Oracle Cloud Infrastructure - Dokumentation

OAuth konfigurieren

Konfigurieren Sie die Unternehmens- oder vertrauliche Anwendung so, dass sie als vertrauliche Anwendung fungiert, indem Sie Client- und Ressourcenserverkonfigurationen angeben.

  1. Wählen Sie im Bereich OAuth konfigurieren die Option Diese Anwendung jetzt als Ressourcenserver konfigurieren aus, um die Ressourcen für Ihre Anwendung zu schützen und sie auf der Seite Meine Apps sichtbar zu machen.
    Geben Sie anhand der folgenden Tabelle die Informationen an, die zur Konfiguration dieser Anwendung als Ressourcenserver erforderlich sind.
    Option Beschreibung
    Ablauf von Zugriffstoken (Sekunden)

    Legen Sie in Sekunden fest, wie lange das mit der vertraulichen Anwendung verknüpfte Zugriffstoken gültig bleibt.
    Tokenaktualisierung zulassen

    Aktivieren Sie dieses Kontrollfeld, wenn Sie die Aktualisierungstoken verwenden möchten, das Sie bei Verwendung der Berechtigungstypen "Ressourceneigentümer", "Autorisierungscode" oder "Assertion" erhalten.
    Ablauf von Aktualisierungstoken (Sekunden)

    Legen Sie in Sekunden fest, wie lange das Aktualisierungstoken, das mit Ihrem Zugriffstoken zurückgegeben und mit der vertraulichen Anwendung verknüpft wird, gültig bleibt.
    Primäre Zielgruppe

    Geben Sie den primären Empfänger ein, auf dem das Zugriffstoken der vertraulichen Anwendung verarbeitet wird.
    Sekundäre Zielgruppe hinzufügen

    Geben Sie die sekundären Empfänger ein, an denen das Zugriffstoken der vertraulichen Anwendung verarbeitet wird, und wählen Sie Hinzufügen aus. Der sekundäre Empfänger wird in der Spalte "Sekundäre Zielgruppe" angezeigt. In der Spalte "Geschützt" können Sie feststellen, ob die sekundäre Zielgruppe geschützt ist oder nicht.
    Geltungsbereiche hinzufügen

    Um anzugeben, auf welche Teile anderer Anwendungen Ihre Anwendung zugreifen soll, fügen Sie diese Geltungsbereiche der vertraulichen Anwendung hinzu.

    Anwendungen müssen sicher mit externen Partneranwendungen oder vertraulichen Anwendungen interagieren. Außerdem müssen Anwendungen von einem Oracle Cloud-Service sicher mit Anwendungen in einem anderen Oracle Cloud-Service interagieren. Jede Anwendung verfügt über Anwendungsgeltungsbereiche, die bestimmen, welche ihrer Ressourcen für andere Anwendungen verfügbar sind.
  2. Wählen Sie im Bereich OAuth konfigurieren die Option Diese Anwendung jetzt als Client konfigurieren aus.
    Geben Sie anhand der folgenden Tabelle die Informationen an, die zur Konfiguration dieser Anwendung als Client erforderlich sind.
    Option Beschreibung
    Ressourceneigentümer Verwenden Sie diese Option, wenn der Ressourceneigentümer eine Vertrauensstellung mit der vertraulichen Anwendung hat, wie z.B. ein Computerbetriebssystem oder eine Anwendung mit hoher Privilegien, da die vertrauliche Anwendung das Kennwort verwerfen muss, nachdem sie damit das Zugriffstoken abgerufen hat.
    Clientzugangsdaten

    Verwenden Sie diese Option, wenn der Autorisierungsgeltungsbereich auf die geschützten Ressourcen unter der Kontrolle des Clients oder auf die beim Autorisierungsserver registrierten geschützten Ressourcen beschränkt ist.

