Vertrauliche Anwendung hinzufügen

Geben Sie einen Namen für die vertrauliche Anwendung ein. Sie können bis zu 125 Zeichen eingeben.

Bei Anwendungen mit langen Namen ist der Anwendungsname auf der Seite Meine Apps abgeschnitten. Sie sollten möglichst kurze Anwendungsnamen behalten.

Geben Sie eine Beschreibung für die vertrauliche Anwendung ein. Sie können bis zu 250 Zeichen eingeben.

Wählen Sie im Anwendungssymbolfenster das "Schließen" (X) aus, um das Standard-Anwendungssymbol zu löschen, und fügen Sie dann Ihr eigenes Symbol für die Anwendung hinzufügen. Dieses Symbol wird auf den Seiten "Meine Apps" und "Anwendungen" neben dem Namen der Anwendung angezeigt.

Geben Sie die URL (HTTP oder HTTPS) ein, zu der der Benutzer nach einer erfolgreichen Anmeldung umgeleitet wird. Dieser Wert wird auch als SAML-RelayState-Parameter bezeichnet. Das HTTPS-Format wird empfohlen. Verwenden Sie HTTP nur zu Testzwecken.

Bei Unternehmensanwendungen ist die Anwendungs-URL die URL, die Benutzer für den Zugriff auf die Unternehmensanwendung verwenden sollen. Verwenden Sie den Hostnamen und die Portnummer des App-Gateways. Wenn mehrere Instanzen des App-Gateways vorhanden sind, verwenden Sie den Hostnamen und die Portnummer des Load Balancers.

Geben Sie im Feld Benutzerdefinierte Anmelde-URL eine benutzerdefinierte Anmelde-URL ein. Wenn sie jedoch eine Standardanmeldeseite von IAM verwenden, lassen Sie dieses Feld leer.

Geben Sie im Feld Benutzerdefinierte Abmelde-URL eine benutzerdefinierte Abmelde-URL ein. Wenn sie jedoch eine Standardanmeldeseite von IAM verwenden, lassen Sie dieses Feld leer.

Dieses Feld ist optional. Geben Sie die Fehlerseiten-URL ein, zu dem ein Benutzer umorientiert werden muss, wenn ein Fehler auftritt. Wenn Sie keine Angabe machen, wird die mandantenspezifische Fehlerseiten-URL verwendet. Wenn nicht die beiden Fehler-URLs konfiguriert ist, wird der Fehler auf die IAM-Fehlerseite (/ui/v1/error) umgeleitet.

Wenn ein Benutzer versucht, sich bei IAM mit Social-Authentifizierung (z.B. Google, Facebook usw.) anzumelden, muss die Callback-URL im Feld Benutzerdefinierte Error-URL konfiguriert werden. Social-Provider benötigen diese Callback-URL, um IAM aufzurufen und die Antwort nach der Social-Authentifizierung zurückzusenden. Anhand der angegebenen Callback-URL wird geprüft, ob der Benutzer vorhanden ist oder nicht (bei der ersten Social-Anmeldung). Ein Fehler wird angezeigt, wenn die Social-Authentifizierung nicht erfolgreich war. Das ist die URL, an die der Callback mit Benutzerdetails für eine Social-Registrierung gesendet wird, wenn kein erfolgreich angemeldeter Social-Benutzeraccount in IAM vorhanden ist.

Dieses Feld ist optional. Geben Sie die URL ein, zu der IAM umleiten kann, nachdem die Verknüpfung eines Benutzers zwischen Social-Providern und IAM abgeschlossen ist.

Wenn Sie eine benutzerdefinierte App mit einem benutzerdefinierten IAM-SDK erstellen und mit der Social-Anmeldung von IAM integrieren, muss die benutzerdefinierte App über die Verknüpfungs-Callback-URL verfügen, die nach dem Verknüpfungs des Benutzers zwischen Social-Provider und IAM umgeleitet werden kann.

Aktivieren Sie dieses Kontrollkästchen, wenn die vertrauliche Anwendung für Benutzer auf ihrer Seite "Meine Apps" aufgeführt werden soll In diesem Fall müssen Sie die Anwendung als Ressourcenserver konfigurieren.

Wenn Sie das Kontrollkästchen für Unter "Meine Apps" anzeigen in Anwendungen auswählen, wird die App dann auf der Seite Meine Apps angezeigt. Durch Aktivierung dieses Kontrollkästchens werden jedoch nicht SSO für die App aktiviert oder deaktiviert.

Das Flag zum Aktivieren oder Deaktivieren von SSO stammt aus der App-Vorlage.

Aktivieren Sie das Kontrollfeld, wenn Endbenutzer auf der Seite Meine Apps durch Klicken auf "Zugriff hinzufügen" Zugriff auf die App anzufordern sein sollen. Wenn Self-Service nicht aktiviert ist, wird Benutzern die Schaltfläche Zugriff hinzufügen nicht angezeigt.

