Informationen zur Authentifizierung von Anwendungen mit SDKs
Oracle Identity Cloud Service bietet Identitätsmanagement, Single Sign-On (SSO) und Identity Governance für Ihre Anwendungen. Außerdem bietet es die Sicherheitsplattform für Oracle Cloud, mit der Sie sicher und einfach auf Ihre Anwendungen zugreifen, diese entwickeln und bereitstellen können.
Oracle Identity Cloud Service kann als Identitätsprovider fungieren, den Authentifizierungsmechanismus zentralisieren, alle Zuständigkeiten für die Kennwortverwaltung bearbeiten und SSO für Ihre Anwendungen bereitstellen. Darüber hinaus können Sie die Sicherheit für Ihre Anwendungen verbessern, indem Sie die Multifaktor-Authentifizierung (MFA) aktivieren und Richtlinien implementieren, die eine Korrekturmaßnahme durchsetzen, z. B. Benutzern den Zugriff auf die Anwendungen ermöglichen oder verweigern.
Wenn Sie Anwendungen entwickeln möchten, die den Oracle Identity Cloud Service-Authentifizierungsmechanismus verwenden, verwenden Sie SDKs. Die SDKs von Oracle Identity Cloud Service basieren auf Industriestandardprotokollen und -schichten, wie OAuth 2.0 und OpenID Connect 1.0. Die SDKs erleichtern Ihre Arbeit, indem sie alle erforderlichen REST-API-Endpunktaufrufe zur Authentifizierung von Benutzern mit Oracle Identity Cloud Service kapseln.
Die Oracle Identity Cloud Service-SDKs unterstützen die folgenden Abläufe für OAuth 2.0 und OpenID Connect 1.0:
-
Drei-Bein-Ablauf: Benutzer interagieren direkt mit Oracle Identity Cloud Service. Nachdem sich ein Benutzer angemeldet hat, gibt Oracle Identity Cloud Service einen Autorisierungscode aus, der vom SDK gegen ein Benutzerzugriffstoken ausgetauscht wird. Mit diesem Zugriffstoken wird dem Benutzer Zugriff auf die geschützten Ressourcen in der Anwendung erteilt. Der Ablauf mit drei Beinen verwendet den Berechtigungstyp "Autorisierungscode".
Oracle empfiehlt, dass Sie Ihre Webanwendungen zur Authentifizierung mit dreiteiligen Flows in Oracle Identity Cloud Service integrieren. Außerdem können Sie mit dem Autorisierungscode-Berechtigungstyp auf andere Anwendungen zugreifen, die durch Oracle Identity Cloud Service geschützt sind, ohne sich erneut authentifizieren zu müssen.
-
Zweibeiniger Ablauf: Benutzer interagieren nicht direkt mit Oracle Identity Cloud Service. Stattdessen erfolgt die gesamte Kommunikation zwischen vertrauenswürdigen Anwendungen und Oracle Identity Cloud Service. Diese Anwendungen fordern Benutzerzugriffstoken von Oracle Identity Cloud Service an und empfangen sie, um Benutzern Zugriff auf die geschützten Ressourcen in den Anwendungen zu erteilen. Zweibeinige Flows verwenden die Berechtigungstypen für Clientzugangsdaten oder Ressourceneigentümer.
Architektur
Die folgenden Architekturdiagramme veranschaulichen eine Webanwendung, die mit der SDK-Library zweibeinige und dreibeinige Authentifizierungsabläufe für OAuth 2.0 und OpenID Connect 1.0 ausführt. Der dreiteilige Ablauf verwendet den Berechtigungstyp des Autorisierungscodes, und die zweiteiligen Abläufe verwenden die Clientzugangsdaten und die Berechtigungstypen des Ressourceneigentümers.
Berechtigungstyp für Autorisierungscode
Beschreibung der Abbildung Authorization-code-grant-type.png
Der Datenfluss umfasst folgende Schritte:
-
Der Benutzer fordert eine geschützte URL an.
-
Oracle Identity Cloud Service zeigt die Seite Anmelden an.
-
Der Benutzer gibt seine Zugangsdaten ein.
-
Oracle Identity Cloud Service gibt über den Webbrowser einen Autorisierungscode für die Webanwendung aus.
-
Die Webanwendung verwendet das SDK, um den Autorisierungscode für ein Benutzerzugriffstoken auszutauschen.
-
Die Webanwendung zeigt den Inhalt für den Benutzer an.
Berechtigungstyp "Clientzugangsdaten"
Beschreibung der Abbildung client-credentials-grant-type.png
Der Datenfluss umfasst folgende Schritte:
-
Der Benutzer fordert eine geschützte URL an.
-
Die Anforderung wird an die Webanwendung weitergeleitet.
-
Die Webanwendung verwendet das SDK, um die Client-ID und das Secret zur Validierung an Oracle Identity Cloud Service weiterzuleiten.
-
Oracle Identity Cloud Service gibt ein Zugriffstoken für die Webanwendung aus.
-
Die Webanwendung zeigt den Inhalt für den Benutzer an.
Sie können auch den Berechtigungstyp "Clientzugangsdaten" verwenden, wenn die Webanwendung auf die REST-APIs von Oracle Identity Cloud Service zugreifen muss. Das Benutzerzugriffstoken, das von Oracle Identity Cloud Service ausgegeben wird, enthält keine Benutzerinformationen.
Ressourcenverantwortlicher - Berechtigungstyp
Beschreibung der Abbildung resource-owner-grant-type.png
Der Datenfluss umfasst folgende Schritte:
-
Der Benutzer fordert eine geschützte URL an.
-
Die Anwendung zeigt die Seite Anmelden an.
-
Der Benutzer gibt seine Zugangsdaten ein.
-
Die Anwendung leitet die Zugangsdaten des Benutzers sowie die Client-ID und das Secret der Anwendung mit dem SDK zur Validierung an Oracle Identity Cloud Service weiter.
-
Oracle Identity Cloud Service gibt ein Benutzerzugriffstoken für die Anwendung aus.
-
Die Anwendung zeigt den Inhalt für den Benutzer an.
Hinweis:
Im Berechtigungstyp "Ressourceneigentümer" kann die Anwendung nicht am SSO-Prozess teilnehmen, der von Oracle Identity Cloud Service bereitgestellt wird. Wenn Ihre Anwendung das Oracle Identity Cloud Service-Authentifizierungsverfahren verwenden soll, verwenden Sie den Berechtigungstyp für den dreiteiligen Autorisierungscode.Erforderliche Services und Rollen
Für diese Lösung ist Oracle Identity Cloud Service erforderlich.
Dies sind die erforderlichen Rollen.
| Rolle | Erforderlich für... |
|---|---|
Security administrator |
Rufen Sie die Seite Downloads der Oracle Identity Cloud Service-Konsole auf. Auf dieser Seite können Sie das Java-SDK herunterladen. |
Application administrator |
Anwendungen in Oracle Identity Cloud Service verwalten. Dazu gehört die Registrierung der Java-Beispielanwendung bei Oracle Identity Cloud Service. |
Unter Oracle-Produkte, -Lösungen und -Services erfahren Sie, was Sie benötigen.