Sicherheitsupdates für Berechtigungen

Online bearbeiten

Informieren Sie sich über die neuen Änderungen bei den Ansprüchen.

Änderungen an den bestehenden Berechtigungen für die Konfiguration des OIDC-Clients

Benutzer, die über readOICD Berechtigungen zur Client-Konfiguration verfügen, können das Client-Geheimnis für den entsprechenden OIDC-Client nicht einsehen.

In der folgenden Liste werden die geänderten Ansprüche erläutert.

  • readAppConfig Das Client-Geheimnis für Anwendungen und den Anwendungs-API-Zugriffsklienten kann nicht angezeigt werden.
  • readSTSClients Das Client-Geheimnis für den STS-Client kann nicht angezeigt werden.
  • readAPIClients Das Client-Geheimnis für den API-Client kann nicht angezeigt werden.
  • readExternalAgents Das Client-Geheimnis für den Identity-Agenten kann nicht angezeigt werden.

Neue Berechtigungen für die Konfiguration des OIDC-Clients und für Client-Geheimnisse

Benutzer, die über die Berechtigung zum Lesen der OIDC-Client-Konfiguration und des Client-Geheimnisses verfügen, können das Client-Geheimnis für den entsprechenden OIDC-Client einsehen.

In der folgenden Liste werden die Änderungen bei den Ansprüchen erläutert

  • readAppConfigAndClientSecret Sie können das Client-Geheimnis für Anwendungen und den Anwendungs-API-Zugriffs-Client einsehen.
  • readSTSClientsAndClientSecret kann das Client-Geheimnis für den STS-Client einsehen.
  • readAPIClientsAndClientSecret kann das Client-Geheimnis für den API-Client einsehen.
  • readExternalAgentsAndClientSecret kann das Client-Geheimnis für den Identity-Agenten einsehen.

An der bestehenden Verwaltung der OIDC-Berechtigungen ändert sich nichts

Benutzer, die über die Berechtigung „OIDC-Client-Konfiguration verwalten“ verfügen, können den entsprechenden OIDC-Client verwalten und das Client-Geheimnis einsehen.

In der folgenden Liste werden die Änderungen bei den Ansprüchen erläutert

  • manageAppAccessAdmin Sie können Anwendungen verwalten und das Client-Geheimnis für Anwendungen sowie für den Anwendungs-API-Zugriffs-Client einsehen.
  • manageSTSClients kann den STS-Client verwalten und das Client-Geheimnis für den STS-Client einsehen.
  • manageAPIClients kann den API-Client und den geheimen Schlüssel für den API-Client verwalten.
  • manageExternalAgents kann den Identity-Agenten und das Text-Client-Geheimnis für den Identity-Agenten verwalten.

Aktualisierungen an vorgefertigten Rollen

Tenantadministrator
readExternalAgentsAndClientSecretreadAppConfigAndClientSecretZu dieser Rolle werden die neuen Berechtigungen, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, und hinzugefügt.
Help-Desk
Die neuen Berechtigungen, die dieser Rolle hinzugefügt werden, sind readAppConfigAndClientSecret und readExternalAgentsAndClientSecret. Diese Rolle kann weiterhin die Client-Geheimnisse für Anwendungen, die API-Zugriffs-Clients der Anwendungen und die Identitätsagenten einsehen.
Leseberechtigung (Readonly)
readExternalAgentsAndClientSecretreadAppConfigAndClientSecretZu dieser Rolle werden die neuen Berechtigungen, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, und hinzugefügt. Diese Rolle hat weiterhin Zugriff auf die Client-Geheimnisse für Anwendungen, API-Zugriffs-Clients, STS-Clients, API-Clients und die Identitätsagenten.
PrivacyOfficer
Die neue Berechtigung, die dieser Rolle hinzugefügt wurde, dient readAppConfigAndClientSecret dazu, dass sie weiterhin die Client-Geheimnisse für Anwendungen und die API-Zugriffs-Clients einsehen kann.

Hinweis für Kunden, die benutzerdefinierte Administratorrollen verwenden

Tabelle 1. Berechtigungen, die den benutzerdefinierten Administratorrollen hinzugefügt werden sollen
Nutzungsrecht Beschreibung
readAppConfigAndClientSecret Fügen Sie dies hinzu, damit der Administrator das Client-Geheimnis für Anwendungen und den Anwendungs-API-Zugriffsklienten einsehen kann.
readSTSClientsAndClientSecret Fügen Sie dies hinzu, damit der Administrator das Client-Geheimnis für den STS-Client einsehen kann.
readAPIClientsAndClientSecret Fügen Sie dies hinzu, damit der Administrator das Client-Geheimnis für den API-Client einsehen kann.
readExternalAgentsAndClientSecret Der Administrator kann das Client-Geheimnis für den Identity-Agenten einsehen.

