A
Acceso sin conexión (Offline access)
El acceso sin conexión (Offline access) permite a los clientes obtener nuevos tokens de acceso sin requerir que el usuario vuelva a autenticarse. Es útil para sesiones de larga duración y una mejor experiencia de usuario.
Más información
Alcance (Scope)
El alcance (scope) define los permisos que una aplicación solicita de un usuario para acceder a sus recursos protegidos. Es un concepto fundamental en OAuth 2.0 y OIDC (OpenID Connect) que controla el nivel de acceso que una aplicación puede tener a los datos de un usuario.
Más información
Análisis de token (Token introspection)
El análisis de token (Token introspection) es una extensión de OAuth 2.0 que permite a los clientes consultar el servidor de autorización para validar los tokens de acceso (access tokens) y recuperar metadatos sobre ellos.
Más información
API de Gestión (Management API)
El API de Gestión en el contexto de la gestión de identidad y acceso (IAM) permite la gestión programática de recursos como usuarios, aplicaciones, roles y permisos. Típicamente RESTful, proporciona una capa de abstracción entre el sistema IAM y la interfaz de usuario, permitiendo la automatización, integración y desarrollo de características personalizadas.
Más información
Aprovisionamiento just-in-time (JIT) (Just-in-time provisioning)
El aprovisionamiento just-in-time (JIT) es un proceso de gestión de identidad y acceso (IAM) donde las cuentas de usuario se crean de manera dinámica y automática cuando un usuario intenta acceder a un sistema o aplicación por primera vez. Este enfoque ayuda a agilizar el proceso de incorporación y asegura que las cuentas de usuario solo se creen cuando sea necesario, reduciendo la carga administrativa y mejorando la seguridad.
Más información
Audiencia (Audience)
La reclamación de audiencia (audience claim) en un token especifica el destinatario previsto, típicamente la aplicación cliente o el recurso API. Garantiza que el token sea utilizado solo por el servicio correcto, mejorando la seguridad al prevenir el acceso no autorizado.
Más información
Autenticación (Authentication)
La autenticación (Authentication) es el proceso de verificar la propiedad de la identidad (p. ej., usuario o servicio). Es la base de los sistemas de gestión de identidades y accesos (IAM) y es esencial para asegurar aplicaciones y servicios.
Más información
Autenticación multifactor (Multi-factor authentication, MFA)
La autenticación multifactor (MFA) es un mecanismo de seguridad que requiere que los usuarios proporcionen al menos dos formas de identificación para completar el proceso de autenticación. Agrega una capa adicional de seguridad que reduce significativamente el riesgo de acceso no autorizado.
Más información
Auth (desambiguación)
El término "auth" a menudo se utiliza como abreviatura de authentication (autenticación) o authorization (autorización). Estos conceptos están relacionados pero son fundamentalmente diferentes.
Más información
Autorización (Authorization)
La autorización es el proceso de determinar qué acciones puede realizar una identidad en un recurso. Es un mecanismo de seguridad fundamental para definir y hacer cumplir políticas de acceso.
Más información
C
Cifrado Web JSON (JSON Web Encryption, JWE)
JSON Web Encryption (JWE) es una forma estándar de cifrar y descifrar datos en formato JSON. Se utiliza a menudo para proteger información sensible en los Tokens Web JSON (JWTs) en tránsito.
Más información
Clave de API (API key)
Una clave de API es un identificador único utilizado para autenticar y autorizar un cliente al acceder a una API. Sirve como un token secreto incluido en las solicitudes de API para verificar la identidad del cliente y permitir el acceso a recursos o servicios específicos. Las claves de API se utilizan típicamente en comunicaciones de servidor a servidor o al acceder a datos públicos.
Más información
Clave de firma (Signing key)
Una clave de firma es una clave criptográfica utilizada para firmar y verificar JSON Web Tokens en OpenID Connect (OIDC). Se utiliza para garantizar la integridad y autenticidad de los tokens emitidos por el proveedor OpenID.
Más información
Clave Web JSON (JSON Web Key, JWK)
Una Clave Web JSON (JWK) es un formato basado en JSON utilizado para representar claves criptográficas. Cuando múltiples JWK deben agruparse, se organizan en un Conjunto de Claves Web JSON (JWKS).
Más información
Cliente (Client)
En OAuth 2.0 y OpenID Connect (OIDC), un cliente es una aplicación que solicita autenticación (authentication) o autorización (authorization) en nombre de un usuario o de sí misma. Los clientes pueden ser públicos o confidenciales (privados), y utilizan diferentes tipos de concesiones para obtener tokens.
