Verwaltung von STS-Clients

Online bearbeiten

Verwenden Sie den Security Token Service (STS)-Client zum Austausch von Tokens. IBM® VerifyBeachten Sie bei der Erstellung und Verwaltung Ihrer STS-Clients die Spezifikationen für den Token-Austausch unter OAuth. Sie können Ihre Drittanbieter-Apps über die „ OAuth “ als geschützte Ressource validieren.

Vorbereitende Schritte

  • Melden Sie sich als Administrator bei der IBM Verify Verwaltungskonsole an.
  • Erstellen Sie die benutzerdefinierten Token-Typen, die vom STS-Client verwendet werden sollen. Siehe „Verwalten benutzerdefinierter Token-Typen “.
Hinweis: Nur Benutzer mit den entsprechenden Berechtigungen können das Client-Geheimnis einsehen. Weitere Informationen finden Sie unter „Sicherheitsupdates für Berechtigungen “.

Informationen zu dieser Task

Konfigurieren Sie einen STS-Client für den Token-Austausch. Ein Client fordert über den Token-Endpunkt des Autorisierungsservers ein Sicherheitstoken an, wobei er den Mechanismus des Grant-Typs „Token Extension“ nutzt. Externe Anwendungen, die unter Verwendung Verify von als Identitätsanbieter entwickelt wurden, können REST-API-Anfragen verarbeiten, die mit einem Zugriffstoken von OAuth 2.0 sowie verschiedenen Authentifizierungsmethoden authentifiziert sind. Weitere Informationen finden Sie unter https://www.rfc-editor.org/rfc/rfc8693.html.

Vorgehensweise

  1. Wählen Sie „Anwendungen “ > „STS-Clients “.
  2. Wählen Sie „STS-Client hinzufügen “.
  3. Geben Sie die allgemeinen Informationen an.
    1. Optional: Geben Sie eine Client-ID an.
      Wenn Sie keine Kunden-ID angeben, wird beim Abschluss der Einrichtung eine ID erstellt.
    2. Geben Sie einen eindeutigen Namen für den STS-Client ein.
    3. Lassen Sie das Kontrollkästchen „Aktiviert“ aktiviert.
      Sie können diesen STS-Client aktivieren oder deaktivieren.
    4. Den Austausch von Zugriffstoken für die SSO-Sitzung zulassen. Wenn „Standard“ ausgewählt ist, legen die allgemeinen Einstellungen der OIDC-Anwendung fest, ob Zugriffstoken für eine SSO-Sitzung ausgetauscht werden können.
  4. Wählen Sie „Weiter “.
  5. Wählen Sie die Methode zur Client-Authentifizierung aus.
    Die Einstellung legt fest, wie der Client authentifiziert wird.
    • Bei den Methoden „Standard“, „Client-Secret (Basic)“ und „Client-Secret (POST)“ wird das Client-Secret automatisch generiert, sobald Sie die Einrichtung abgeschlossen haben.
    • Bei der JWT-Methode mit privatem Schlüssel müssen Sie einen Algorithmus für die Signierung von Client-Assertions sowie zulässige Schlüssel für die Signaturprüfung auswählen. Sie können auch die JTI „Client-Assertion validieren“ auswählen, um die Client-Assertion zu validieren.
    • Für die Methode „Mutual TLS “ müssen Sie das Client-Authentifizierungsattribut „ TLS “ und den Wert des Client-Authentifizierungsattributs „ TLS “ angeben.
    • Wenn Sie einen bestehenden STS-Client bearbeiten, stehen Ihnen folgende Optionen für den Client-Secret zur Verfügung:
      • Wählen Sie Anzeigen aus, um den geheimen Clientschlüssel anzuzeigen.
      • Wählen Sie Ausblenden aus, um den geheimen Clientschlüssel auszublenden.
      • Wählen Kopieren Sie diese Option, um die Client-ID oder den geheimen Schlüssel in die Zwischenablage zu kopieren.
      • Wählen Liste Sie diese Option aus, um die geänderten Client-Geheimnisse anzuzeigen.
        • Wählen Sie ein oder mehrere aktualisierte Client-Geheimnisse aus der Liste aus und klicken Sie auf „Löschen“, um sie zu löschen.
      • Wählen Sie Neu generieren aus, um einen neuen geheimen Clientschlüssel zu generieren. Verwenden Sie diese Option, wenn Sie vermuten, dass die Geheimhaltung des geheimen Clientschlüssels nicht mehr gewährleistet ist. Wenn Sie den geheimen Clientschlüssel nicht neu generieren, müssen Sie den geheimen Clientschlüssel in allen OAuth-Clients für die Anwendung aktualisieren.
        • Aktivieren Sie das Kontrollkästchen „Aktuelles Geheimnis beibehalten “, um das aktuelle Client-Geheimnis zur Liste der rotierten Client-Geheimnisse hinzuzufügen.
        • Wenn das Kontrollkästchen „Aktuelles Geheimnis beibehalten“ aktiviert ist, wählen Sie die Beschreibung des Client-Geheimnisses und die Ablaufzeit (in der lokalen Zeit des Browsers) aus. Wenn keine Ablaufzeit ausgewählt wird, gilt die in den Anwendungseinstellungen festgelegte Lebensdauer des rotierten Geheimnisses des Mandanten.
        • Rotierte Client-Geheimnisse werden gehasht und können nicht mehr im Klartext abgerufen werden, können jedoch bis zum gewählten Ablaufdatum weiterhin verwendet werden.
        • Nach der Bestätigung wird das Client-Geheimnis sofort aktualisiert. Das neue Client-Geheimnis wird auf dem Bildschirm angezeigt.
    Hinweis: Die Standardmethode für die Client-Authentifizierung ist default.

    Wird 'Standard' übernommen, sind 'Geheimer Clientschlüssel - Basis' und 'Geheimer Clientschlüssel - POST' zulässig. Wenn es sich bei diesem Client um einen öffentlichen Client handelt, sind 'Geheimer Clientschlüssel - Basis' und 'Geheimer Clientschlüssel - POST' nicht zulässig. Wenn die Relying Party dies unterstützt, verwenden Sie das JWT mit privatem Schlüssel oder Mutual TLS als Konfiguration. Weitere Informationen zur gegenseitigen TLS-Clientauthentifizierung finden Sie unter Gegenseitige OpenID Connect-TLS-Clientauthentifizierung und zertifikatgebundenes Zugriffstoken.

  6. Wählen Sie „Weiter “.
  7. Wählen Sie die zulässigen Token-Typen für das Subject-Token und das Requested-Token aus.
    1. Optional: Wählen Sie die zulässigen Token-Typen für das Akteur-Token aus.
    Tabelle 1. Token-Börse
    Feld Beschreibung
    Subjekt-Token Der Token-Typ des betreffenden Tokens, der die Identität der Partei angibt, in deren Namen das Token angefordert wird.
    Akteur-Token Der Token-Typ des Akteur-Tokens, der die Identität der Partei angibt, an die die Zugriffsrechte des ausgegebenen Tokens delegiert werden.
    Angefordertes Token

    Die Art von Token, deren Generierung im Rahmen des Token-Austauschs beantragt werden kann.