Änderungen an der API

Tabelle 2. Berechtigungen, die den benutzerdefinierten Administratorrollen hinzugefügt werden sollen
Nutzungsrecht Beschreibung
Anwendung GET https://{tenanturl}/v1.0/applications/{applicationId}.
Wenn Sie diese API mit der readAppConfig Berechtigung aufrufen, enthält sie das clientSecret Feld nicht.
  • Dies erhöht die Sicherheit, da die Anwendungskonfigurationen gelesen werden können, ohne dass die clientSecret.
  • clientSecretKunden, die diese API derzeit nur mit der readAppConfig Berechtigung nutzen, können die nicht sehen.
  • Falls eine clientSecret Berechtigung erforderlich ist, nutzen Sie die Berechtigung manageAppAccessAdmin oder readAppConfigAndClientSecret , um diese API aufzurufen.

Wenn Sie diese API mit oder readAppConfigAndClientSecret aufrufen, enthält die manageAppAccessAdmin Berechtigungsantwort das clientSecret.
STS-Client
  1. GET https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. Wenn Sie diese API aufrufen, enthält die Antwort das clientSecret Feld nicht.
    • Dies erhöht die Sicherheit, um zu verhindern, dass die Geheimnisse der STS-Clients in einem API-Aufruf angezeigt werden.
    • clientSecretKunden, die diese API nutzen, können das nicht sehen.
    • Falls erforderlich, rufen Sie clientSecret die https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId} GET-API mit der manageSTSClients Berechtigung „“ oder readSTSClientsAndClientSecret „“ auf, um das Client-Geheimnis für einen bestimmten STS-Client abzurufen.
  2. GET https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.

    Wenn Sie diese API mit der readSTSClients Berechtigungsantwort aufrufen, enthält diese das clientSecret Feld nicht.

    • Dies erhöht die Sicherheit beim Auslesen der STS-Client-Konfigurationen, ohne die clientSecret.
    • clientSecretDie Kunden, die diese API nutzen, readSTSClientskönnen das nicht sehen.
    • Falls die clientSecret Berechtigung erforderlich ist, verwenden Sie die Berechtigung manageSTSClients oder die readSTSClientsAndClientSecret Berechtigung, um diese API aufzurufen.

    clientSecretWenn Sie diese API mit dem manageSTSClients aufrufen oder readSTSClientsAndClientSecretdie Berechtigungsantwort den enthält.
API-Client
  1. GET https://{tenanturl}/v1.0/apiclients

    Wenn Sie diese API-Antwort aufrufen, enthält sie das clientSecret Feld nicht.

    • Dies erhöht die Sicherheit, da so verhindert wird, dass das Client-Secret des API-Clients in einem API-Aufruf angezeigt wird.
    • clientSecretKunden, die diese API nutzen, können das nicht sehen.
    • Falls erforderlich, rufen Sie clientSecret die https://{tenanturl}/v1.0/apiclients/{clientId} GET-API mit der manageAPIClients Berechtigung „“ oder readAPIClientsAndClientSecret „“ auf, um das Client-Secret für einen bestimmten API-Client abzurufen.
  2. GET https://{tenanturl}/v1.0/apiclients/{clientId}

    Wenn Sie diese API aufrufen, readAPIClients enthält sie das clientSecret Feld nicht.

    • Dies erhöht die Sicherheit der Konfigurationen für den Lese-API-Client, ohne die clientSecret.
    • clientSecretKunden, die diese API nur mit der readAPIClients Berechtigung nutzen, können das nicht sehen.
    • Falls die clientSecret Berechtigung erforderlich ist, verwenden Sie die Berechtigung manageAPIClients oder die readAPIClientsAndClientSecret Berechtigung, um diese API aufzurufen.

    Wenn Sie diese API mit der manageAPIClients Berechtigung readAPIClientsAndClientSecret oder aufrufen, ruft sie diese API auf.

  3. GET https://{tenanturl}/v1.0/apiclients/{clientId}/credentials

    Die readAPIClients Berechtigung kann diese API nicht aufrufen.

    • Dies erhöht die Sicherheit der Konfigurationen für den Lese-API-Client, ohne die clientSecret.
    • clientSecretKunden, die diese API nur mit der readAPIClients Berechtigung nutzen, können das nicht sehen.
    • Falls die clientSecret Berechtigung erforderlich ist, verwenden Sie die Berechtigung manageAPIClients oder die readAPIClientsAndClientSecret Berechtigung, um diese API aufzurufen.

    Für den Aufruf dieser API sind die readAPIClientsAndClientSecretmanageAPIClients Berechtigungen oder erforderlich.
Identitätsagenten
  1. GET https://{tenanturl}/config/v1.0/onpremagents/{id}/apicreds

    Die readExternalAgents Berechtigung kann diese API nicht aufrufen.

    • Dies erhöht die Sicherheit beim Auslesen der Konfigurationen des Identity Agent-Clients, ohne die clientSecret.
    • clientSecretKunden, die diese API mit der readExternalAgents Berechtigung nutzen, können das nicht sehen.
    • Falls die clientSecret Berechtigung erforderlich ist, verwenden Sie die Berechtigung manageExternalAgents oder readExternalAgentsAndClientSecret , um diese API aufzurufen.

    Für den Aufruf dieser API ist die Berechtigung manageExternalAgents oder manageExternalAgentsAndClientSecret erforderlich.