A
Acesso offline
O acesso offline permite que clientes obtenham novos tokens de acesso (access tokens) sem exigir que o usuário se autentique novamente. É útil para sessões de longa duração e melhor experiência do usuário.
Saiba mais
API de Gerenciamento (Management API)
A API de Gerenciamento (Management API) no contexto de gerenciamento de identidade e acesso (IAM) permite o gerenciamento programático de recursos como usuários, aplicações, funções e permissões. Tipicamente RESTful, ela fornece uma camada de abstração entre o sistema IAM e a interface do usuário, possibilitando automação, integração e desenvolvimento de funcionalidades personalizadas.
Saiba mais
Assinatura da Web JSON (JWS)
Assinatura da Web JSON (JWS) é uma maneira padrão de assinar e verificar dados em formato JSON. É frequentemente usada para garantir a integridade e autenticidade dos JSON Web Tokens (JWTs) no OpenID Connect (OIDC).
Saiba mais
Autenticação (Authentication)
Autenticação (Authentication) é o processo de verificar a propriedade da identidade (por exemplo, usuário ou serviço). É a base dos sistemas de gerenciamento de identidade e acesso (IAM) e é essencial para proteger aplicativos e serviços.
Saiba mais
Autenticação multifator (MFA)
A autenticação multifator (MFA) é um mecanismo de segurança que exige que os usuários forneçam pelo menos duas formas de identificação para concluir o processo de autenticação. Ela adiciona uma camada extra de segurança que reduz significativamente o risco de acesso não autorizado.
Saiba mais
Auth (desambiguação)
O termo "auth" é frequentemente usado como uma abreviação para authentication (autenticação) ou authorization (autorização). Esses conceitos estão relacionados, mas são fundamentalmente diferentes.
Saiba mais
Autorização (Authorization)
Autorização (Authorization) é o processo de determinar quais ações uma identidade pode realizar em um recurso. É um mecanismo de segurança fundamental para definir e aplicar políticas de acesso.
Saiba mais
C
Chave de Acesso (Passkey)
Chave de Acesso (Passkey) é uma credencial resistente a phishing e conveniente que substitui senhas e pode ser usada para login e autenticação multifator.
Saiba mais
Chave de API
Uma chave de API é um identificador único usado para autenticar e autorizar um cliente ao acessar uma API. Ela serve como um token secreto incluído em solicitações de API para verificar a identidade do cliente e permitir o acesso a recursos ou serviços específicos. As chaves de API são tipicamente usadas em comunicações de servidor para servidor ou ao acessar dados públicos.
Saiba mais
Chave de assinatura
Uma chave de assinatura é uma chave criptográfica usada para assinar e verificar JSON Web Tokens no OpenID Connect (OIDC). Ela é usada para garantir a integridade e autenticidade dos tokens emitidos pelo provedor OpenID.
Saiba mais
Chave de Prova para Troca de Código (PKCE)
Chave de Prova para Troca de Código (PKCE) é uma extensão de segurança para OAuth 2.0 que protege códigos de autorização contra interceptação e uso indevido. É aplicada a todos os tipos de clientes no OAuth 2.1.
Saiba mais
Cliente
No OAuth 2.0 e OpenID Connect (OIDC), um cliente é uma aplicação que solicita autenticação (authentication) ou autorização (authorization) em nome de um usuário ou de si mesmo. Clientes podem ser públicos ou confidenciais (privados), e eles usam diferentes tipos de concessão para obter tokens.
Saiba mais
Comunicação máquina a máquina
Comunicação máquina a máquina (M2M) refere-se à troca automatizada de dados entre dispositivos sem intervenção humana. No contexto de autenticação e autorização, a comunicação M2M frequentemente envolve um aplicativo cliente que precisa acessar recursos, onde o aplicativo cliente é uma máquina (serviço) ou uma máquina agindo em nome de um usuário.
Saiba mais
Concessão OAuth 2.0 (OAuth 2.0 grant)
Uma concessão de autorização OAuth 2.0 (às vezes referida como "tipo de concessão OAuth 2.0" ou "fluxo OAuth 2.0"), é um método usado por clientes para obter um access token de um authorization server. É uma parte essencial para que clientes OAuth autentiquem e autorizem identidades.
Saiba mais
Controle de acesso
Controle de acesso é a restrição de quem pode realizar quais ações em determinados recursos em um sistema. É um mecanismo de segurança fundamental para definir e aplicar políticas de acesso.