    Transaktionstoken : Das einmalig verwendbare Sicherheitstoken enthält kontextbezogene Informationen zu einer bestimmten Transaktion, Aktion, Ressource oder Anfrage und ermöglicht so eine detaillierte Autorisierung für diesen speziellen Vorgang. Wenn Sie das Token auswählen, wird die Kachel „Transaktionskontext“ angezeigt, über die Sie den Kontext mithilfe eines CELx-Ausdrucks festlegen können. Weitere Informationen finden Sie unter „Transaktions-Token “.
    Hinweis: Das Transaktionstoken ist eine auf Anfrage verfügbare Funktion, VDEV-186514: Securing AI Agents. Um diese Funktion anzufordern, wenden Sie sich bitte an Ihren Vertriebsmitarbeiter bei IBM oder an Ihren Ansprechpartner bei IBM und teilen Sie ihm mit, dass Sie diese Funktion nutzen möchten. Sie können auch ein Support-Ticket mit der Funktionsnummer erstellen, sofern Sie die entsprechende Berechtigung haben. IBM Verify Mit Probeabonnements können keine Support-Tickets erstellt werden.
    Clientgruppen Die Liste der Clientgruppen von „ OpenID Connect“. Die von diesem Client generierten Token können als Referenz-Token für den Token-Austausch innerhalb derselben Gruppe verwendet werden. Ist diese Liste leer, kann jeder Client die von diesem Client generierten Token als Subjekt-Token für den Token-Austausch verwenden.
    Aktor-Token erforderlich Als Teil der Token-Austausch-Anfrage muss ein Akteurstoken angegeben werden. Diese Maßnahme setzt das Delegationsszenario durch und verhindert das Identitätsübernahmeszenario.
    Transaktionskontext Das Feld „Transaktionskontext“ ist nur sichtbar, wenn das Feld „Angefordertes Token“ auf „Transaktionstoken“ gesetzt ist. Dieses Feld ist für andere Token-Typen nicht relevant. Weitere Informationen finden Sie unter „Transaktions-Token “.
    Informationen zum Erstellen eines benutzerdefinierten Token-Typs für den Client finden Sie unter „Verwalten benutzerdefinierter Token-Typen “.
  8. Wählen Sie „Weiter “.
  9. Wählen Sie die gewünschten Token-Einstellungen aus oder geben Sie diese an.
    Tabelle 2. Erforderliche Token-Einstellungen
    Feld Beschreibung
    Format des Zugriffstokens Gibt das Format des Zugriffstokens an. Die folgenden Optionen sind verfügbar:

    • Standard

    • JWT
    Ablauf des Zugriffstokens (Sek.)

    Legt die Dauer (angegeben in Sekunden) fest, nach der das Zugriffstoken abläuft.

    Legen Sie einen Ablaufzeitpunkt für das Zugriffstoken fest, um die Zeit zu begrenzen, in der ein Angreifer mit dem gestohlenen Token auf die Ressource zugreifen kann, wenn die Clientanwendung beeinträchtigt ist.

    Es sind nur positive ganze Zahlen zulässig.

    Der Standardwert ist 3600 Sekunden. Der zulässige Mindestwert ist 1 Sekunde und der Maximalwert 2147483647 Sekunden.
    Signaturalgorithmus Der Algorithmus, derVerify zum Signieren des ID-Tokens verwendet wird. Der Algorithmus muss mit dem übereinstimmen, den die vertrauende Partei registriert hatVerify. Wählen Sie einen der folgende Hashalgorithmen aus, um die Signatur zu verifizieren:
    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
    Hinweis:
    • Wenn der Signaturalgorithmus ES256 ausgewählt ist, muss das Zertifikat ECDSA mit P-256 sein.
    • Wenn der Signaturalgorithmus ES384 ausgewählt ist, muss das Zertifikat ECDSA mit P-384 sein.
    • Wenn der Signaturalgorithmus ES512 ausgewählt ist, muss das Zertifikat ECDSA mit P-521 sein.
    Signierzertifikat Wählen Sie das Zertifikat aus, das zum Signieren des ID-Tokens verwendet wird.

    Die Standardauswahl bezieht sich auf die Standardeinstellung, die Sie unter „Sicherheit > Zertifikate“ konfiguriert haben.

