Este artigo explica como integradores e administradores podem aproveitar as credenciais de cliente OAuth 2.0 e os Usuários de Serviço do Brightspace para autenticar integrações seguras entre servidores, automatizar fluxos de trabalho e gerenciar o acesso da API máquina a máquina sem contas humanas.
Introdução
Em todo o ecossistema do Brightspace, desenvolvedores e administradores têm solicitado uma maneira mais simples e segura de oferecer suporte a integrações, automações e serviços em segundo plano, sem depender de contas humanas ou tokens de longa duração. Hoje, temos o prazer de anunciar um grande passo em direção ao atendimento dessa necessidade: Usuários de Serviço, um novo tipo de identidade não humana projetada especificamente para cargas de trabalho máquina a máquina (M2M).
Os Usuários de Serviço, combinados com a nova Concessão de Credenciais de Cliente OAuth 2.0 do Brightspace com Asserções de Cliente JWT, fornecem um modelo de autenticação moderno, baseado em padrões e com menos privilégios para integrações automatizadas. Juntos, eles permitem o acesso seguro a APIs sem prompts do usuário, redirecionamentos do navegador ou tokens de atualização.
Essa grande melhoria do Brightspace abre as portas para integrações mais limpas, mais seguras e mais sustentáveis em toda a plataforma.
O que são Usuários de Serviço?
Usuários de Serviço são contas de usuário especializadas do Brightspace, projetadas para sistemas e integrações automatizados. Ao contrário das contas humanas padrão, elas:
- Têm autenticação de API não interativa
- Seguem princípios estritos de menos privilégio
- Estão vinculadas a um único aplicativo
- Suportam permissões com escopo restrito usando funções do Brightspace
- Participam do modelo de acesso da organização de maneiras previsíveis
Você pode pensar nelas como operadores de máquinas em seu ambiente do Brightspace. Essas contas atuam em nome de um aplicativo, em vez de uma pessoa, e têm apenas as permissões que os administradores optam por conceder.
Por que criamos os Usuários de Serviço?
Instituições e parceiros têm solicitado consistentemente uma solução de primeira classe para:
- Tarefas de sincronização de SIS ou middleware programadas
- Processos em segundo plano automatizados
- Geração de análises do lado do servidor
- Operações de atualização de conteúdo e sincronização de catálogo
- Pontes entre sistemas da infraestrutura institucional
Era difícil oferecer suporte a esses cenários usando fluxos de OAuth delegados projetados para usuários humanos. Os Usuários de Serviço fornecem um modelo de identidade adequado para acesso automatizado transparente, seguro e alinhado com as necessidades de cargas de trabalho não interativas.
Como os Usuários de Serviço se encaixam na segurança do Brightspace
A ferramenta Usuários de Serviço se baseia diretamente no modelo de função de usuário do Brightspace e segue os mesmos princípios de autorização principais que os administradores já conhecem.
Acesso distribuído
Os Usuários de Serviço podem ser inscritos em qualquer nível na estrutura organizacional do Brightspace. Essas inscrições podem ser distribuídas por unidades organizacionais quando apropriado. Isso permite que uma integração acesse exatamente os cursos ou unidades organizacionais que precisa, sem conceder acesso desnecessário. Os administradores podem gerenciar essas inscrições e permissões usando os mesmos modelos que já usam para contas humanas.
Separação de IU clara
Para manter a administração limpa e evitar misturar identidades automatizadas com pessoas reais:
- Os Usuários de Serviço aparecem em um local dedicado em Gerenciar Extensibilidade.
- Eles são excluídos das listas de classe padrão, pesquisas de usuários, exportações, conjuntos de dados e APIs não relevantes.
- As opções de configuração são simplificadas para se concentrar na integração e no controle de acesso.
Essa separação garante que as identidades de serviço automatizadas permaneçam fáceis de gerenciar e claramente distintas dos usuários humanos.
Apresentando credenciais de cliente OAuth 2.0 com asserções de cliente JWT
Para oferecer suporte aos Usuários de Serviço, o Brightspace agora fornece um novo fluxo de autenticação robusto com base no OAuth 2.0.
Concessão de Credenciais do Cliente (CCG)
A Concessão de Credenciais do Cliente foi projetada para autenticação máquina a máquina, em que um aplicativo se autentica como ele próprio.
Asserções de cliente JWT
Ao contrário dos segredos de cliente tradicionais, uma asserção de cliente é um JSON Web Token assinado de curta duração criado usando a chave privada do aplicativo. O Brightspace o valida usando as chaves públicas armazenadas em um JWKS especificado pelo administrador durante o registro do aplicativo.
Essa abordagem oferece:
- Ausência de segredos compartilhados a gerenciar
- Proteção contra ataques de repetição
- Tokens de curta duração não atualizáveis
- Criptografia assimétrica forte
- Alinhamento com as melhores práticas do OAuth 2.0 (RFC 7523, RFC 7519, RFC 6749)
Ela alcança o equilíbrio entre flexibilidade para desenvolvedores e segurança forte para administradores.
Como os Usuários de Serviço funcionam com credenciais de cliente
Cada aplicativo de credenciais de cliente OAuth2.0 deve ser associado a um usuário de serviço. Quando o aplicativo solicita um token:
- Ele envia uma asserção JWT assinada.
- O Brightspace valida a assinatura usando o JWKS registrado.
- O Brightspace emite um token de acesso de curta duração.
- Qualquer chamada de API feita usando esse token é realizada com as permissões do usuário de serviço associado.
Como registrar um aplicativo: breve explicação
Para registrar um aplicativo de credenciais de cliente no Brightspace, os administradores simplesmente devem:
- Criar um usuário de serviço
- Atribuir permissões com escopo limitado
- Registrar um aplicativo OAuth e especificar o URL JWKS
- Vincular o usuário de serviço ao aplicativo
- Testar e implantar
Esse fluxo de trabalho mantém a configuração leve e ajuda as instituições a manterem limites de segurança fortes.
Quando usar cada fluxo OAuth
Cenário
|
Fluxo recomendado
|
|---|
| Um humano faz login e concede acesso |
Código de autorização mais Tokens de atualização |
| Um sistema de back-end precisa de acesso contínuo sem nenhum usuário presente |
Credenciais do cliente mais Usuário de serviço |
| Tarefas agendadas, pipelines de dados, middleware, sincronizações em segundo plano |
Credenciais do cliente mais Usuário de serviço |
Observação: se não houver nenhum humano envolvido, o aplicativo deverá se autenticar como si próprio usando um usuário de serviço.
O que isso significa para desenvolvedores e administradores
Com os Usuários de Serviço e a nova Concessão de Credenciais de Cliente OAuth2.0, o Brightspace agora oferece:
- Uma abordagem de autenticação moderna baseada em padrões do setor
- Segurança forte sem segredos compartilhados
- Separação clara entre contas humanas e de máquinas
- Controle de permissão de API refinado
- Gerenciamento descomplicado do ciclo de vida da integração
- Uma base escalável para futuras melhorias de extensibilidade
Esses recursos fortalecem a experiência geral de integração do Brightspace para instituições e desenvolvedores.
O que vem a seguir
Continuaremos expandindo a documentação, os exemplos e as ferramentas de desenvolvedor que oferecem suporte a integrações com OAuth e Brightspace. Esta versão fornece uma base importante para melhorias futuras na forma como os administradores configuram e gerenciam integrações.
Se você estiver criando ou mantendo integrações com o Brightspace, fique de olho nas próximas notas de versão e atualizações da nossa documentação do desenvolvedor.
Recursos Adicionais