Vertrauliche Anwendung hinzufügen

Geben Sie einen Namen für die vertrauliche Anwendung ein. Sie können bis zu 125 Zeichen eingeben.

Bei Anwendungen mit langen Namen wird der Anwendungsname auf der Seite Meine Apps abgeschnitten. Verwenden Sie möglichst kurze Anwendungsnamen.

Geben Sie eine Beschreibung für die vertrauliche Anwendung ein. Sie können bis zu 250 Zeichen eingeben.

Klicken Sie im Anwendungssymbolfenster auf "Schließen" (X), um das Standard-Anwendungssymbol zu löschen, und fügen Sie dann Ihr eigenes Symbol für die Anwendung hinzu. Dieses Symbol wird auf den Seiten "Meine Apps" und "Anwendungen" neben dem Namen der Anwendung angezeigt.

Geben Sie die URL (HTTP oder HTTPS) ein, zu der der Benutzer nach einer erfolgreichen Anmeldung umgeleitet wird. Dieser Wert wird auch als SAML-RelayState-Parameter bezeichnet. Das HTTPS-Format wird empfohlen. Verwenden Sie HTTP nur zu Testzwecken.

Bei Unternehmensanwendungen ist die Anwendungs-URL die URL, die Benutzer für den Zugriff auf die Unternehmensanwendung verwenden sollen. Verwenden Sie den Hostnamen und die Portnummer des App-Gateways. Wenn mehrere Instanzen des App-Gateways vorhanden sind, verwenden Sie den Hostnamen und die Portnummer des Load Balancers.

Geben Sie im Feld Benutzerdefinierte Anmelde-URL eine benutzerdefinierte Anmelde-URL an. Wenn Sie jedoch eine Standardanmeldung von IAM verwenden, geben Sie in dieses Feld keinen Wert ein.

Geben Sie im Feld Benutzerdefinierte Abmelde-URL eine benutzerdefinierte Abmelde-URL an. Wenn Sie jedoch eine Standardanmeldung von IAM verwenden, geben Sie in dieses Feld keinen Wert ein.

Dieses Feld ist optional. Geben Sie die Fehlerseiten-URL ein, zu der Benutzer umgeleitet werden, wenn ein Fehler auftritt. Wenn Sie keine Angabe machen, wird die mandantenspezifische Fehlerseiten-URL verwendet. Wenn keine der beiden Fehler-URLs konfiguriert ist, wird der Fehler auf die IAM-Fehlerseite (/ui/v1/error) umgeleitet.

Wenn ein Benutzer versucht, sich mit Social-Authentifizierung (z.B. Google, Facebook usw.) bei IAM anzumelden, muss die Callback-URL im Feld "Benutzerdefinierte Fehler-URL" konfiguriert werden. Social-Provider benötigen diese Callback-URL, um IAM aufzurufen und die Antwort nach der Social-Authentifizierung zurückzusenden. Anhand der angegebenen Callback-URL wird geprüft, ob der Benutzer vorhanden ist oder nicht (bei der ersten Social-Anmeldung). Ein Fehler wird angezeigt, wenn die Social-Authentifizierung nicht erfolgreich war. Das ist die URL, an die der Callback mit Benutzerdetails für die Social-Registrierung gesendet wird, wenn kein erfolgreich angemeldeter Social-Benutzeraccount in IAM vorhanden ist.

Dieses Feld ist optional. Geben Sie die URL ein, an die IAM umleiten kann, nachdem die Verknüpfung eines Benutzers zwischen Social-Providern und IAM abgeschlossen ist.

Wenn Sie eine benutzerdefinierte App mit dem benutzerdefinierten IAM-SDK erstellen und mit der IAM-Social-Anmeldung integrieren, muss die benutzerdefinierte App über die Verknüpfungs-Callback-URL verfügen. Diese kann nach dem Verknüpfen des Benutzers zwischen Social-Provider und IAM umgeleitet werden.

Aktivieren Sie das Kontrollkästchen, wenn die vertrauliche Anwendung auf der Seite "Meine Apps" für Benutzer aufgeführt werden soll. In diesem Fall müssen Sie die Anwendung als Ressourcenserver konfigurieren.

Wenn Sie das Kontrollkästchen Unter "Meine Apps" anzeigen in Anwendungen aktivieren, wird die App auf der Seite Meine Apps angezeigt. Durch Aktivieren dieses Kontrollkästchen wird jedoch nicht SSO für die App aktiviert oder deaktiviert.

Das Flag zum Aktivieren oder Deaktivieren von SSO stammt aus der App-Vorlage.

Aktivieren Sie das Kontrollkästchen, wenn Endbenutzer in der Lage sein sollen, Zugriff auf die App auf der Seite Meine Apps durch Klicken auf Zugriff hinzufügen anzufordern. Wenn Selfservice nicht aktiviert ist, wird die Schaltfläche Zugriff hinzufügen den Benutzern nicht angezeigt.

