Oracle Cloud Infrastructure - Dokumentation

Zugriffsberechtigungstypen

Der wichtigste Schritt für eine Anwendung im Ablauf OAuth ist, wie die Anwendung ein Zugriffstoken (und optional ein Aktualisierungstoken) empfängt. Ein Berechtigungstyp ist der Mechanismus, mit dem das Token abgerufen wird. OAuth definiert verschiedene Zugriffsberechtigungstypen, die verschiedene Autorisierungsmechanismen darstellen.

Anwendungen können ein Zugriffstoken anfordern, um auf verschiedene Arten auf geschützte Endpunkte zuzugreifen, je nach dem in der Clientanwendung angegebenen Berechtigungstyp. Eine Berechtigung ist ein Berechtigungsnachweis, der die Autorisierung des Ressourceneigentümers für den Zugriff auf eine geschützte Ressource darstellt. Vertrauenswürdige Anwendungen (wie Backend-Services) können Zugriffstoken direkt im Namen von Benutzern anfordern. Dies ist ein OAuth-Autorisierungsfluss mit zwei Beinen. OAuth-Webanwendungen müssen in der Regel zuerst die Identität des Benutzers validieren und optional die Zustimmung des Benutzers einholen. Dies ist ein OAuth-Autorisierungsfluss mit drei Beinen.

Beispiel: Wenn Sie den Berechtigungstyp "Ressourceneigentümer" verwenden, können die Kennwortzugangsdaten des Ressourceneigentümers (Benutzername und Kennwort) direkt als Autorisierungsberechtigung verwendet werden, um ein Zugriffstoken abzurufen. Wenn Sie den Berechtigungstyp "Clientzugangsdaten" verwenden, authentifiziert sich der Client beim OAuth-Service und fordert dann ein Zugriffstoken an. Wenn Sie die Assertion-Berechtigung verwenden, wird eine Benutzer-Assertion zusammen mit den Clientinformationen gesendet, wenn Sie Zugriff anfordern.

Hinweis

Obwohl Sie einer Anwendung mehrere Berechtigungstypen zuordnen können, sollten Sie nur die Anwendungen auswählen, die verwendet werden sollen. Jeder hinzugefügte Berechtigungstyp bedeutet, dass die Anwendung mit Identitätsdomains mit einem dieser Berechtigungstypen kommunizieren kann. Die Anwendung wählt jedoch zur Laufzeit den zu verwendenden Berechtigungstyp.

mTLS-Clientauthentifizierungsdurchsetzung

Die mTLS-Clientauthentifizierung wird für alle Berechtigungstypen durchgesetzt, wenn die Tokenanforderung über die Secure Transport Layer (mTLS) erfolgt. Siehe die Details in den folgenden Absätzen:

  • Wenn die Tokenanforderung über eine sichere Transportschicht (mTLS) erfolgt, prüft der OAuth-Service sowohl die Zertifikatsvalidierung als auch die OAuth-Berechtigung, z.B. Clientzugangsdaten, Benutzerkennwort usw.
  • Selbst wenn die Berechtigung (Clientzugangsdaten, Benutzerpasswort) korrekt ist, wenn das Zertifikat nicht korrekt ist oder nicht mit der Konfiguration im Clientprofil übereinstimmt, wird die Tokenanforderung abgelehnt. Ebenso wird die Tokenanforderung abgelehnt, wenn das Zertifikat korrekt ist, die Hauptberechtigung der Clientzugangsdaten oder des Benutzerpassworts jedoch falsch ist.

secureDomainURL für mTLS abrufen

  1. Gehen Sie zur Detailseite für die Domain in und suchen Sie die Domain-URL. Beispiel:
    https://<domainURL>/.well-known/idcs-configuration
  2. Fügen Sie /.well-known/idcs-configuration nach .com in der Domain-URL hinzu, und gehen Sie zur Seite "Domainkonfiguration".
  3. Die URL unter secure_token_endpoint ist die secureDomainURL.

Weitere Informationen zu Fördermitteltypen

Wählen Sie einen Link aus, um weitere Informationen zu den einzelnen Zuteilungsarten zu erhalten: