Oracle Cloud Infrastructure - Dokumentation

OAuth konfigurieren

Konfigurieren Sie die Unternehmens- oder vertrauliche Anwendung so, dass sie als vertrauliche Anwendung fungiert, indem Sie Client- und Ressourcenserverkonfigurationen angeben.

  1. Wählen Sie im Bereich OAuth konfigurieren die Option Diese Anwendung jetzt als Ressourcenserver konfigurieren aus, um Ressourcen für Ihre Anwendung zu schützen und sie auf der Seite Meine Apps sichtbar zu machen.
    Geben Sie anhand der folgenden Tabelle die Informationen an, die zur Konfiguration dieser Anwendung als Ressourcenserver erforderlich sind.
    Option Beschreibung
    Ablauf von Zugriffstoken (Sekunden)

    Legen Sie in Sekunden fest, wie lange das mit der vertraulichen Anwendung verknüpfte Zugriffstoken gültig bleibt.
    Tokenaktualisierung zulassen

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie das Aktualisierungstoken verwenden möchten, das Sie bei Verwendung der Berechtigungstypen "Ressourceneigentümer, Autorisierungscode" oder "Assertion" erhalten.
    Ablauf von Aktualisierungstoken (Sekunden)

    Legen Sie in Sekunden fest, wie lange das Aktualisierungstoken, das mit Ihrem Zugriffstoken zurückgegeben und mit der vertraulichen Anwendung verknüpft wird, gültig bleibt.
    Primäre Zielgruppe

    Geben Sie den primären Empfänger ein, auf dem das Zugriffstoken der vertraulichen Anwendung verarbeitet wird.
    Sekundäre Zielgruppe hinzufügen

    Wählen Sie Hinzufügen aus, und geben Sie die sekundären Empfänger ein, auf denen das Zugriffstoken der vertraulichen Anwendung verarbeitet wird. Der sekundäre Empfänger wird in der Spalte Zweite Zielgruppe angezeigt. In der Spalte Geschützt können Sie feststellen, ob die zweite Zielgruppe geschützt ist oder nicht.
    Geltungsbereiche hinzufügen

    Um anzugeben, auf welche Teile anderer Anwendungen Ihre Anwendung zugreifen soll, fügen Sie diese Geltungsbereiche der vertraulichen Anwendung hinzu.

    Anwendungen müssen sicher mit externen Partneranwendungen oder vertraulichen Anwendungen interagieren. Außerdem müssen Anwendungen von einem Oracle Cloud-Service sicher mit Anwendungen in einem anderen Oracle Cloud-Service interagieren. Jede Anwendung verfügt über Anwendungsgeltungsbereiche, die bestimmen, welche ihrer Ressourcen für andere Anwendungen verfügbar sind.
  2. Wählen Sie im Bereich OAuth konfigurieren die Option Diese Anwendung jetzt als Client konfigurieren aus.
    Geben Sie anhand der folgenden Tabelle die Informationen an, die zur Konfiguration dieser Anwendung als Client erforderlich sind.
    Option Beschreibung
    Ressourceneigentümer Verwenden Sie diese Option, wenn der Ressourceneigentümer eine Vertrauensstellung mit der vertraulichen Anwendung hat, wie z.B. ein Computerbetriebssystem oder eine Anwendung mit hoher Privilegien, da die vertrauliche Anwendung das Kennwort verwerfen muss, nachdem sie damit das Zugriffstoken abgerufen hat.
    Clientzugangsdaten

    Verwenden Sie diese Option, wenn der Autorisierungsgeltungsbereich auf die geschützten Ressourcen unter der Kontrolle des Clients oder auf die beim Autorisierungsserver registrierten geschützten Ressourcen beschränkt ist.

    Der Client präsentiert seine eigenen Zugangsdaten, um ein Zugriffstoken abzurufen. Dieses Zugriffstoken ist entweder mit den eigenen Ressourcen des Clients, aber nicht mit einem bestimmten Ressourceneigentümer, oder mit einem Ressourceneigentümer verknüpft, für den der Client anderweitig berechtigt ist, Aktionen auszuführen.
    JWT-Assertion

    Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als Assertion ohne einen direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

    Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-JSON-Web-Token-(JWT-)Assertion oder eine JWT-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine JWT-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.
    SAML2-Assertion

    Verwenden Sie diese Option, wenn Sie eine vorhandene Vertrauensstellung als SAML2-Assertion ohne direkten Benutzergenehmigungsschritt auf dem Autorisierungsserver verwenden möchten.