Más información
Concesión de OAuth 2.0 (OAuth 2.0 grant)
Una concesión de autorización de OAuth 2.0 (OAuth 2.0 grant, a veces referida como "tipo de concesión de OAuth 2.0" o "flujo de OAuth 2.0"), es un método utilizado por los clientes para obtener un access token (token de acceso) de un authorization server (servidor de autorización). Es una parte esencial para que los clientes de OAuth autentiquen y autoricen identidades.
Más información
Contraseña de un solo uso (One-time password, OTP)
Una contraseña de un solo uso (OTP) es un código único y temporal que se utiliza para una sola transacción o sesión de inicio de sesión.
Más información
Contraseña de un solo uso basada en el tiempo (Time-based one-time password, TOTP)
Una contraseña de un solo uso basada en el tiempo (TOTP) es un código temporal y único generado por un algoritmo que utiliza el tiempo actual como un factor clave.
Más información
Control de acceso (Access control)
El control de acceso es la restricción de quién puede realizar qué acciones sobre ciertos recursos en un sistema. Es un mecanismo de seguridad fundamental para definir y hacer cumplir políticas de acceso.
Más información
Control de acceso basado en atributos (Attribute-based access control, ABAC)
El control de acceso basado en atributos (ABAC) es un modelo de control de acceso que utiliza atributos (como roles de usuario, propiedades de recursos y condiciones ambientales) para tomar decisiones de control de acceso. Es una forma flexible y dinámica de gestionar el acceso a recursos protegidos.
Más información
Control de acceso basado en roles (Role-based access control, RBAC)
El control de acceso basado en roles (RBAC) es un modelo de control de acceso que asigna permisos a roles en lugar de directamente a usuarios, proporcionando una forma flexible y eficiente de gestionar los derechos de acceso en los sistemas.
Más información
D
Descubrimiento de OpenID Connect (OpenID Connect Discovery)
El Descubrimiento de OpenID Connect (OIDC) es un mecanismo que permite a los clientes descubrir automáticamente los puntos finales y la configuración del Proveedor OpenID.
Más información
E
Endpoint de información del usuario (Userinfo endpoint)
El endpoint de información del usuario (Userinfo endpoint) es un endpoint de OpenID Connect (OIDC) que proporciona información del usuario a los clientes. Es un endpoint suplementario al ID token y permite a los clientes recuperar información adicional del usuario.
Más información
Enlace mágico (Magic link)
Un enlace mágico (Magic link) es una URL de un solo uso que se puede usar para completar el proceso de autenticación (authentication).
Más información
Enterprise SSO
El inicio de sesión único (SSO) empresarial es un tipo específico de SSO diseñado para empleados dentro de una organización.
Más información
F
Falsificación de solicitud de sitio cruzado (Cross-site request forgery, CSRF)
La falsificación de solicitud de sitio cruzado (CSRF) es un ataque que engaña a los usuarios para que ejecuten acciones no deseadas en una aplicación web en la que están autenticados. Es una vulnerabilidad de seguridad común que puede llevar a acciones no autorizadas.
Más información
Flujo de código de autorización (Authorization code flow)
El flujo de código de autorización (authorization code flow) es un mecanismo seguro de OAuth 2.0 que permite a las aplicaciones obtener tokens de acceso en nombre de los usuarios. Involucra autenticación (Authentication) del usuario, generación de códigos de autorización y el intercambio de tokens.
Más información
Flujo de credenciales del cliente (Client credentials flow)
El flujo de credenciales del cliente (Client credentials flow) es un tipo de otorgamiento de OAuth 2.0 que permite a los clientes confidenciales obtener tokens de acceso (access tokens) para acceder a recursos protegidos. Es adecuado para comunicación de máquina a máquina (machine-to-machine) (servidor a servidor).
Más información
Flujo de dispositivos (Device flow)
El flujo de autorización de dispositivos de OAuth 2.0 es un método de inicio de sesión amigable para el usuario en dispositivos con capacidades de entrada limitadas o aplicaciones sin interfaz gráfica. Al verificar un código de dispositivo único, permite que los usuarios autoricen el dispositivo a través de un dispositivo secundario con una interfaz de usuario completa.
Más información
Flujo híbrido (Hybrid flow)
El flujo híbrido es un flujo de OpenID Connect (OIDC) que combina el flujo de código de autorización y el flujo implícito. Está diseñado para proporcionar un equilibrio entre seguridad y usabilidad para la autenticación.
Más información
Flujo implícito (Implicit flow)
El flujo implícito (implicit flow) de OIDC es un método de autenticación para SPAs, que les permite recibir rápidamente tokens directamente del servidor de autorización. Aunque simplifica el proceso al eliminar la necesidad de un servidor backend, viene con una menor seguridad debido a la exposición de tokens en la URL.