Für vertrauliche Apps: Berechtigungen als Autorisierung durchsetzen

Für Unternehmensanwendungen: Dem Benutzer muss diese App zugeteilt werden

Wenn IAM den Zugriff auf die Anwendung basierend auf Berechtigungen für Benutzer und Gruppen kontrollieren soll, wählen Sie diese Option aus. Wenn Sie diese Option deaktivieren, hat jeder authentifizierte Benutzer Zugriff auf die Anwendung.

Legen Sie in Sekunden fest, wie lange das mit der vertraulichen Anwendung verknüpfte Zugriffstoken gültig bleibt.

Aktivieren Sie dieses Kontrollkästchen, wenn Sie das Aktualisierungstoken verwenden möchten, das Sie bei Verwendung der Berechtigungstypen "Ressourceneigentümer, Autorisierungscode" oder "Assertion" erhalten.

Legen Sie in Sekunden fest, wie lange das Aktualisierungstoken, das mit Ihrem Zugriffstoken zurückgegeben und mit der vertraulichen Anwendung verknüpft wird, gültig bleibt.

Geben Sie den primären Empfänger ein, auf dem das Zugriffstoken der vertraulichen Anwendung verarbeitet wird.

Geben Sie die sekundären Empfänger ein, auf denen das Zugriffstoken der vertraulichen Anwendung verarbeitet wird, und klicken Sie auf Hinzufügen. Der sekundäre Empfänger wird in der Spalte Sekundäre Zielgruppe angezeigt. In der Spalte Geschützt können Sie feststellen, ob die sekundäre Zielgruppe geschützt ist oder nicht.

Um anzugeben, auf welche Teile anderer Anwendungen Ihre Anwendung zugreifen soll, fügen Sie diese Geltungsbereiche der vertraulichen Anwendung hinzu.

Anwendungen müssen sicher mit externen Partneranwendungen oder vertraulichen Anwendungen interagieren. Außerdem müssen Anwendungen von einem Oracle Cloud-Service sicher mit Anwendungen in einem anderen Oracle Cloud-Service interagieren. Jede Anwendung verfügt über Anwendungsgeltungsbereiche, die bestimmen, welche ihrer Ressourcen für andere Anwendungen verfügbar sind.

Verwenden Sie diese Option, wenn der Autorisierungsgeltungsbereich auf die geschützten Ressourcen unter der Kontrolle des Clients oder auf die beim Autorisierungsserver registrierten geschützten Ressourcen beschränkt ist.

Der Client präsentiert seine eigenen Zugangsdaten, um ein Zugriffstoken abzurufen. Dieses Zugriffstoken ist entweder mit den eigenen Ressourcen des Clients, aber nicht mit einem bestimmten Ressourceneigentümer, oder mit einem Ressourceneigentümer verknüpft, für den der Client anderweitig berechtigt ist, Aktionen auszuführen.

Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als Assertion ohne einen direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-JSON-Web-Token-(JWT-)Assertion oder eine JWT-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine JWT-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.

Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als SAML2-Assertion ohne direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-SAML2-Assertion oder eine SAML2-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine SAML2-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.

Aktivieren Sie diesen Berechtigungstyp, wenn Sie einen Autorisierungscode abrufen möchten, indem Sie einen Autorisierungsserver als Zwischenstelle zwischen der Clientanwendung und dem Ressourceneigentümer verwenden.

Ein Autorisierungscode wird über eine Browserumleitung an den Client zurückgegeben, nachdem der Ressourceneigentümer dem Autorisierungsserver seine Zustimmung erteilt hat. Der Client tauscht den Autorisierungscode dann gegen ein Zugriffstoken (und häufig ein Aktualisierungstoken) aus. Zugangsdaten des Ressourceneigentümers werden nie für den Client zugänglich gemacht.

Wenn die Anwendung die Clientzugangsdaten für die Authentifizierung beim Autorisierungsserver nicht vertraulich behandeln kann, aktivieren Sie dieses Kontrollkästchen. Beispiel: Die Anwendung wird in einem Webbrowser mit einem Skripting wie JavaScript implementiert. Ein Zugriffstoken wird (anstelle einer Zwischenautorisierung) über eine Browserumleitung als Antwort auf die Autorisierungsanforderung des Ressourceneigentümers an den Client zurückgegeben.

Wählen Sie den Berechtigungstyp Gerätecode aus, wenn der Client keine Anforderungen vom OAuth-Autorisierungsserver empfangen kann. Beispiel: Er kann nicht als HTTP-Server fungieren, wie Spielkonsolen, Streamingmediaplayer, digitale Bilderrahmen usw.

In diesem Ablauf ruft der Client den Benutzercode, den Gerätecode und die Verifizierungs-URL ab. Der Benutzer greift dann in einem separaten Browser auf die Verifizierungs-URL zu, um die Zugriffsanforderung zu genehmigen. Erst dann kann der Client das Zugriffstoken mit dem Gerätecode abrufen.

