Oracle Cloud Infrastructure - Dokumentation

Erzwungene erneute Authentifizierung aktivieren

Um die erneute Authentifizierung eines Benutzers beim Zugriff auf eine Anwendung zu erzwingen, selbst wenn eine gültige OCI-IAM-Session verfügbar ist, legen Sie forceReauthenticateAfterInMinutes mit dem REST-API-Endpunkt fest.

Hinweis

Um diese Funktionalität zu aktivieren, muss das Feature access.sso.session.max.age aktiviert sein.

OCI IAM verwaltet das Attribut forceReauthenticateAfterInMinutes auf Anwendungsebene. Wenn eine Anwendung eine Authentifizierungsanforderung an OCI IAM ausführt, wertet der Service aus, ob die Dauer seit der letzten Authentifizierung den im Attribut forceReauthenticateAfterInMinutes für diese Anwendung festgelegten Wert überschritten hat. Wenn dies der Fall ist, zwingt OCI IAM den Benutzer zur erneuten Authentifizierung. Standardmäßig ist der Wert NULL, und die erneute Authentifizierung wird nicht erzwungen.

Mögliche Werte für dieses Attribut:

  • NULL (Standard) – Keine erneute Authentifizierung

  • -1 – Keine erneute Authentifizierung

  • 0 bis 32767 - Dauer in Minuten, nach der ein Benutzer zur erneuten Authentifizierung gezwungen wird

Bei der Authentifizierung mit externen Identitätsprovidern versucht OCI IAM, die erneute Authentifizierung im externen IdPs durchzusetzen.

  • Bei OIDC übergibt OCI IAM das Attribut max_age in der Anforderung /authorize.
  • Für SAML sendet OCI IAM basierend auf AuthNInstant, die in der SAML-Antwort vom externen Identitätsprovider zurückgegeben wird, eine zweite SAML-Anforderung mit ForceAuthn=true an IdP.

Der in der Anforderung empfangene max_age-Attributwert hat Vorrang vor dem Wert forceReauthenticateAfterInMinutes, der auf Anwendungsebene konfiguriert wurde. Das max_age-Protokoll muss jedoch korrekt implementiert werden, damit es funktioniert. Beispiel: Wenn IdP id_token nicht zurückgibt oder auth_time nicht in id_token enthält, funktioniert das max_age-Protokoll nicht, und Ihre Anwendung gibt einen Fehler zurück, wenn Sie versuchen, sich anzumelden. Google und Facebook sind Beispiele für Identitätsprovider, die das max_age-Protokoll bisher nicht korrekt implementiert haben.

Hinweis

Wenn OCI IAM mit einem externen Identitätsprovider föderiert ist, kann OCI IAM nicht garantieren, ob ein Benutzer von einem externen Identitätsprovider erneut authentifiziert werden muss. Das Verhalten hängt davon ab, wie OIDC/SAML-Protokolle beim externen Identitätsprovider implementiert werden.
Curl zum Aktualisieren des Attributs forceReauthenticateAfterInMinutes in der Anwendung.

curl --location --request PATCH 'https://{{IDCS_HOST}}/admin/v1/Apps/{{APP_ID}}' --header 'X-RESOURCE-IDENTITY-DOMAIN-NAME: tenantsp' --header 'Authorization: Bearer {{IDENTITY_DOMAIN_ADMINSTRATOR_TOKEN}}' --header 'Content-Type: application/json' --data-raw '{
    "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:PatchOp"
    ],
    "Operations": [
        {
            "op": "add",
            "path": "forceReauthenticateAfterInMinutes",
            "value": {{value}}
        }
    ]
}'