Auf alle Ressourcen zugreifen
Mit der Option Alle für autorisierte Ressourcen kann der Client auf jede Ressource innerhalb einer Domain zugreifen.
Wählen Sie Alle aus, damit die Anwendung ein Zugriffstoken für den vertrauenswürdigen oder vertraulichen Client mit dem Geltungsbereich urn:opc:resource:consumer::all
anfordern kann. Diese Option bietet einen breiten Geltungsbereich. Das Zugriffstoken in der Antwort enthält die Zielgruppe urn:opc:resource:scope:account
und den Geltungsbereich urn:opc:resource:consumer::all
, der Zugriff auf alle Services in derselben Domain erteilt, ohne dass eine explizite Verknüpfung mit Zielservices erforderlich ist.
Verwenden Sie nur den Geltungsbereich urn:opc:resource:consumer::all
in der Anforderung. Ein Fehler wegen eines ungültigen Geltungsbereichs wird zurückgegeben, wenn Sie versuchen, sowohl den Geltungsbereich urn:opc:resource:consumer::all
als auch einen anderen Geltungsbereich in dieselbe Anforderung aufzunehmen, wie urn:opc:idm:__myscopes__.
Im Accountmodus können Clients Token für jede spezifische Ressource abrufen, sofern entweder urn:opc:resource:consumer::all
oder die spezifische Ressource in den zulässigen Geltungsbereichen hinzugefügt wird.
Neben dem oben definierten Geltungsbereich können Sie auch einen fein granulierten Geltungsbereich wie folgt angeben:
-
urn:opc:resource:consumer:paas::read
-
urn:opc:resource:consumer:paas:stack::all
-
urn:opc:resource:consumer:paas:analytics::read
Der angeforderte Geltungsbereich muss immer vorhanden sein und entweder direkt oder hierarchisch mit den definierten zulässigen Geltungsbereichen des Clients übereinstimmen, um dem Client den Zugriff auf die Ressource zu ermöglichen.
Beispiel: Ein Client verwendet den Geltungsbereich urn:opc:resource:consumer:paas:analytics::read
in seiner Anforderung für den Zugriff auf eine Ressource. Wenn der Geltungsbereich direkt mit einem definierten zulässigen Geltungsbereich übereinstimmt, lautet die Zielgruppe im zurückgegebenen Zugriffstoken urn:opc:resource:scope:account
und der Geltungsbereich urn:opc:resource:consumer:paas:analytics::read
.
Wenn der vom Client definierte zulässige Geltungsbereich urn:opc:resource:consumer:paas::read
lautet, kann der Client hierarchisch auf die Ressource zugreifen, wenn der Client einen der folgenden Geltungsbereiche anfordert:
-
urn:opc:resource:consumer:paas::read
-
urn:opc:resource:consumer:paas:analytics::read
Wenn der angeforderte Geltungsbereich jedoch urn:opc:resource:consumer:paas:analytics::write
mit einem anderen Qualifier lautet, kann der Client nicht auf die Ressource zugreifen.
Die Option Alle bietet keinen Zugriff auf die IAM-Admin-APIs. Sie müssen weiterhin den Geltungsbereich
urn:opc:idm:__myscopes__
verwenden, um auf die Admin-APIs zuzugreifen.Um zusätzlich zum Zugriffstoken ein Aktualisierungstoken zu generieren, verwenden Sie den Geltungsbereich urn:opc:resource:consumer::all offline_access
in der Anforderung.