Más información
G
Gestión de identidades y access (Identity and access management, IAM)
La gestión de identidades y access (IAM) es un concepto amplio que abarca los procesos, tecnologías y políticas utilizadas para gestionar identidades digitales y controlar el acceso (access) a los recursos. Es un aspecto fundamental de la seguridad en aplicaciones y sistemas modernos.
Más información
I
Indicador de recursos (Resource indicator)
El indicador de recursos en OAuth 2.0 es un parámetro de extensión definido en RFC 8707 que permite a los clientes especificar la ubicación del servidor de recursos en la solicitud de autorización (authorization request). Proporciona una forma escalable de manejar múltiples servidores de recursos en un único servidor de autorización (authorization server).
Más información
Inicio de sesión único (Single Sign-On, SSO)
El inicio de sesión único (Single Sign-On, SSO) es un método de autenticación que permite a los usuarios acceder a múltiples sistemas con un único conjunto de credenciales. Como un componente clave de los sistemas de gestión de identidad y acceso (IAM, Identity and Access Management), el SSO se utiliza ampliamente en aplicaciones y servicios modernos basados en la nube, simplificando el acceso del usuario y mejorando la seguridad.
Más información
J
JSON Web Signature (JWS)
JSON Web Signature (JWS) es una forma estándar de firmar y verificar datos en formato JSON. Se utiliza a menudo para asegurar la integridad y autenticidad de los JSON Web Tokens (JWT) en OpenID Connect (OIDC).
Más información
JSON Web Token (JWT)
JSON Web Token (JWT) es un estándar abierto definido en RFC 7519 que permite la comunicación segura entre dos partes. Es compacto, seguro para URLs y autónomo, lo que lo hace ideal para transmitir datos de autenticación (authentication) y autorización (authorization) entre servicios.
Más información
L
Lenguaje de Marcado Extensible para el Control de Acceso (XACML)
El Lenguaje de Marcado Extensible para el Control de Acceso (XACML) es un lenguaje basado en XML para expresar políticas de control de acceso. Se utiliza principalmente para implementar políticas de control de acceso basadas en atributos (ABAC).
Más información
Lenguaje de marcado para declaraciones de seguridad (Security Assertion Markup Language, SAML)
El Lenguaje de marcado para declaraciones de seguridad (SAML) es un estándar basado en XML para intercambiar datos de autenticación y autorización entre proveedores de identidad y proveedores de servicios.
Más información
Llave de acceso (Passkey)
La llave de acceso (Passkey) es una credencial resistente al phishing y conveniente que reemplaza las contraseñas y puede ser utilizada para el inicio de sesión y la autenticación multifactor (MFA).
Más información
M
Máquina a máquina (Machine-to-machine)
La comunicación máquina a máquina (M2M) se refiere al intercambio automatizado de datos entre dispositivos sin intervención humana. En el contexto de la autenticación (authentication) y autorización (authorization), la comunicación M2M a menudo involucra una aplicación cliente que necesita acceder a recursos, donde la aplicación cliente es una máquina (servicio) o una máquina actuando en nombre de un usuario.
Más información
Multitenencia (Multi-tenancy)
La multitenencia es una arquitectura de software en la que una única instancia de aplicación sirve a múltiples clientes (inquilinos), manteniendo sus datos aislados y seguros. Es común en la computación en la nube y SaaS para optimizar recursos y simplificar el mantenimiento.
Más información
O
OAuth 2.0
OAuth 2.0 es un marco de autorización ampliamente utilizado que permite a una aplicación (cliente) obtener acceso limitado a recursos protegidos en nombre de un usuario o de la propia aplicación.
Más información
OAuth 2.1
OAuth 2.1 es una actualización propuesta del marco de autorización de OAuth 2.0 que busca mejorar la seguridad y la usabilidad al descontinuar flujos inseguros e introducir nuevas mejores prácticas.
Más información
OpenID Connect (OIDC)
OpenID Connect (OIDC) es una capa de autenticación (identity) sobre OAuth 2.0, que permite a los clientes autenticar a los usuarios y obtener información de identidad de manera estandarizada.
Más información
P
Propietario del recurso (Resource owner)
Un propietario del recurso es una identidad (generalmente un usuario) que tiene la capacidad de conceder acceso a un recurso protegido. En OAuth 2.0, el propietario del recurso puede autorizar al cliente para que acceda a sus recursos en un servidor de recursos en su nombre.
Más información
Proveedor de identidad (Identity provider, IdP)
Un proveedor de identidad (IdP) es un servicio que gestiona identidades. Los proveedores de identidad modernos admiten OpenID Connect (OIDC) para autenticación y OAuth 2.0 para autorización.
Más información
Proveedor de servicios (Service provider, SP)
El proveedor de servicios (SP) es una aplicación o servicio que confía en un proveedor de identidad (IdP) para la autenticación (authentication) y autorización (authorization).