    Der Client präsentiert seine eigenen Zugangsdaten, um ein Zugriffstoken abzurufen. Dieses Zugriffstoken ist entweder mit den eigenen Ressourcen des Clients, aber nicht mit einem bestimmten Ressourceneigentümer, oder mit einem Ressourceneigentümer verknüpft, für den der Client anderweitig berechtigt ist, Aktionen auszuführen.
    JWT-Assertion

    Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als Assertion ohne einen direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

    Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-JSON-Web-Token-(JWT-)Assertion oder eine JWT-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine JWT-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.
    SAML2-Assertion

    Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als SAML2-Assertion ohne direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

    Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-SAML2-Assertion oder eine SAML2-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine SAML2-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.
    Aktualisierungstoken Wählen Sie diesen Berechtigungstyp aus, wenn ein Aktualisierungstoken vom Autorisierungsserver bereitgestellt werden soll, um ein neues Zugriffstoken abzurufen. Aktualisierungstoken werden verwendet, wenn das aktuelle Zugriffstoken ungültig wird oder abläuft. Dabei muss der Ressourceneigentümer nicht erneut authentifiziert werden.
    Autorisierungscode

    Aktivieren Sie diesen Berechtigungstyp, wenn Sie einen Autorisierungscode abrufen möchten, indem Sie einen Autorisierungsserver als Zwischenstelle zwischen der Clientanwendung und dem Ressourceneigentümer verwenden.

    Ein Autorisierungscode wird über eine Browserumleitung an den Client zurückgegeben, nachdem der Ressourceneigentümer seine Zustimmung zum Autorisierungsserver erteilt. Der Client tauscht den Autorisierungscode dann gegen ein Zugriffstoken (und häufig ein Aktualisierungstoken) aus. Zugangsdaten des Ressourceneigentümers werden nie für den Client zugänglich gemacht.
    Implizit

    Wenn die Anwendung Clientzugangsdaten für das Authentifizieren beim Autorisierungsserver nicht vertraulich behandeln kann, aktivieren Sie das Kontrollkästchen. Beispiel: Die Anwendung wird in einem Webbrowser mit einem Skripting wie JavaScript implementiert. Ein Zugriffstoken wird (anstelle einer Zwischenautorisierung) über eine Browserumleitung als Antwort auf die Autorisierungsanforderung des Ressourceneigentümers an den Client zurückgegeben.
    Gerätecode

    Wählen Sie den Berechtigungstyp Gerätecode aus, wenn der Client nicht in der Lage ist, Anforderungen vom OAuth-Autorisierungsserver zu empfangen. Beispiel: Er kann als HTTP-Server nicht fungieren, wie Spielkonsolen, Streamingmediaplayer, digitale Bilderrahmen und andere.

    In diesem Ablauf ruft der Client den Benutzercode, den Gerätecode und die Verifizierungs-URL ab. Der Benutzer greift dann in einem separaten Browser auf die Verifizierungs-URL zu, um die Zugriffsanforderung zu genehmigen. Erst dann kann der Client das Zugriffstoken mit dem Gerätecode abrufen.
    TLS-Clientauthentifizierung

    Wählen Sie den Berechtigungstyp TLS-Clientauthentifizierung aus, um das Clientzertifikat für die Authentifizierung beim Client verwenden zu können. Wenn eine Tokenanforderung ein X.509-Clientzertifikat aufweist und der angeforderte Client mit dem Berechtigungstyp TLS-Clientauthentifizierung konfiguriert ist, verwendet der OAuth-Service die Client_ID in der Anforderung, um den Client zu identifizieren und das Clientzertifikat mit dem Zertifikat in der Client-Konfiguration zu validieren. Der Client wird nur dann erfolgreich authentifiziert, wenn die beiden Werte übereinstimmen.

    Um zusätzliche Sicherheit zu gewährleisten, müssen Sie vor dem Aktivieren des Berechtigungstyps TLS-Clientauthentifizierung die OCSP-Validierung aktivieren und konfigurieren und ein vertrauenswürdiges Partnerzertifikat importieren.

    HTTP-URLs zulassen

    Wählen Sie dieses Kontrollkästchen aus, wenn Sie HTTP-URLs für die Felder Umleitungs-URL Abmelde-URL oder Umleitungs-URL nach Abmeldung verwenden möchten. Wenn Sie beispielsweise Anforderungen intern senden, eine nicht verschlüsselte Kommunikation wünschen oder abwärtskompatibel mit OAuth 1.0 sein möchten, können Sie eine HTTP-URL verwenden.

    Aktivieren Sie das Kontrollkästchen auch, wenn Sie Ihre Anwendung entwickeln oder testen und SSL möglicherweise nicht konfiguriert haben. Diese Option wird für Produktions-Deployments nicht empfohlen.
    Umleitungs-URL

    Geben Sie die Anwendungs-URL ein, zu der der Benutzer nach der Authentifizierung umgeleitet wird.

