Oracle Cloud Infrastructure - Dokumentation

SSO-Authentifizierungs-Policy konfigurieren

Erstellen Sie eine Authentifizierungs-Policy für jede Ressource, die Sie für die Unternehmensanwendung erstellt haben.

Eine Authentifizierungs-Policy definiert die Authentifizierungsmethode, mit der die Ressourcen Ihrer Unternehmensanwendung geschützt werden, und legt fest, ob das App-Gateway den Anforderungen, die an die Anwendung weitergeleitet werden, Headervariablen hinzufügt.
  1. Wählen Sie auf der Listenseite Integrierte Anwendungen die zu ändernde Unternehmensanwendung aus. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter Anwendungen auflisten.
  2. Wählen Sie auf der Seite Anwendungsdetails die Option SSO-Konfiguration und dann SSO-Konfiguration bearbeiten aus. Aktivieren Sie im Abschnitt Authentifizierungs-Policy bei Bedarf die Option Zielgruppenvalidierung, CORS zulassen oder Sichere Cookies erforderlich.
    • Zielgruppenvalidierung: Vergewissern Sie sich aus Sicherheitsgründen, dass das Kontrollkästchen "Zielgruppenvalidierung" aktiviert ist. Mit dem Kontrollkästchen für die Zielgruppenvalidierung wird sichergestellt, dass das Token vom bekannten Aussteller der App-Gateways ausgegeben wurde (in diesem Fall IAM). Wenn Sie die Zielgruppenvalidierung deaktivieren, validiert das App-Gateway die Zielgruppe des Tokens nicht. Dadurch wird die Anwendung anfällig gegenüber Angriffen.
    • CORS zulassen: Wählen Sie die Option aus, um CORS (Cross-Origin Resource Sharing) zu aktivieren, damit Anwendungen, die auf einer Identitätsdomain ausgeführt werden können, Daten aus einer anderen Identitätsdomain abrufen können.
    • Sichere Cookies erfordern: Wenn die App-Gateway im SSL-Modus (HTTPs) konfiguriert ist, bestätigen Sie, dass Sichere Cookies erfordern ausgewählt ist. Dieses Flag legt den sicheren Header fest, um zu verhindern, dass Cookies in einer nicht sicheren HTTP-Kommunikation verwendet werden. Wenn die App-Gateway im Nicht-SSL-Modus (HTTP) konfiguriert ist, deaktivieren Sie Sichere Cookies erforderlich.
  3. Wählen Sie Verwaltete Ressourcen hinzufügen aus.
  4. Wählen Sie im Fenster Verwaltete Ressource hinzufügen in der Liste der Ressourcen, für die Sie eine Authentifizierungs-Policy konfigurieren möchten, die Ressource aus, für die Sie im Abschnitt Ressourcen eine verwaltete Ressource erstellt haben. Alternativ können Sie eine verwaltete Ressource hinzufügen.
  5. Definieren Sie die Authentifizierungsmethode für die ausgewählte Ressource anhand der folgenden Tabelle:

    Authentifizierungsmethode

    Beschreibung

    Basisauthentifizierung

    Die Methode Basisauthentifizierung führt die HTTP-Basisauthentifizierung aus. Wenn die Anforderung keinen Authentication Basic-Header enthält, fordert der Browser des Benutzers zur Eingabe von Zugangsdaten auf.

    Die im Header gesendeten Zugangsdaten werden in AuthenticationBasic in IAM validiert.

    Basisauthentifizierung + Abmeldung

    Mit dieser Methode wird die Anwendungsressource (URL) geschützt, die den Abmeldeprozess der Anwendung darstellt.

    Wenn das App-Gateway eine Anforderung an diese Ressource abfängt, wird der HTTP-Abmeldeprozess initiiert. Dieser Prozess löscht alle HTTP-Sessioncookies, die von der Authentifizierungsmethode Basisauthentifizierung Auth+Session erstellt wurden.

    Nach Abschluss des Abmeldeprozesses leitet das App-Gateway den Benutzerbrowser an die Ressource der angeforderten Anwendung weiter.

    Beim HTTP-Abmeldeprozess werden keine vom Browser in der aktuellen Browsersession gecachten Zugangsdaten gelöscht. Anschließend wird der Benutzer bei späteren Anforderungen möglicherweise nicht erneut zur Eingabe aufgefordert.

    Basisauthentifizierung + Session

    Funktioniert genauso wie Basisauthentifizierung. Nachdem die Zugangsdaten validiert wurden, wird ein HTTP-Sessioncookie (ORA_OCIS_CG_BA_SESSION) erstellt.

    Formular oder Zugriffstoken

    Bei dieser Authentifizierungsmethode delegiert das App-Gateway eine Erfassung und Validierung von Zugangsdaten an IAM.

    Wenn ein Authorization Bearer-Header in der Anforderung vorhanden ist, ähnelt die Authentifizierung einem Ressourcenserverablauf. Wenn ein user-agent-Header vorhanden ist, findet ein Benutzerbrowserablauf statt.

    Der Benutzerbrowserablauf leitet den Benutzerbrowser zur Erfassung und Validierung von Zugangsdaten an IAM um und erstellt dann ein OAuth-Sessioncookie (ORA_OCIS_CG_SESSION_*).