Für vertrauliche Apps: Berechtigungen als Autorisierung durchsetzen

Für Unternehmensanwendungen: Dem Benutzer muss diese App zugeteilt werden

Wenn IAM den Zugriff auf die Anwendung basierend auf Berechtigungen für Benutzer und Gruppen kontrollieren soll, wählen Sie diese Option. Wenn Sie diese Option deaktivieren, hat jeder authentifizierte Benutzer Zugriff auf die Anwendung.

Legen Sie in Sekunden fest, wie lange das mit der vertraulichen Anwendung verknüpfte Zugriffstoken gültig bleibt.

Aktivieren Sie dieses Kontrollfeld, wenn Sie die Aktualisierungstoken verwenden möchten, das Sie bei Verwendung der Berechtigungstypen "Ressourceneigentümer", "Autorisierungscode" oder "Assertion" erhalten.

Legen Sie in Sekunden fest, wie lange das Aktualisierungstoken, das mit Ihrem Zugriffstoken zurückgegeben und mit der vertraulichen Anwendung verknüpft wird, gültig bleibt.

Geben Sie den primären Empfänger ein, auf dem das Zugriffstoken der vertraulichen Anwendung verarbeitet wird.

Geben Sie die sekundären Empfänger an, auf denen das Zugriffstoken der vertraulichen Anwendung verarbeitet wird, und wählen Sie Hinzufügen aus. Der sekundäre Empfänger wird in der Spalte "Sekundäre Zielgruppe" angezeigt. In der Spalte "Geschützt" können Sie feststellen, ob die sekundäre Zielgruppe geschützt ist oder nicht.

Um anzugeben, auf welche Teile anderer Anwendungen Ihre Anwendung zugreifen soll, fügen Sie diese Geltungsbereiche der vertraulichen Anwendung hinzu.

Anwendungen müssen sicher mit externen Partneranwendungen oder vertraulichen Anwendungen interagieren. Außerdem müssen Anwendungen von einem Oracle Cloud-Service sicher mit Anwendungen in einem anderen Oracle Cloud-Service interagieren. Jede Anwendung verfügt über Anwendungsgeltungsbereiche, die bestimmen, welche ihrer Ressourcen für andere Anwendungen verfügbar sind.

Verwenden Sie diese Option, wenn der Autorisierungsgeltungsbereich auf die geschützten Ressourcen unter der Kontrolle des Clients oder auf die beim Autorisierungsserver registrierten geschützten Ressourcen beschränkt ist.

Der Client präsentiert seine eigenen Zugangsdaten, um ein Zugriffstoken abzurufen. Dieses Zugriffstoken ist entweder mit den eigenen Ressourcen des Clients, aber nicht mit einem bestimmten Ressourceneigentümer, oder mit einem Ressourceneigentümer verknüpft, für den der Client anderweitig berechtigt ist, Aktionen auszuführen.

Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als Assertion ohne einen direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-JSON-Web-Token-(JWT-)Assertion oder eine JWT-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine JWT-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.

Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als SAML2-Assertion ohne direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-SAML2-Assertion oder eine SAML2-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine SAML2-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.

Aktivieren Sie diesen Berechtigungstyp, wenn Sie einen Autorisierungscode abrufen möchten, indem Sie einen Autorisierungsserver als Zwischenstelle zwischen der Clientanwendung und dem Ressourceneigentümer verwenden.

Ein Autorisierungscode wird über eine Browserumleitung an den Client zurückgegeben, nachdem der Ressourceneigentümer seine Zustimmung zum Autorisierungsserver erteilt. Der Client tauscht den Autorisierungscode dann gegen ein Zugriffstoken (und häufig ein Aktualisierungstoken) aus. Zugangsdaten des Ressourceneigentümers werden nie für den Client zugänglich gemacht.

Wenn die Anwendung Clientzugangsdaten für das Authentifizieren beim Autorisierungsserver nicht vertraulich behandeln kann, aktivieren Sie das Kontrollkästchen. Beispiel: Die Anwendung wird in einem Webbrowser mit einem Skripting wie JavaScript implementiert. Ein Zugriffstoken wird (anstelle einer Zwischenautorisierung) über eine Browserumleitung als Antwort auf die Autorisierungsanforderung des Ressourceneigentümers an den Client zurückgegeben.

Wählen Sie den Berechtigungstyp Gerätecode aus, wenn der Client nicht in der Lage ist, Anforderungen vom OAuth-Autorisierungsserver zu empfangen. Beispiel: Er kann als HTTP-Server nicht fungieren, wie Spielkonsolen, Streamingmediaplayer, digitale Bilderrahmen und andere.

In diesem Ablauf ruft der Client den Benutzercode, den Gerätecode und die Verifizierungs-URL ab. Der Benutzer greift dann in einem separaten Browser auf die Verifizierungs-URL zu, um die Zugriffsanforderung zu genehmigen. Erst dann kann der Client das Zugriffstoken mit dem Gerätecode abrufen.