    Der Client fordert ein Zugriffstoken an, indem er eine Benutzer-SAML2-Assertion oder eine SAML2-Assertion und Clientzugangsdaten eines Drittanbieters bereitstellt. Eine SAML2-Assertion ist ein Informationspaket, das die Freigabe von Identitäts- und Sicherheitsinformationen über Sicherheitsdomains hinweg vereinfacht.
    Aktualisierungstoken Wählen Sie diesen Berechtigungstyp aus, wenn ein Aktualisierungstoken vom Autorisierungsserver bereitgestellt werden soll, um ein neues Zugriffstoken abzurufen. Aktualisierungstoken werden verwendet, wenn das aktuelle Zugriffstoken ungültig wird oder abläuft. Dabei muss der Ressourceneigentümer nicht erneut authentifiziert werden.
    Autorisierungscode

    Aktivieren Sie diesen Berechtigungstyp, wenn Sie einen Autorisierungscode abrufen möchten, indem Sie einen Autorisierungsserver als Zwischenstelle zwischen der Clientanwendung und dem Ressourceneigentümer verwenden.

    Ein Autorisierungscode wird über eine Browserumleitung an den Client zurückgegeben, nachdem der Ressourceneigentümer dem Autorisierungsserver seine Zustimmung erteilt hat. Der Client tauscht den Autorisierungscode dann gegen ein Zugriffstoken (und häufig ein Aktualisierungstoken) aus. Zugangsdaten des Ressourceneigentümers werden nie für den Client zugänglich gemacht.
    implizit

    Wenn die Anwendung die Clientzugangsdaten für die Authentifizierung beim Autorisierungsserver nicht vertraulich behandeln kann, aktivieren Sie dieses Kontrollkästchen. Beispiel: Die Anwendung wird in einem Webbrowser mit einem Skripting wie JavaScript implementiert. Ein Zugriffstoken wird (anstelle einer Zwischenautorisierung) über eine Browserumleitung als Antwort auf die Autorisierungsanforderung des Ressourceneigentümers an den Client zurückgegeben.
    Gerätecode

    Wählen Sie den Berechtigungstyp Gerätecode aus, wenn der Client keine Anforderungen vom OAuth-Autorisierungsserver empfangen kann. Beispiel: Er kann nicht als HTTP-Server fungieren, wie Spielkonsolen, Streamingmediaplayer, digitale Bilderrahmen usw.

    In diesem Ablauf ruft der Client den Benutzercode, den Gerätecode und die Verifizierungs-URL ab. Der Benutzer greift dann in einem separaten Browser auf die Verifizierungs-URL zu, um die Zugriffsanforderung zu genehmigen. Erst dann kann der Client das Zugriffstoken mit dem Gerätecode abrufen.
    TLS-Clientauthentifizierung

    Wählen Sie den Berechtigungstyp TLS-Clientauthentifizierung aus, um das Clientzertifikat für die Authentifizierung beim Client zu verwenden. Wenn eine Tokenanforderung ein X.509-Clientzertifikat umfasst und der angeforderte Client mit dem Berechtigungstyp TLS-Clientauthentifizierung konfiguriert ist, verwendet der OAuth-Service die Client_ID in der Anforderung, um den Client zu identifizieren und das Clientzertifikat mit dem Zertifikat in der Clientkonfiguration zu validieren. Der Client wird nur dann erfolgreich authentifiziert, wenn die beiden Werte übereinstimmen.

    Für zusätzliche Sicherheit müssen Sie vor dem Aktivieren des Berechtigungstyps TLS-Clientauthentifizierung die OCSP-Validierung aktivieren und konfigurieren und ein vertrauenswürdiges Partnerzertifikat importieren.

    HTTP-URLs erlauben

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie HTTP-URLs für die Felder Umleitungs-URL, Abmelde-URL oder Umleitungs-URL nach der Abmeldung verwenden möchten. Beispiel: Wenn Sie Anforderungen intern senden, die nicht verschlüsselte Kommunikation benötigen oder mit OAuth 1.0 rückwärtskompatibel sein möchten, können Sie eine HTTP-URL verwenden.

    Aktivieren Sie dieses Kontrollkästchen auch, wenn Sie die Anwendung entwickeln oder testen und SSL möglicherweise nicht konfiguriert haben. Diese Option wird für Produktions-Deployments nicht empfohlen.
    Umleitungs-URL

    Geben Sie die Anwendungs-URL ein, zu der der Benutzer nach der Authentifizierung umgeleitet wird.