    Hinweis: Geben Sie eine absolute URL ein. Relative URLs werden nicht unterstützt.
    Umleitungs-URL nach der Abmeldung

    Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der Anwendung umgeleitet werden soll.
    Abmelde-URL

    Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der vertraulichen Anwendung umgeleitet wird.
    Clienttyp

    Wählen Sie den Clienttyp aus. Die verfügbaren Clienttypen sind Vertrauenswürdig und Vertraulich. Wählen Sie Vertrauenswürdig aus, wenn der Client selbstsignierte Benutzer-Assertions generieren kann. Wählen Sie dann Zertifikat importieren aus, um das Signaturzertifikat, mit dem der Client die selbstsignierte Assertion signiert, zu importieren.
    Zulässige Vorgänge

    • Aktivieren Sie das Kontrollkästchen "Introspektieren", wenn Sie den Zugriff auf einen Token-Introspektionsendpunkt für die Anwendung zulassen möchten.

      Aktivieren Sie dieses Kontrollkästchen, wenn die vertrauliche Anwendung keine Clientzugangsdaten für das Authentifizieren beim Autorisierungsserver vertraulich behandeln darf. Beispiel: Die vertrauliche Anwendung wird in einem Webbrowser mit einem Skripting wie JavaScript implementiert.

      Ein Zugriffstoken wird (anstelle eines Zwischenautorisierungscodes) über eine Browserumleitung als Antwort auf die Autorisierungsanforderung des Ressourceneigentümers an den Client zurückgegeben.

    • Aktivieren Sie das Kontrollkästchen "Im Namen von", wenn Sie sicherstellen möchten, dass Zugriffsberechtigungen allein aus den Berechtigungen des Benutzers generiert werden können. Auf diese Weise kann die Clientanwendung auf Endpunkte zugreifen, auf die der Benutzer Zugriff hat, selbst wenn die Clientanwendung selbst normalerweise keinen Zugriff darauf hätte.
    ID-Tokenverschlüsselungsalgorithmus

    Wählen Sie einen der Inhaltsverschlüsselungsalgorithmen aus.
    Zustimmung umgehen

    Wenn diese Funktion aktiviert ist, überschreibt dieses Attribut das Attribut Zustimmung erfordern für alle Geltungsbereichsbereiche, die für die Anwendung konfiguriert sind. In diesem Fall ist keine Zustimmung erforderlich.
    Client-IP-Adresse
    • Überall: Die Tokenanforderung ist von überall aus zulässig. Es gibt keinen Perimeter.
    • Nach Netzwerkperimeter einschränken: Wählen Sie die Netzwerkperimeter aus, sodass eine Tokenanforderung nur von ihnen zulässig ist.
    Autorisierte Ressourcen

    Wählen Sie eine der folgenden Optionen aus, um einer Clientanwendung den Zugriff auf autorisierte Ressourcen zu ermöglichen:

    Hinweis: Die Option zum Definieren einer autorisierten Ressource ist nur für vertrauliche Anwendungen verfügbar. Für Apps kann der Trustbereich nicht definiert werden.
    Ressourcen hinzufügen

    Wenn Ihre Anwendung auf APIs von anderen Anwendungen zugreifen soll, wählen Sie im Abschnitt Tokenausgabe-Policy die OptionRessourcen hinzufügen. Wählen Sie anschließend im Fenster Geltungsbereich hinzufügen die Anwendungen aus, die Ihre Anwendung referenziert.

    Hinweis: Sie können Geltungsbereiche löschen, indem Sie das Symbol x neben dem Geltungsbereich auswählen. Geschützte Geltungsbereiche können jedoch nicht gelöscht werden.
    Anwendungsrollen hinzufügen

    Wählen Sie Anwendungsrollen hinzufügen aus. Im Fenster Anwendungsrollen hinzufügen wählen Sie die Anwendungsrollen aus, die Sie dieser Anwendung zuweisen wollen. So kann die Anwendung auf die REST-APIs zugreifen, auf die jede der zugewiesenen Anwendungsrollen zugreifen kann.

    Beispiel: Wählen Sie die Option Identitätsdomainadministrator in der Liste aus. Alle für den Identitätsdomainadministrator verfügbaren REST-API-Aufgaben sind dann auch für die Anwendung zugänglich.

    Sie können die Anwendungsrollen löschen, indem sie die Anwendungsrolle auswählen und dann Entfernen auswählen.

    Hinweis: Geschützte Anwendungsrollen können nicht gelöscht wird.
  3. Wählen Sie Änderungen speichern aus.