Más información
Prueba de clave para el intercambio de códigos (Proof Key for Code Exchange, PKCE)
Proof Key for Code Exchange (PKCE) es una extensión de seguridad para OAuth 2.0 que protege los códigos de autorización de la interceptación y el mal uso. Se aplica a todos los tipos de clientes en OAuth 2.1.
Más información
R
Reclamación (Claim)
Una reclamación (claim) en un JSON Web Token (JWT) es un par nombre-valor que transmite información específica. En un contexto más amplio, una reclamación puede ser cualquier par nombre-valor que represente información.
Más información
Rol (Role)
Un rol es una colección de permisos en sistemas de control de acceso que define qué acciones pueden realizar los usuarios, proporcionando una forma eficiente de gestionar y asignar derechos de acceso a los usuarios.
Más información
S
Servidor de autorización (Authorization server)
Un servidor de autorización es un componente del marco OAuth 2.0 que emite access tokens (tokens de acceso) a los clientes tras una autenticación y autorización exitosas. También es el OpenID Provider (Proveedor de OpenID, OP) en OpenID Connect (OIDC) que emite ID tokens (tokens de identificación) a los clientes.
Más información
Servidor de recursos (Resource server)
El servidor de recursos se refiere al servidor que aloja los recursos protegidos a los que el cliente desea acceder. También tiene la responsabilidad de verificar los access tokens y servir los recursos protegidos al cliente.
Más información
Sin Contraseña (Passwordless)
Sin contraseña (Passwordless) es un método de autenticación que permite a los usuarios iniciar sesión en sistemas informáticos sin ingresar (o recordar) una contraseña u otro secreto basado en conocimiento.
Más información
Solicitud de autenticación (Authentication request)
Una solicitud de autenticación (Authentication request) es una petición de OpenID Connect (OIDC) para autenticar a un usuario. Reutiliza la solicitud de autorización de OAuth 2.0 y la extiende para admitir autenticación.
Más información
Solicitud de autorización (Authorization request)
Una solicitud de autorización (authorization request) es una solicitud de OAuth 2.0 para autorizar a un cliente a acceder a recursos protegidos en nombre de un usuario. Es el primer paso de los flujos de autorización de usuario en OAuth 2.0.
Más información
Solicitud de token (Token request)
La solicitud de token (Token request) se refiere a la solicitud de OAuth 2.0 para intercambiar credenciales (por ejemplo, código de autorización, token de actualización (refresh token)) por un conjunto de tokens, que generalmente incluye uno o más de los siguientes: token de acceso (access token), ID token o token de actualización (refresh token).
Más información
T
Token de acceso (Access token)
Un token de acceso (access token) es una credencial utilizada para acceder a recursos protegidos en nombre de una identidad (por ejemplo, usuario o servicio). Es un token de portador que otorga acceso a recursos basado en los scopes (permisos) del token.
Más información
Token de actualización (Refresh token)
Un token de actualización (refresh token) es una credencial de larga duración utilizada para obtener nuevos tokens de acceso (access tokens) sin requerir que el usuario vuelva a autenticarse. Se utiliza para mantener sesiones de usuario y proporcionar una mejor experiencia de usuario.
Más información
Token de ID (ID token)
Un token de ID (ID token) es un JSON Web Token (JWT) emitido por un servidor de autorización a una aplicación cliente. Contiene información sobre el usuario autenticado, como su identificador único y claims. Este token se utiliza para verificar la identidad del usuario y permite que la aplicación cliente acceda a recursos protegidos en nombre del usuario.
Más información
Token opaco (Opaque token)
Un token opaco es un tipo de token cuyo formato está determinado por el issuer (emisor), y típicamente aparece como una cadena de caracteres o números, requiriendo validación por parte del issuer (emisor) en lugar de contener toda la información necesaria para validación directa.
Más información
U
URI de redirección (Redirect URI)
URI de redirección es una URI donde el servidor de autorización (authorization server) redirige al agente de usuario después de una solicitud de autorización (authorization request). Es un parámetro esencial en los permisos de OAuth 2.0 y OpenID Connect (OIDC) que involucran interacción del usuario.
Más información
W
WebAuthn
WebAuthn es una API para acceder a credenciales de clave pública, facilitando la implementación de llaves de paso (passkeys).
Más información
Webhook
Los webhooks son un método para que las aplicaciones web se comuniquen entre sí en tiempo real. Permiten que una aplicación envíe mensajes automáticos o información a otra aplicación cuando ocurre un evento específico. A diferencia de las APIs tradicionales donde una aplicación necesita consultar a otra para actualizaciones, los webhooks envían datos a la aplicación receptora tan pronto como ocurre el evento.
Más información