Anwendungsfall: Anwendungen hinzufügen
In diesem Anwendungsfall wird beschrieben, wie Sie benutzerdefinierte Anwendungen in einer Identitätsdomain hinzufügen.
In diesem Anwendungsfall greift ein Benutzer auf die vertrauenswürdige Anwendung für Kundenangebote (Customer Quotes) zu. Diese vertrauenswürdige Anwendung ist eine Clientanwendung, die REST-API-Aufrufe an die Ressourcenserveranwendung abccorp.com sendet. Eine Ressourcenserveranwendung ist eine Drittanbieteranwendung, die Services bereitstellt, die eine vertrauenswürdige Anwendung im Namen des Benutzers konsumieren kann.
In diesem Beispiel ist die Ressourcenserveranwendung abccorp.com eine Finanzanwendung mit REST-APIs, mit denen Angebote erstellt (/quote), Angebote angefordert (/rfq) oder Informationen zum Benutzer abgerufen werden können (/user).
Wenn der Benutzer auf die vertrauenswürdige Anwendung "Customer Quotes" zugreift, sendet die Anwendung REST-API-Aufrufe im Namen des Benutzers an die Ressourcenserveranwendung abccorp.com. In diesem Beispiel kommuniziert der Benutzer nicht direkt mit der Anwendung abccorp.com.
Da die Anwendung "Customer Quotes" Aktionen im Namen des Benutzers ausführt, benötigt die Anwendung Zugriff auf die mit der Anwendung abccorp.com verfügbaren REST-APIs /quote, /rfq und /user. Um diese REST-API-Aufrufe zu tätigen, fordert die Anwendung "Customer Quotes" möglicherweise die Zustimmung des Benutzers an. Diese Zustimmung kann jederzeit erteilt werden, wenn die Anwendung "Customer Quotes" diese REST-APIs in der Anwendung abccorp.com aufruft.
Der Benutzer meldet sich bei IAM an und greift über Single Sign-On mit OAuth 2.0 und OpenID Connect auf die Anwendung "Customer Quotes" zu, da damit Identitäten in der Cloud föderiert werden können. Da die Anwendung "Customer Quotes" im Namen des Benutzers autorisiert ist, die REST-API-Aufrufe /quote, /rfq und /user an die Anwendung abccorp.com zu senden, kann der Benutzer mit der Anwendung "Customer Quotes" ein Angebot erstellen, ein Angebot anfordern und Informationen zum Benutzer abrufen. Weitere Aktionen, die der Benutzer über die Anwendung "Customer Quotes" ausführen möchte, sind nicht zulässig.
-
Die Ressourcenserveranwendung
abccorp.com. Diese Anwendung verfügt über REST-APIs (Ressourcen), auf die andere Anwendungen wie die Anwendung "Customer Quotes" zugreifen können. In diesem Beispiel greift der Benutzer nicht direkt auf die Ressourcenserveranwendung zu, sondern indirekt über die Anwendung "Customer Quotes".Sie registrieren Ressourcen der Ressourcenserveranwendung
abccorp.com. Anwendungsressourcen sind API-Aufrufe, die von IAM autorisiert wurden. In diesem Beispiel sind die Anwendungsressourcen die REST-APIs/quote,/rfqund/user. Aus Sicherheits- und Auditinggründen können Sie angeben, ob der Benutzer die Zustimmung zum Zugriff auf diese Ressourcen erteilen muss. -
Die vertrauenswürdige Anwendung "Customer Quotes". Der Benutzer greift über diese Anwendung auf die REST-APIs der Anwendung
abccorp.comzu.Wenn Sie diese benutzerdefinierte Anwendung erstellen, müssen Sie einen Autorisierungscode für den Benutzer generieren, wenn dieser sich bei IAM anmeldet. Der Autorisierungscode wird dann an die Anwendung "Customer Quotes" gesendet, um ein Zugriffstoken abzurufen. Das Zugriffstoken enthält alle Rechte, die der Benutzer für den Zugriff auf die Ressourcenserveranwendung hat. In diesem Beispiel umfassen diese Rechte das Erstellen eines Angebots, das Anfordern eines Angebots und das Abrufen von Informationen zum Benutzer.
Da die Gültigkeitsdauer des Zugriffstokens kurz ist, können Sie ein Aktualisierungstoken generieren. Ein Aktualisierungstoken ist ein sicherer Mechanismus zum Abrufen eines neuen Zugriffstokens, wenn das aktuelle Zugriffstoken abläuft. Auf diese Weise kann die Anwendung "Customer Quotes" auf die APIs der Anwendung
abccorp.comzugreifen, ohne erneut eine Zustimmung durch den Benutzer einzuholen.
Weitere Informationen zum Erstellen und Aktivieren von benutzerdefinierten Anwendungen in IAM finden Sie unter Anwendungen hinzufügen, Anwendungen aktivieren und Anwendungen deaktivieren.