Saiba mais
Controle de acesso baseado em atributos (ABAC)
O controle de acesso baseado em atributos (ABAC) é um modelo de controle de acesso que utiliza atributos (como funções de usuário, propriedades de recursos e condições ambientais) para tomar decisões de controle de acesso. É uma maneira flexível e dinâmica de gerenciar o acesso a recursos protegidos.
Saiba mais
Controle de acesso baseado em função (RBAC)
O controle de acesso baseado em função (RBAC) é um modelo de controle de acesso que atribui permissões a funções em vez de diretamente a usuários, proporcionando uma maneira flexível e eficiente de gerenciar direitos de acesso em sistemas.
Saiba mais
Criptografia da Web JSON (JWE)
Criptografia da Web JSON (JWE) é uma maneira padrão de criptografar e descriptografar dados no formato JSON. É frequentemente usada para proteger informações sensíveis em Tokens da Web JSON (JWTs) em trânsito.
Saiba mais
D
Declaração (Claim)
Uma declaração (claim) em JSON Web Token (JWT) é um par nome-valor que transmite informações específicas. Em um contexto mais amplo, uma declaração pode ser qualquer par nome-valor que representa informações.
Saiba mais
Descoberta do OpenID Connect (OIDC)
A Descoberta do OpenID Connect (OIDC) é um mecanismo que permite que os clientes descubram automaticamente os endpoints e a configuração do Provedor OpenID.
Saiba mais
E
Endpoint de userinfo
O endpoint de userinfo é um endpoint do OpenID Connect (OIDC) que fornece informações do usuário para os clientes. É um endpoint suplementar ao ID token e permite que os clientes recuperem informações adicionais do usuário.
Saiba mais
Escopo (Scope)
O escopo (scope) define as permissões que uma aplicação solicita de um usuário para acessar seus recursos protegidos. É um conceito fundamental no OAuth 2.0 e OIDC que controla o nível de acesso que uma aplicação pode ter aos dados de um usuário.
Saiba mais
F
Falsificação de solicitação entre sites (CSRF)
Falsificação de solicitação entre sites (CSRF) é um ataque que engana os usuários para executar ações indesejadas em uma aplicação web na qual estão autenticados. É uma vulnerabilidade de segurança comum que pode levar a ações não autorizadas.
Saiba mais
Fluxo de código de autorização (Authorization code flow)
O fluxo de código de autorização é um mecanismo seguro do OAuth 2.0 que permite que aplicações obtenham tokens de acesso em nome dos usuários. Ele envolve autenticação do usuário, geração de código de autorização e troca de tokens.
Saiba mais
Fluxo de credenciais do cliente (Client credentials flow)
O fluxo de credenciais do cliente (client credentials flow) é um tipo de concessão do OAuth 2.0 que permite que clientes confidenciais obtenham tokens de acesso (access tokens) para acessar recursos protegidos. É adequado para comunicação máquina a máquina (server-to-server).
Saiba mais
Fluxo de dispositivo (Device flow)
O fluxo de autorização de dispositivo OAuth 2.0 é um método de login amigável para dispositivos com entrada limitada ou aplicativos sem interface. Ao verificar um código de dispositivo único, torna possível para os usuários autorizarem o dispositivo por meio de um dispositivo secundário com uma interface completa.
Saiba mais
Fluxo híbrido (Hybrid flow)
O fluxo híbrido (Hybrid flow) é um fluxo do OpenID Connect (OIDC) que combina o fluxo de autorização de código (authorization code flow) e o fluxo implícito (implicit flow). Ele é projetado para fornecer um equilíbrio entre segurança e usabilidade para autenticação.
Saiba mais
Fluxo implícito (Implicit flow)
O fluxo implícito (implicit flow) do OIDC é um método de autenticação para SPAs, permitindo que recebam rapidamente tokens diretamente do servidor de autorização. Embora simplifique o processo ao eliminar a necessidade de um servidor backend, ele apresenta menor segurança devido à exposição do token na URL.
Saiba mais
G
Gerador de números pseudoaleatórios criptograficamente seguro
Um gerador de números pseudoaleatórios criptograficamente seguro (CSPRNG) é um gerador de números pseudoaleatórios que gera números aleatórios adequados para uso em aplicações criptográficas onde a segurança dos dados é importante.
Saiba mais
Gerenciamento de identidade e acesso (IAM)
Gerenciamento de identidade e acesso (IAM) é um conceito amplo que abrange os processos, tecnologias e políticas usadas para gerenciar identidades digitais e controlar o acesso a recursos. É um aspecto fundamental da segurança em aplicações e sistemas modernos.
