuth 2.0 associados a um usuário do serviço. Você deve usar um usuário do serviço não humano dedicado com permissões de privilégio mínimo para cada integração. Para obter informações sobre como criar usuários do serviço, consulte Gerenciar usuários do serviço.

Para obter informações sobre como configurar a autenticação OAuth 2.0 para desenvolvedores, consulte Configurar a autenticação OAuth 2.0 na documentação para desenvolvedores do Brightspace.

Permissões necessárias

Para registrar um aplicativo OAuth 2.0 para autenticação servidor a servidor, sua função deve ter as seguintes permissões:

Usuários do Serviço > Ver Ferramenta Usuários do Serviço
Gerenciar Extensibilidade > Pode Gerenciar Aplicativos de API

Acessar a lista de aplicativos OAuth 2.0

Os administradores gerenciam os aplicativos OAuth 2.0 na página Gerenciar Extensibilidade.

Para acessar a lista de aplicativos OAuth 2.0:

Navegue até Ferramentas do administrador > Gerenciar Extensibilidade.
Clique na guia OAuth 2.0 para exibir a lista de aplicativos registrados.

A página lista os aplicativos OAuth 2.0 existentes e seus tipos de concessão.

Registrar um aplicativo OAuth 2.0 servidor a servidor

Para registrar um novo aplicativo OAuth 2.0 que usa a concessão Credenciais do Cliente com a asserção do cliente usando um JWT assinado:

Na guia OAuth 2.0, clique em Registrar um aplicativo. A página Registrar um Aplicativo é aberta.
Em Tipo de Concessão, selecione Credenciais do Cliente.
Em Nome do Aplicativo, digite um nome claro que identifique a integração. Por exemplo, Cliente de API Servidor a Servidor ou o nome do serviço do fornecedor.
Em URL do JWKS, digite o URL HTTPS que hospeda o JSON Web Key Set (JWKS) para seu servidor de autorização. O Brightspace usa esse URL para recuperar chaves públicas para verificar as asserções assinadas do cliente.
Em Escopo, insira os escopos que o aplicativo tem permissão para solicitar. Os escopos devem usar o formato group:resource:permissions. Separe vários escopos com espaços. A parte do grupo não pode ser um valor curinga.
Em Tempo de Duração do Token de Acesso (segundos), digite o número de segundos pelos quais cada token de acesso deve permanecer válido. O mínimo é de 1800 segundos (30 minutos) e o máximo é de 72000 segundos (20 horas).
Em Usuário do Serviço, clique em Adicionar Usuário do Serviço e faça o seguinte:
1. Na caixa de diálogo Adicionar Usuário do Serviço, procure o usuário do serviço que você criou anteriormente para essa integração.
2. Selecione o usuário do serviço e clique em Adicionar
Revise ou insira uma Descrição que explique a finalidade do aplicativo e do sistema que ele representa.
Selecione Eu aceito o Contrato de Desenvolvedor de API.
Clique em Registrar.

O aplicativo OAuth 2.0 é exibido na lista de aplicativos com um Tipo de Concessão de Credenciais do Cliente. Nessa lista, você pode confirmar se o aplicativo está registrado e removê-lo posteriormente, se necessário.

Observação: o registro no Brightspace conclui apenas o lado da plataforma da configuração. Os desenvolvedores também devem configurar seu servidor de autorização para emitir asserções de cliente assinadas que fazem referência ao aplicativo registrado e seu URL do JWKS.

Próximas etapas para desenvolvedores

Depois que o aplicativo OAuth 2.0 é registrado, os desenvolvedores podem começar a usá-lo para autenticação de API servidor a servidor.

Configure o servidor de autorização externo para assinar um JSON Web Token (JWT) com a chave privada que corresponde à chave pública no URL do JWKS.
Implemente o fluxo de Credenciais do Cliente OAuth 2.0 com a chave privada JWT para trocar o JWT assinado por um token de acesso do Brightspace.
Chame APIs do Brightspace usando o token de acesso no cabeçalho Authorization: Bearer.

Importante: as permissões disponíveis para chamadas de API são determinadas pela função e pelas permissões atribuídas ao usuário do serviço que está vinculado ao aplicativo OAuth 2.0. Siga as práticas de privilégio mínimo e conceda apenas as permissões necessárias para que a integração funcione.