    .
    Verschlüsselungsalgorithmus Der kryptografische Algorithmus, der zur Verschlüsselung oder zur Ermittlung des Werts des Inhaltsverschlüsselungsschlüssels (CEK) verwendet wird. Die folgenden Algorithmen werden unterstützt.
    • Ohne
    • RSA-OAEP
    • RSA-OAEP-256
    Inhaltsalgorithmus Der Algorithmus zur Inhaltsverschlüsselung, der zur authentifizierten Verschlüsselung des Klartexts verwendet wird, um den Chiffretext und das Authentifizierungs-Tag zu erzeugen. Die folgenden Algorithmen werden unterstützt:
    • Ohne
    • A128GCM
    • A192GCM
    • A256GCM
    Verschlüsselungszertifikat Geben Sie einen Wert ein oder wählen Sie aus der Liste der Signaturzertifikate aus, die Sie bereits in den Mandanten hochgeladen haben.
    Hinweis: Anweisungen zum Hochladen von Signaturzertifikaten finden Sie unter „Zertifikate verwalten “.
    JWKS-URI Die URI, unter der der Token-Aussteller oder die vertrauende Partei ihre öffentlichen Schlüssel im JSON Web Keys Set (JWKS)-Format veröffentlicht. Dieser URI wird für die JWT-Signaturprüfung oder -Verschlüsselung verwendet. Das System kann einen JWKS-URI, der nicht erreichbar ist oder nicht reagiert, zurückweisen. Das System kann den JWKS-URI auch zurückweisen, wenn die JWKS-Größe zu groß ist. Wenn der Token-Aussteller keine JWKS-URI veröffentlicht, kann ein öffentlicher Schlüssel in Form eines „ X509 “-Zertifikats in das System aufgenommen werden. Sie he „Zertifikate verwalten“. Der 'Anzeigename', der dem öffentlichen Zertifikat zugeordnet ist, ist der Wert des Headers der Schlüssel-ID (kid) des JWT. Beispiel:
    https://{yourDomain}/.well-known/jwks.json
  10. Wählen Sie „Weiter “.
  11. Aktivieren Sie die Kontrollkästchen für die Einstellungen zum Besitznachweis.
    Tabelle 3. Einstellungen für den Besitznachweis
    Feld Beschreibung
    Zertifikatgebundene Zugriffstoken Gibt an, ob die generierten Token an ein Zertifikat gebunden sind. Weitere Informationen zu zertifikatgebundenen Zugriffstoken finden Sie unter OpenID Connect gegenseitige TLS Clientauthentifizierung und zertifikatgebundenes Zugriffstoken.
    DPoP-bound -Zugriffstoken erzwingen. Gibt an, ob für Token-Anfragen der Header „ DPoP “ erforderlich ist.
    JTI des DPoP-JWT validieren Gibt an, ob das JTI im JWT „ DPoP “ für die einmalige Verwendung validiert ist.
    Signaturalgorithmus für DPoP-JWT

    Der erwartete Signaturalgorithmus für das JWT „ DPoP “.

    Wählen Sie aus den folgenden Algorithmen aus.