Saiba mais
I
Indicador de recurso
O indicador de recurso no OAuth 2.0 é um parâmetro de extensão definido no RFC 8707 que permite aos clientes especificar a localização do servidor de recursos na solicitação de autorização. Ele fornece uma maneira escalável de lidar com vários servidores de recursos em um único servidor de autorização.
Saiba mais
Introspecção de token (Token introspection)
A introspecção de token (Token introspection) é uma extensão do OAuth 2.0 que permite que os clientes consultem o servidor de autorização para validar tokens de acesso e recuperar metadados sobre eles.
Saiba mais
J
JSON Web Key (JWK)
Um JSON Web Key (JWK) é um formato baseado em JSON usado para representar chaves criptográficas. Quando múltiplos JWKs precisam ser agrupados, eles são organizados em um JSON Web Key Set (JWKS).
Saiba mais
JSON Web Token (JWT)
JSON Web Token (JWT) é um padrão aberto definido no RFC 7519 que permite comunicação segura entre duas partes. É compacto, seguro para URLs e autossuficiente, tornando-o ideal para transmitir dados de autenticação (authentication) e autorização (authorization) entre serviços.
Saiba mais
L
Linguagem de Marcação de Declaração de Segurança (SAML)
A Linguagem de Marcação de Declaração de Segurança (SAML) é um padrão baseado em XML para troca de dados de autenticação e autorização entre provedores de identidade e provedores de serviço.
Saiba mais
Linguagem de Marcação Extensível para Controle de Acesso (XACML)
A Linguagem de Marcação Extensível para Controle de Acesso (XACML) é uma linguagem baseada em XML para expressar políticas de controle de acesso. É usada principalmente para implementar políticas de controle de acesso baseadas em atributos (ABAC).
Saiba mais
Link mágico (Magic link)
Link mágico (Magic link) é uma URL de uso único que pode ser usada para completar o processo de autenticação.
Saiba mais
M
Multi-tenancy (Multi-tenancy)
Multi-tenancy (Multi-tenancy) é uma arquitetura de software onde uma única instância de aplicação atende a vários clientes (inquilinos), mantendo seus dados isolados e seguros. É comum em computação em nuvem e SaaS para otimizar recursos e simplificar a manutenção.
Saiba mais
O
OAuth 2.0
OAuth 2.0 é uma estrutura de autorização amplamente utilizada que permite que um aplicativo (cliente) obtenha acesso limitado a recursos protegidos em nome de um usuário ou do próprio aplicativo.
Saiba mais
OAuth 2.1
OAuth 2.1 é uma atualização proposta para o framework de autorização OAuth 2.0 que visa melhorar a segurança e a usabilidade ao descontinuar fluxos inseguros e introduzir novas melhores práticas.
Saiba mais
OpenID Connect (OIDC)
OpenID Connect (OIDC) é uma camada de autenticação (identidade) sobre o OAuth 2.0, permitindo que clientes autentiquem usuários e obtenham informações de identidade de forma padronizada.
Saiba mais
P
Papel (Role)
Um papel (role) é um conceito central em sistemas de controle de acesso baseado em papéis (RBAC), representando uma coleção de permissões que define quais ações os usuários podem realizar, proporcionando uma maneira eficiente de gerenciar e atribuir direitos de acesso aos usuários.
Saiba mais
Passwordless
Passwordless é um método de autenticação que permite aos usuários fazer login em sistemas de computador sem inserir (ou lembrar) uma senha ou qualquer outro segredo baseado em conhecimento.
Saiba mais
Proprietário do recurso (Resource owner)
Um proprietário do recurso é uma identidade (geralmente um usuário) que tem a capacidade de conceder acesso a um recurso protegido. No OAuth 2.0, o proprietário do recurso pode autorizar o cliente a acessar seus recursos em um servidor de recursos em seu nome.
Saiba mais
Provedor de identidade (IdP)
Provedor de identidade (IdP) é um serviço que gerencia identidades. Provedores de identidade modernos suportam OpenID Connect (OIDC) para autenticação e OAuth 2.0 para autorização.
Saiba mais
Provedor de serviço (SP)
Provedor de serviço (SP) é uma aplicação ou serviço que depende de um provedor de identidade (IdP) para autenticação e autorização.
Saiba mais
Provisionamento Just-in-time (JIT)
O provisionamento Just-in-time (JIT) é um processo de gerenciamento de identidade e acesso (IAM) onde contas de usuário são provisionadas dinamicamente quando um usuário faz login pela primeira vez.