Wählen Sie den Berechtigungstyp TLS-Clientauthentifizierung aus, um das Clientzertifikat für die Authentifizierung beim Client verwenden zu können. Wenn eine Tokenanforderung ein X.509-Clientzertifikat aufweist und der angeforderte Client mit dem Berechtigungstyp TLS-Clientauthentifizierung konfiguriert ist, verwendet der OAuth-Service die Client_ID in der Anforderung, um den Client zu identifizieren und das Clientzertifikat mit dem Zertifikat in der Client-Konfiguration zu validieren. Der Client wird nur dann erfolgreich authentifiziert, wenn die beiden Werte übereinstimmen.

Um zusätzliche Sicherheit zu gewährleisten, müssen Sie vor dem Aktivieren des Berechtigungstyps TLS-Clientauthentifizierung die OCSP-Validierung aktivieren und konfigurieren und ein vertrauenswürdiges Partnerzertifikat importieren.

Wählen Sie dieses Kontrollkästchen aus, wenn Sie HTTP-URLs für die Felder Umleitungs-URL Abmelde-URL oder Umleitungs-URL nach Abmeldung verwenden möchten. Wenn Sie beispielsweise Anforderungen intern senden, eine nicht verschlüsselte Kommunikation wünschen oder abwärtskompatibel mit OAuth 1.0 sein möchten, können Sie eine HTTP-URL verwenden.

Aktivieren Sie das Kontrollkästchen auch, wenn Sie Ihre Anwendung entwickeln oder testen und SSL möglicherweise nicht konfiguriert haben. Diese Option wird für Produktions-Deployments nicht empfohlen.

Geben Sie die Anwendungs-URL ein, zu der der Benutzer nach der Authentifizierung umgeleitet wird.

Hinweis: Geben Sie eine absolute URL ein. Relative URLs werden nicht unterstützt.

Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der Anwendung umgeleitet werden soll.

Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der vertraulichen Anwendung umgeleitet wird.

Wählen Sie den Clienttyp aus. Die verfügbaren Clienttypen sind Vertrauenswürdig und Vertraulich. Wählen Sie Vertrauenswürdig aus, wenn der Client selbstsignierte Benutzer-Assertions generieren kann. Wählen Sie dann Zertifikat importieren aus, um das Signaturzertifikat, mit dem der Client die selbstsignierte Assertion signiert, zu importieren.

Wählen Sie einen der Inhaltsverschlüsselungsalgorithmen aus.

Wenn diese Funktion aktiviert ist, überschreibt dieses Attribut das Attribut Zustimmung erfordern für alle Geltungsbereichsbereiche, die für die Anwendung konfiguriert sind. In diesem Fall ist keine Zustimmung erforderlich.

Wählen Sie eine der folgenden Optionen aus, um einer Clientanwendung den Zugriff auf autorisierte Ressourcen zu ermöglichen:

• Alle - Greifen Sie auf jede Ressource innerhalb einer Domain zu (Alle). Siehe Auf alle Ressourcen zugreifen.

• Spezifisch: Greifen sie nur auf die Ressourcen zu, bei denen eine explizite Verknüpfung zwischen Client und Ressource vorhanden ist (Spezifisch). Siehe Auf Ressourcen mit bestimmten Geltungsbereichen zugreifen.

Hinweis: Die Option zum Definieren einer autorisierten Ressource ist nur für vertrauliche Anwendungen verfügbar. Für Apps kann der Trustbereich nicht definiert werden.

Wenn Ihre Anwendung auf APIs von anderen Anwendungen zugreifen soll, wählen Sie im Abschnitt Tokenausgabe-Policy die OptionRessourcen hinzufügen. Wählen Sie anschließend im Fenster Geltungsbereich hinzufügen die Anwendungen aus, die Ihre Anwendung referenziert.

Hinweis: Sie können Geltungsbereiche löschen, indem Sie das Symbol x neben dem Geltungsbereich auswählen. Geschützte Geltungsbereiche können jedoch nicht gelöscht werden.

Wählen Sie Anwendungsrollen hinzufügen aus. Im Fenster Anwendungsrollen hinzufügen wählen Sie die Anwendungsrollen aus, die Sie dieser Anwendung zuweisen wollen. So kann die Anwendung auf die REST-APIs zugreifen, auf die jede der zugewiesenen Anwendungsrollen zugreifen kann.

Beispiel: Wählen Sie die Option Identitätsdomainadministrator in der Liste aus. Alle für den Identitätsdomainadministrator verfügbaren REST-API-Aufgaben sind dann auch für die Anwendung zugänglich.

Sie können die Anwendungsrollen löschen, indem sie die Anwendungsrolle auswählen und dann Entfernen auswählen.

Hinweis: Geschützte Anwendungsrollen können nicht gelöscht wird.