Wählen Sie den Berechtigungstyp TLS-Clientauthentifizierung aus, um das Clientzertifikat für die Authentifizierung beim Client zu verwenden. Wenn eine Tokenanforderung ein X.509-Clientzertifikat umfasst und der angeforderte Client mit dem Berechtigungstyp TLS-Clientauthentifizierung konfiguriert ist, verwendet der OAuth-Service die Client_ID in der Anforderung, um den Client zu identifizieren und das Clientzertifikat mit dem Zertifikat in der Clientkonfiguration zu validieren. Der Client wird nur dann erfolgreich authentifiziert, wenn die beiden Werte übereinstimmen.

Für zusätzliche Sicherheit müssen Sie vor dem Aktivieren des Berechtigungstyps TLS-Clientauthentifizierung die OCSP-Validierung aktivieren und konfigurieren und ein vertrauenswürdiges Partnerzertifikat importieren.

Aktivieren Sie dieses Kontrollkästchen, wenn Sie HTTP-URLs für die Felder Umleitungs-URL, Abmelde-URL oder Umleitungs-URL nach der Abmeldung verwenden möchten. Beispiel: Wenn Sie Anforderungen intern senden, die nicht verschlüsselte Kommunikation benötigen oder mit OAuth 1.0 rückwärtskompatibel sein möchten, können Sie eine HTTP-URL verwenden.

Aktivieren Sie dieses Kontrollkästchen auch, wenn Sie die Anwendung entwickeln oder testen und SSL möglicherweise nicht konfiguriert haben. Diese Option wird für Produktions-Deployments nicht empfohlen.

Geben Sie die Anwendungs-URL ein, zu der der Benutzer nach der Authentifizierung umgeleitet wird.

Hinweis: Geben Sie eine absolute URL an. Relative URLs werden nicht unterstützt.

Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der Anwendung umgeleitet werden soll.

Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der vertraulichen Anwendung umgeleitet wird.

Wählen Sie den Clienttyp aus. Die verfügbaren Clienttypen sind Vertrauenswürdig und Vertraulich. Wählen Sie Vertrauenswürdig aus, wenn der Client selbstsignierte Benutzer-Assertions generieren kann. Klicken Sie dann auf Zertifikat importieren, um das Signaturzertifikat zu importieren, mit dem der Client die selbstsignierte Assertion signiert.

Wählen Sie einen der Inhaltsverschlüsselungsalgorithmen aus.

Wenn diese Option aktiviert ist, überschreibt dieses Attribut das Attribut Zustimmung erforderlich für alle Geltungsbereiche, die für die Anwendung konfiguriert sind. In diesem Fall ist für keinen Geltungsbereich eine Zustimmung erforderlich.

Wählen Sie eine der folgenden Optionen aus, um einer Clientanwendung den Zugriff auf autorisierte Ressourcen zu ermöglichen:

• Alle: Greifen Sie auf jede Ressource innerhalb einer Domain zu (Alle). Siehe Auf alle Ressourcen zugreifen.

• Spezifisch: Greifen Sie nur auf die Ressourcen zu, bei denen eine explizite Verknüpfung zwischen Client und Ressource vorhanden ist (Spezifisch). Siehe Auf Ressourcen mit bestimmten Geltungsbereichen zugreifen.

Hinweis: Die Option zum Definieren einer autorisierten Ressource ist nur für vertrauliche Anwendungen verfügbar. Für Apps kann der Vertrauensbereich nicht definiert werden.

Wenn Ihre Anwendung auf APIs von anderen Anwendungen zugreifen soll, aktivieren Sie im Abschnitt Tokenausgabe-Policy die Option Ressourcen hinzufügen. Wählen Sie dann im Fenster Geltungsbereich hinzufügen die Anwendungen aus, die Ihre Anwendung referenziert.

Hinweis: Sie können Geltungsbereiche löschen, indem Sie auf das Symbol x neben dem Geltungsbereich klicken. Geschützte Geltungsbereiche können jedoch nicht gelöscht werden.

Wählen Sie Anwendungsrollen hinzufügen aus. Wählen Sie im Fenster Anwendungsrollen hinzufügen die Anwendungsrollen aus, die Sie dieser Anwendung zuweisen möchten. So kann die Anwendung auf die REST-APIs zugreifen, auf die jede der zugewiesenen Anwendungsrollen zugreifen kann.

Beispiel: Wählen Sie die Option Identitätsdomainadministrator in der Liste aus. Alle für den Identitätsdomainadministrator verfügbaren REST-API-Aufgaben sind dann auch für die Anwendung zugänglich.

Sie können Anwendungsrollen löschen, indem Sie eine Anwendungsrolle auswählen und dann auf Entfernen klicken.

Hinweis: Geschützte Anwendungsrollen können nicht gelöscht werden.