Especificar el tiempo de caducidad máximo de token

Un token se utiliza para autenticar a los miembros de su organización de ArcGIS Enterprise. Cuando un usuario intenta acceder a la organización, proporciona su nombre de usuario y contraseña. ArcGIS Enterprise verifica las credenciales suministradas, genera un token y emite un token para el miembro.

Un token es una cadena de caracteres de información cifrada que contiene el nombre de usuario, el tiempo de espera del token y otros datos de información confidencial. Cuando se emite un token para el miembro, puede acceder al portal hasta que el token caduca. Cuando caduca, el miembro debe volver a facilitar el nombre de usuario y la contraseña.

Hay tres tipos de tokens que se utilizan en el portal:

• Token de ArcGIS: un token generado mediante el extremo sharing/rest/generateToken.
• Token de acceso de OAuth: un token generado mediante el flujo de trabajo de autenticación de OAuth2.
• Token de actualización de OAuth: un token utilizado para generar nuevos tokens de acceso de OAuth cuando caducan.

El tiempo máximo de caducidad que los miembros de su organización pueden especificar al generar un token depende del tipo de token. Si un usuario especifica un tiempo de caducidad superior al máximo, el token se generará con una caducidad que coincida con el valor máximo para ese tipo de token.

Los siguientes valores son los tiempos máximos de expiración aceptados por el portal, y son los valores máximos de su organización de forma predeterminada:

• Token de ArcGIS: 14 días (20.160 minutos)
• Token de acceso de OAuth, cuando se crea con los tipos de concesión Implicit o Client Credentials: 14 días (20.160 minutos)
• Token de acceso de OAuth, cuando se crea con el tipo de concesión Authorization Code: 30 minutos
• Token de actualización de OAuth: 90 días (129.600 minutos)

Si no se especifica un tiempo de expiración al generar un token, se utiliza un valor predeterminado que varía para cada tipo de token:

• Token de ArcGIS: 120 minutos
• Token de acceso de OAuth, cuando se crea con los tipos de concesión Implicit o Client Credentials: 120 minutos
• Token de acceso de OAuth, cuando se crea con el tipo de concesión Authorization Code: 30 minutos
• Token de actualización de OAuth: 2 semanas (20.160 minutos)

Como administrador, puede disminuir estos valores estableciendo la propiedad maxTokenExpirationMinutes en el Directorio de administrador del Portal ArcGIS con un nuevo valor. El valor predeterminado de -1 representa el tiempo de caducidad máximo y predeterminado para cada tipo de token.

Si el valor definido por usted es menor que el valor máximo, pero mayor que el valor predeterminado, solo afectará al valor máximo y el valor predeterminado permanecerá igual. Si el valor es menor que los valores máximo y predeterminado, ambos valores se verán afectados, y los valores máximo y predeterminado coincidirán con los definidos en maxTokenExpirationMinutes.

Por ejemplo, si define maxTokenExpirationMinutes en 17280 (12 días), el tiempo de caducidad máximo para el token de ArcGIS, el token de acceso de OAuth cuando se crea con los tipos de concesión Implícito o Credenciales de cliente, y el token de actualización de OAuth será de 12 días. El token de acceso OAuth cuando se crea con el tipo de concesión Código de autorización permanecerá 30 minutos. Para el tiempo de expiración predeterminado utilizado cuando no se especifica ninguno, solo el token de actualización OAuth se actualizará a 12 días.

Es importante tener en cuenta las implicaciones de seguridad que conlleva un token. Un token con un tiempo de caducidad más largo es menos seguro. Por ejemplo, un token interceptado por un usuario malintencionado puede ser utilizado hasta que el token caduca. Por el contrario, un tiempo de caducidad más breve es más seguro pero menos cómodo, puesto que los miembros tendrán que introducir su nombre de usuario y contraseña con mayor frecuencia.

¿Algún comentario sobre este tema?