Unterstützte Token
Mit einem Token können Sie Sicherheitsentscheidungen treffen, um einen Benutzer zu autorisieren und manipulationssichere Informationen zu einer Systementität in einer Identitätsdomain zu speichern.
Identitätsdomains unterstützen JSON-Web-Token (JWT). Ein JWT ist ein JSON-basierter offener Standard (RFC 7519), der eine kompakte und in sich geschlossene Möglichkeit zum sicheren Senden von Informationen zwischen Parteien als JSON-Objekt definiert. Diese Informationen können verifiziert und vertrauenswürdig sein, da sie digital signiert sind. JSON-Web-Token bestehen aus drei Teilen, die durch Punkte getrennt sind (xxxx.yyyy.zzzz):
-
Header. Besteht aus zwei Teilen: dem Tokentyp (JWT) und dem verwendeten Hashing-Algorithmus, wie SHA256
-
Payload. Enthält die Claims (die Tokendaten)
-
Signatur. Besteht aus dem codierten Tokenheader und der codierten Payload, die mit dem Private Key der Identitätsdomain signiert ist. Die Signatur wird verwendet, um zu überprüfen, ob der Absender des JWT ist, wer es ist, und stellt sicher, dass die Nachricht auf dem Weg nicht geändert wurde.
Identitätsdomains unterstützen drei verschiedene Token: Identitäts-Token, Zugriffstoken und Client-Assertion.
Um auf detaillierte Informationen zu jedem unterstützten Token zuzugreifen, wählen Sie einen der folgenden Links aus:
Informationen zum Ablauf von Token finden Sie unter:
Identitätstoken
Ein Identity Token ist ein integritätsgesichertes, in sich geschlossenes Token (im JSON Web Token-(JWT-)Format), das im OpenID Connect-Standard definiert ist und Claims zum Endbenutzer enthält. Das Identitätstoken ist die primäre Erweiterung, mit der OpenID Connect OAuth 2.0 aktiviert, um die Authentifizierung in einer Identitätsdomain zu aktivieren.
Das Identity Token JWT besteht aus drei Komponenten: einem Header, einer Payload und der digitalen Signatur. Nach dem JWT-Standard sind diese drei Abschnitte Base64URL codiert und durch Punkte getrennt.
OpenID Connect-Anforderungen müssen den Geltungsbereichswert
openid enthalten. OpenID Connect 1.0 ist eine einfache Identitätsschicht über dem OAuth 2.0-Protokoll. Damit kann eine IAM-Identitätsdomainclientanwendung (als OAuth 2-Client mit Client-ID und Client Secret registriert) die Identität des Endbenutzers basierend auf der von einem Autorisierungsserver (AS) ausgeführten Authentifizierung prüfen und grundlegende Profilinformationen zum Endbenutzer auf interoperable, REST-ähnliche Weise abrufen. Mit OpenID Connect können Clients aller Art, einschließlich webbasierter, mobiler und JavaScript-Clients, Informationen zu authentifizierten Sessions und Endbenutzern anfordern und empfangen. Weitere Informationen finden Sie unter OpenID Connect.
| Name | Wert |
|---|---|
amr
|
Referenzen auf Authentifizierungsmethoden. JSON-Array von Zeichenfolgen, die IDs für Authentifizierungsmethoden sind, die in der Authentifizierung verwendet werden. Beispiel: Werte können angeben, dass sowohl Kennwort- als auch OTP-Authentifizierungsmethoden verwendet wurden. |
at_hash
|
OAuth 2 Zugriffstoken-Hashwert. |
aud
|
Kennzeichnet Empfänger, für die dieses ID-Token bestimmt ist. Muss OAuth 2.0 client_id (gemäß der OpenID Connect-Spezifikation) sein. Dies ist der OAuth-Clientname (app.name), der die Anforderung ausführt. Aud enthält auch den IAM-Identitätsdomainaussteller. Dadurch wird der Tokentyp (IT) in eine Benutzer-Assertion der IAM-Identitätsdomain umgewandelt. |
authn_strength*
|
Der von Cloud SSO zurückgegebene Wert, der die Authentifizierungsstärke aus dem Kontext AuthN angibt. |
auth_time
|
Die Zeit (UNIX-Epochenzeit), zu der Cloud SSO den Benutzer tatsächlich authentifiziert hat (in Sekunden, aus AuthN Context). |
azp
|
Autorisierte Party. Die Partei, an die das ID-Token ausgegeben wurde. Er muss, sofern vorhanden, die OAuth 2.0 Client-ID dieser Vertragspartei enthalten. Dieser Anspruch ist nur erforderlich, wenn das ID-Token einen einzelnen Zielgruppenwert aufweist und sich diese Zielgruppe von der autorisierten Partei unterscheidet. Es kann einbezogen werden, auch wenn die autorisierte Partei die gleiche wie die einzige Zielgruppe ist. Der azp-Wert ist eine Zeichenfolge, die zwischen Groß- und Kleinschreibung unterschieden wird und einen StringOrURI-Wert enthält. |
exp
|
Die Ablaufzeit (UNIX-Epochenzeit), nach der das ID-Token nicht zur Verarbeitung akzeptiert werden darf. Dieser Wert muss mit dem Wert session_exp. übereinstimmen |
iat
|
Die Zeit (UNIX-Epochenzeit), zu der das JWT erstellt wurde (in Sekunden). UNIX Epoch Time ist eine JSON-Nummer, die für die Anzahl der Sekunden von 1970-01-01T0:0:0Z (gemessen in Coordinated Universal Time (UTC) bis zu Datum und Uhrzeit steht. |
iss
|
Der Principal, der das Token ausgegeben hat: https://<domainURL>
|
jti
|
Die vom Server generierte eindeutige ID für die JWT-ID. |
nonce
|
Der Zeichenfolgenwert, der zum Verknüpfen einer Clientsession mit einem ID-Token und zum Abmildern von Wiedergabeangriffen verwendet wird. Dieser Wert wird von Cloud Gate bereitgestellt. |
session_exp*
|
Die Zeit (UNIX-Epochenzeit), zu der die Cloud-SSO-Session abläuft (Sekunden, muss der Sessionablauf des SSO im Kontext AuthN sein). |
sid
|
Die Session-ID aus Cloud SSO (max. 255 ASCII-Zeichen) aus AuthN Context. |
sub
|
Ermittelt den Benutzer. Die Subject-ID ist lokal eindeutig, wird nie neu zugewiesen und soll vom Client verwendet werden: Benutzeranmelde-ID (maximal 255 ASCII-Zeichen). Dies ist die Anmelde-ID des Benutzers aus dem Kontext AuthN. |
sub_mappingattr*
|
Das Attribut, mit dem das Sub im ID-Speicher gesucht wird. |
tok_type*
|
Identifiziert den Tokentyp: IT |
user_displayname*
|
Der Benutzeranzeigename (max. 255 ASCII-Zeichen) aus dem Kontext AuthN. |
user_csr*
|
Gibt an (wahr), dass der Benutzer ein Kundendienstmitarbeiter (CSR) ist. |
user_id*
|
Die IAM-Identitätsdomain-GUID des Benutzers aus dem Kontext AuthN. |
user_lang*
|
Die bevorzugte Sprache des Nutzers. |
user_locale*
|
Das Gebietsschema des Benutzers. |
user_tenantname*
|
Der Name des Benutzermandanten (max. 255 ASCII-Zeichen). Mandanten-GUID wird speziell nicht im Token gespeichert |
user_tz*
|
Zeitzone des Benutzers. |