    Hinweis: Geben Sie eine absolute URL an. Relative URLs werden nicht unterstützt.
    Umleitungs-URL nach der Abmeldung

    Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der Anwendung umgeleitet werden soll.
    Abmelde-URL

    Geben Sie die URL ein, zu der der Benutzer nach der Abmeldung von der vertraulichen Anwendung umgeleitet wird.
    Clienttyp

    Wählen Sie den Clienttyp aus. Die verfügbaren Clienttypen sind Vertraut und Vertraulich. Wählen Sie Trusted aus, wenn der Client selbstsignierte Benutzer-Assertions generieren kann. Wählen Sie dann Zertifikat importieren aus, um das Signaturzertifikat zu importieren, mit dem der Client die selbstsignierte Assertion signiert.
    Zulässige Vorgänge

    • Aktivieren Sie das Kontrollkästchen Introspektiert, wenn Sie den Zugriff auf einen Token-Introspektionsendpunkt für die Anwendung zulassen möchten.

      Wenn die vertrauliche Anwendung die Clientzugangsdaten für die Authentifizierung beim Autorisierungsserver nicht vertraulich behandeln kann, aktivieren Sie dieses Kontrollkästchen. Beispiel: Die vertrauliche Anwendung wird in einem Webbrowser mit einem Skripting wie JavaScript implementiert.

      Ein Zugriffstoken wird (anstelle eines Zwischenautorisierungscodes) über eine Browserumleitung als Antwort auf die Autorisierungsanforderung des Ressourceneigentümers an den Client zurückgegeben.

    • Aktivieren Sie das Kontrollkästchen Im Namen von, wenn Sie sicherstellen möchten, dass Zugriffsberechtigungen allein aus den Berechtigungen des Benutzers generiert werden können. Auf diese Weise kann die Clientanwendung auf Endpunkte zugreifen, auf die der Benutzer Zugriff hat, selbst wenn die Clientanwendung selbst normalerweise keinen Zugriff darauf hätte.
    ID-Tokenverschlüsselungsalgorithmus

    Wählen Sie einen der Inhaltsverschlüsselungsalgorithmen aus.
    Einwilligung umgehen

    Wenn diese Option aktiviert ist, überschreibt dieses Attribut das Attribut Zustimmung erforderlich für alle Geltungsbereiche, die für die Anwendung konfiguriert sind. In diesem Fall ist für keinen Geltungsbereich eine Zustimmung erforderlich.
    Client-IP-Adresse
    • Überall: Die Tokenanforderung ist von überall aus zulässig. Es gibt keinen Perimeter.
    • Nach Netzwerkperimeter einschränken: Wählen Sie die Netzwerkperimeter aus, sodass eine Tokenanforderung nur von ihnen zulässig ist.
    Autorisierte Ressourcen

    Wählen Sie eine der folgenden Optionen aus, um einer Clientanwendung den Zugriff auf autorisierte Ressourcen zu ermöglichen:

    Hinweis: Die Option zum Definieren einer autorisierten Ressource ist nur für vertrauliche Anwendungen verfügbar. Für Apps kann der Vertrauensbereich nicht definiert werden.
    Ressourcen hinzufügen

    Wenn Ihre Anwendung auf APIs von anderen Anwendungen zugreifen soll, aktivieren Sie im Abschnitt Tokenausgabe-Policy die Option Ressourcen hinzufügen. Wählen Sie dann im Fenster Geltungsbereich hinzufügen die Anwendungen aus, die Ihre Anwendung referenziert.

    Hinweis: Sie können Bereiche löschen, indem Sie das Symbol x neben dem Bereich auswählen. Geschützte Geltungsbereiche können jedoch nicht gelöscht werden.
    Anwendungsrollen hinzufügen

    Wählen Sie Anwendungsrollen hinzufügen aus. Wählen Sie im Fenster Anwendungsrollen hinzufügen die Anwendungsrollen aus, die Sie dieser Anwendung zuweisen möchten. So kann die Anwendung auf die REST-APIs zugreifen, auf die jede der zugewiesenen Anwendungsrollen zugreifen kann.

    Beispiel: Wählen Sie die Option Identitätsdomainadministrator in der Liste aus. Alle für den Identitätsdomainadministrator verfügbaren REST-API-Aufgaben sind dann auch für die Anwendung zugänglich.

    Sie können Anwendungsrollen löschen, indem Sie eine Anwendungsrolle auswählen und dann Entfernen auswählen.

    Hinweis: Geschützte Anwendungsrollen können nicht gelöscht werden.
  3. Wählen Sie Speichern aus.