Saiba mais
Público (Audience)
A claim de público (audience) em um token especifica o destinatário pretendido, tipicamente o aplicativo cliente ou recurso de API. Isso garante que o token seja usado apenas pelo serviço correto, aumentando a segurança ao prevenir acesso não autorizado.
Saiba mais
S
Senha de uso único (OTP)
Uma senha de uso único (OTP) é um código único e temporário usado para uma única transação ou sessão de login.
Saiba mais
Senha única baseada em tempo (TOTP)
Uma senha única baseada em tempo (TOTP) é um código temporário e único gerado por um algoritmo que usa o tempo atual como um fator chave.
Saiba mais
Servidor de autorização
Um servidor de autorização é um componente do framework OAuth 2.0 que emite access tokens (tokens de acesso) para clients (clientes) após autenticação e autorização bem-sucedidas. Ele também é o OpenID Provider (OP) no OpenID Connect (OIDC) que emite ID tokens (tokens de ID) para clients (clientes).
Saiba mais
Servidor de recursos
Servidor de recursos refere-se ao servidor que hospeda os recursos protegidos que o cliente deseja acessar. Ele também tem a responsabilidade de verificar os access tokens e servir os recursos protegidos ao cliente.
Saiba mais
Single sign-on (SSO)
Single sign-on (SSO) é um método de autenticação que permite aos usuários acessar múltiplos sistemas com um único conjunto de credenciais. Como um componente chave dos sistemas de gerenciamento de identidade e acesso (IAM), o SSO é amplamente utilizado em aplicações e serviços modernos baseados em nuvem, simplificando o acesso do usuário e aumentando a segurança.
Saiba mais
Solicitação de autenticação (Authentication request)
Uma solicitação de autenticação é uma solicitação OpenID Connect (OIDC) para autenticar um usuário. Ela reutiliza a solicitação de autorização do OAuth 2.0 e a estende para suportar autenticação.
Saiba mais
Solicitação de autorização (Authorization request)
Uma solicitação de autorização (authorization request) é uma solicitação OAuth 2.0 para autorizar um cliente a acessar recursos protegidos em nome de um usuário. É o primeiro passo dos fluxos de autorização de usuário no OAuth 2.0.
Saiba mais
Solicitação de token (Token request)
Solicitação de token (Token request) refere-se à solicitação OAuth 2.0 para troca de credenciais (por exemplo, código de autorização, refresh token) por um conjunto de tokens, que geralmente inclui um ou mais dos seguintes: access token, ID token ou refresh token.
Saiba mais
SSO Empresarial
O single sign-on (SSO) empresarial é um tipo específico de SSO projetado para funcionários dentro de uma organização.
Saiba mais
T
Token de acesso (Access token)
Um token de acesso (access token) é uma credencial usada para acessar recursos protegidos em nome de uma identidade (por exemplo, usuário ou serviço). É um token de portador que concede acesso a recursos com base nos escopos (permissões) do token.
Saiba mais
Token de atualização (Refresh token)
Um token de atualização (refresh token) é uma credencial de longa duração usada para obter novos tokens de acesso (access tokens) sem exigir que o usuário se autentique novamente. Ele é usado para manter sessões de usuário e proporcionar uma melhor experiência ao usuário.
Saiba mais
Token de ID (ID token)
Um token de ID (ID token) é um JSON Web Token (JWT) emitido por um servidor de autorização para um aplicativo cliente. Ele contém informações sobre o usuário autenticado, como seu identificador único e claims. Este token é usado para verificar a identidade do usuário e permite que o aplicativo cliente acesse recursos protegidos em nome do usuário.
Saiba mais
Token opaco
Um token opaco é um tipo de token cujo formato é determinado pelo issuer (emissor), geralmente aparecendo como uma sequência de caracteres ou números, e requer validação pelo issuer (emissor) em vez de conter todas as informações necessárias para validação direta.
Saiba mais
U
URI de Redirecionamento
URI de redirecionamento é uma URI onde o servidor de autorização redireciona o agente do usuário após uma solicitação de autorização. É um parâmetro essencial nos grants do OAuth 2.0 e OpenID Connect (OIDC) que envolvem interação do usuário.
Saiba mais
W
WebAuthn
WebAuthn é uma API para acessar credenciais de chave pública, facilitando a implementação de passkeys.
Saiba mais
Webhook
Webhooks são um método para que aplicações web se comuniquem entre si em tempo real. Eles permitem que uma aplicação envie mensagens ou informações automatizadas para outra aplicação quando um evento específico ocorre.
Saiba mais