    Wenn ein Authorization session-Header in der Anforderung vorhanden ist und das OAuth-Sessioncookie fehlt oder ungültig ist, wird der übliche OAuth-Anmeldeablauf unterdrückt. Stattdessen wird ein 401-HTTP-Fehlercode zusammen mit einem WWW-Authenticate: Bearer error="invalid_session"-Header zurückgegeben. Dieser Ablauf wird von Anwendungen verwendet, die eine unerwünschte Anmeldung auslösen können, wenn Anforderungen einen user-agent-Header, aber keinen Authorization Bearer-Header enthalten, sodass sie die erneute Authentifizierung selbst verarbeiten können.

    Formular + Abmeldung

    Mit dieser Methode wird die Anwendungsressource (URL) geschützt, die den Abmeldeprozess der Anwendung darstellt.

    This resource's URL doesn't need to be exposed by the application, as App Gateway redirects the user browser to the IAM OAuth logout endpoint (/oauth2/v1/userlogout), instead of forwarding the request to the application URL.

    Im Fenster Ressource hinzufügen ist die Post-Abmelde-URL die URL, die das App-Gateway den Benutzerbrowser nach der Abmeldung umleitet. Sie können auch einen Parameterwert für den Post-Logout-Status angeben, der von der URL-Seite nach der Abmelden der Anwendung verwendet werden soll.

    Multitoken

    Führt die Authentifizierung basierend auf dem Inhalt des Authorization-Headers der Anforderung aus:

    • Wenn die Anforderung einen Authorization Basic-Header enthält, behandelt das App-Gateway diese Authentifizierung als Basisauthentifizierung.
    • Wenn die Anforderung einen Authorization Bearer- oder Authorization Session-Header enthält, behandelt das App-Gateway diese Authentifizierung als Formular oder Zugriffstoken.
    • Wenn der Autorisierungsheader fehlt oder einen anderen Wert aufweist, wird ein 401 Unauthoized-HTTP-Fehler zurückgegeben.

    Multitoken+Fallthrough

    Verläuft wie Multitoken. Wenn der Authorization-Header jedoch nichtBasic, Bearer oder session lautet, nutzt die Anforderungs-App-Gateway die Authentifizierungsmethode Basisauthentifizierung, anstatt der HTTP-Fehler 401 Unauthoized anzuzeigen.

    Anonym

    • Wenn ein gültiges OAuth-Sessioncookie vorhanden ist, werden die in der Authentifizierungs-Policy konfigurierten Header der Anforderung hinzugefügt, und die Anforderung wird an die Anwendung weitergeleitet.
    • Wenn das Sessioncookie OAuth fehlt oder abgelaufen ist, funktioniert diese Vorgehensweise genauso wie die Authentifizierungsmethode Öffentlich. In diesem Fall wird der Anforderung ein REMOTE_USER-Header mit dem Wert anonymous hinzugefügt.

    Bei beiden Optionen werden die in der Authentifizierungs-Policy konfigurierten Header der Anforderung hinzugefügt, die Authentifizierung jedoch wird nicht ausgeführt.

    Öffentlich

    Es wird keine Authentifizierung ausgeführt. Die Anforderung wird unverändert an die Anwendung weitergeleitet.

    Nicht unterstützt

    Diese Methode gibt immer den HTTP-Fehlercode 500 Not Supported zurück.

    Beispiel: Mit dieser Methode können Sie den Zugriff auf eine geschützte URL deaktivieren, die in der Anwendung verfügbar ist, jedoch nicht für Benutzer zugänglich sein soll.
  6. Die im vorherigen Schritt ausgewählte Authentifizierungsmethode ist für alle HTTP-Methoden gültig (GET, HEAD, DELETE, PUT, OPTIONS, CONNECT, POST oder PATCH). Wenn Sie unterschiedliche Authentifizierungsmethoden für HTTP-Methoden angeben möchten (z.B. die Authentifizierungsmethode Formular + Zugriffstoken für die HTTP-Methode GET und die Authentifizierungsmethode Multitoken für die HTTP-Methode POST), können Sie das Menü Authentifizierungsmethoden-Overrides verwenden. Wählen Sie die HTTP-Methode und dann die gewünschte Authentifizierungsmethode aus. Wenn Sie mehrere HTTP-Methoden außer Kraft setzen müssen, wiederholen Sie diesen Schritt mehrmals.
  7. Wenn Sie der Anforderung eine Headervariable hinzufügen möchten, damit der App-Gateway sie an die Anwendung weiterleitet, wählen Sie das Pluszeichen + für Header aus, geben den Namen an, und wählen Sie den Wert für die Headervariable aus der Liste der Benutzerattribute aus, geben einen festen Wert ein, oder geben einen Ausdruck ein. Um mehrere Headervariablen hinzuzufügen, wählen Sie mehrmals das Symbol + für Header.

    Beispiel: Für die Anwendung muss in jeder Anforderung eine Headervariable mit dem Namen USERLOGGEDIN vorhanden sein, damit die Anwendung die ID des bei IAM angemeldeten Benutzers kennt. Sie müssen eine Headervariable hinzufügen, USERLOGGEDIN für das Feld Name eingeben und dann entweder Benutzername in der Liste auswählen oder $subject.user.userName für Wert eingeben.

    Hinweis

    Sie können ein Benutzerattribut im Menü auswählen oder einen Ausdruck mit einem beliebigen Attribut aus dem SCIM-Benutzerschema von IAM als Headervariablenwert angeben. Siehe Unterstützte Headerwertausdrücke für Authentifizierungs-Policys.

  8. Wählen Sie Verwaltete Ressource hinzufügen aus.
  9. Wählen Sie Änderungen speichern aus.