    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
  12. Wählen Sie „Weiter “.
  13. Konfigurieren Sie Anforderungs- und Antwortzuordnungen für jeden der Endpunkte.
    1. Konfigurieren Sie das Introspect-Mapping, um Attribute hinzuzufügen und zu ändern, die vom Introspect-Endpunkt zurückgegeben werden.
      Siehe „ OpenID : Zuordnung von Connect-Introspect, ID-Token und Benutzerinformationen “.
    2. Konfigurieren Sie die Zuordnung der Benutzerinformationen und der ID-Token-Attribute, um Attribute hinzuzufügen und zu ändern, die vom userinfo Endpunkt zurückgegeben und im ID-Token enthalten sind.
      Siehe „ OpenID “: Zuordnung von Connect-Introspect, ID-Token und Benutzerinformationen.
  14. Wählen Sie „Weiter “.
  15. Schränken Sie angepasste Geltungsbereiche ein.
    Benutzerdefinierte Zugriffsbereiche können von einem OIDC-/OAuth -Client in den unterstützten OIDC -/ OAuth -Berechtigungsabläufen angefordert werden. Wenn Angepasste Geltungsbereiche einschränken aktiviert ist (dies ist die Standardeinstellung), werden die Geltungsbereiche, die dem Client am Ende des Ablaufs erteilt werden, auf die in diesem Abschnitt angegebenen Geltungsbereiche beschränkt. Wenn die Option „Benutzerdefinierte Bereiche einschränken“ nicht verfügbar ist, werden alle angeforderten benutzerdefinierten Bereiche gewährt, sobald der Ablauf abgeschlossen ist.
    Hinweis: Die Standard-Gültigkeitsbereiche openid, profile, email, phone, und address können nicht eingeschränkt werden.
    1. Stellen Sie sicher, dass das Kontrollkästchen „Benutzerdefinierte Bereiche einschränken“ aktiviert ist.
    2. Geben Sie den Namen des angepassten Geltungsbereichs, der erteilt werden soll, und eine Beschreibung ein.
      Der Geltungsbereichsname bezieht sich auf den OAuth2-/OIDC-Geltungsbereich, der von einer Relying Party/einem Relying Client angefordert wird. Die Beschreibung ist eine aussagefähige Erläuterung für den Geltungsbereich.
      Eine weitere Gruppe von Geltungsbereichsfeldern wird angezeigt.
    3. Wiederholen den vorherigen Schritt für jeden angepassten Geltungsbereich, der erteilt werden soll.
  16. Details zur Berechtigung einschränken
    Autorisierungsdaten können von einem OIDC-/ OAuth -Client in den unterstützten OIDC-/ OAuth -Autorisierungsabläufen angefordert werden. Wenn die Option „Autorisierungsdetails einschränken“ aktiviert ist, sind die am Ende des Ablaufs gewährten Autorisierungsdetails auf diejenigen beschränkt, die in diesem Abschnitt angegeben sind. Wenn die Option „Autorisierungsdetails einschränken“ deaktiviert ist, werden alle angeforderten Autorisierungsdetails gewährt, sobald der Ablauf abgeschlossen ist.
    1. Stellen Sie sicher, dass das Kontrollkästchen „Autorisierungsdetails einschränken“ aktiviert ist.
    2. Prüfen Sie, ob die Option „Unbekannte Autorisierungsdaten ignorieren“ aktiviert ist.
    3. Geben Sie den Namen der Berechtigungsart ein, die Sie gewähren möchten, oder wählen Sie ihn aus. Sie können eine zusätzliche benutzerdefinierte Regel bearbeiten und festlegen, um Anfragen anhand einer Eigenschaft in den JSON-Autorisierungsdetails zu filtern. Wenn beispielsweise der Autorisierungsdetailtyp lautet resource_access und eine location Eigenschaft enthält, kann die Anfrage nur genehmigt werden, wenn der Standort Japan ist. In diesem Fall würde die Regel lauten: requestContext.ad.location == 'Japan'.
    4. Klicken Sie auf „Hinzufügen“ und wiederholen Sie den vorherigen Schritt für jede Art von Berechtigungsangabe, die Sie erteilen möchten.
  17. Wählen Sie die Benutzer- und Nichtbenutzerberechtigungen aus, die Sie dem Zugriffstoken gewähren möchten.
    Der eingeschränkte API-Zugriff ist die Standardeinstellung. Um Berechtigungen für den API-Zugriff zu erteilen, führen Sie die folgenden Schritte aus. Wenn Sie das Kontrollkästchen API-Zugriff einschränken abwählen, wird dem Token ein Gruppe von Standardnutzungsrechten zugeordnet. Siehe „API-Berechtigungen für Standard-Anmeldetoken “.
  18. Wählen Sie „Einrichtung abschließen “.