Actualizaciones de seguridad para los derechos

Editar en línea

Infórmate sobre los nuevos cambios en los derechos.

Modificaciones en los derechos de configuración del cliente OIDC de lectura existentes

Los usuarios que tengan readOICD derechos de configuración de clientes no pueden ver el secreto de cliente del cliente OIDC correspondiente.

En la siguiente lista se detallan los derechos que han sido modificados.

  • readAppConfig No se puede ver el secreto de cliente de las aplicaciones ni del cliente de acceso a la API de la aplicación.
  • readSTSClients No puedo ver el secreto de cliente del cliente STS.
  • readAPIClients No puedo ver el secreto del cliente de la API.
  • readExternalAgents No puedo ver el secreto de cliente del agente de identidad.

Nuevos derechos de configuración del cliente OIDC y del secreto del cliente

Los usuarios que dispongan de los derechos de lectura de la configuración del cliente OIDC y del secreto del cliente pueden ver el secreto del cliente correspondiente al cliente OIDC.

En la siguiente lista se explican los cambios en los derechos

  • readAppConfigAndClientSecret puede ver el secreto de cliente de las aplicaciones y del cliente de acceso a la API de la aplicación.
  • readSTSClientsAndClientSecret puede ver el secreto de cliente del cliente STS.
  • readAPIClientsAndClientSecret puede ver el secreto del cliente de la API.
  • readExternalAgentsAndClientSecret puede ver el secreto de cliente del agente de identidad.

No hay cambios en la gestión actual de los derechos de OIDC

Los usuarios que dispongan del derecho a gestionar la configuración del cliente OIDC pueden gestionar el cliente OIDC correspondiente y ver el secreto del cliente.

En la siguiente lista se explican los cambios en los derechos

  • manageAppAccessAdmin puede gestionar la aplicación y ver el secreto de cliente de las aplicaciones y del cliente de acceso a la API de la aplicación.
  • manageSTSClients puede gestionar el cliente STS y ver el secreto del cliente STS.
  • manageAPIClients puede gestionar el cliente de la API y el secreto del cliente de la API.
  • manageExternalAgents puede gestionar el agente de identidad y el secreto de cliente de texto para dicho agente.

Actualizaciones de los roles listos para usar

Administrador de arrendatarios
Los nuevos derechos que se añaden a este rol son readAppConfigAndClientSecret, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, y readExternalAgentsAndClientSecret.
Soporte técnico
Los nuevos derechos que se añaden a esta función son readAppConfigAndClientSecret y readExternalAgentsAndClientSecret. Este rol puede seguir consultando los secretos de cliente de las aplicaciones, los clientes de acceso a la API de la aplicación y los agentes de identidad.
Readonly
Los nuevos derechos que se añaden a este rol son readAppConfigAndClientSecret, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, y readExternalAgentsAndClientSecret. Este rol puede seguir viendo los secretos de cliente de las aplicaciones, los clientes de acceso a la API de aplicaciones, los clientes STS, los clientes API y los agentes de identidad.
PrivacyOfficer
El nuevo permiso añadido a este rol tiene readAppConfigAndClientSecret por objeto que pueda seguir consultando los secretos de cliente de las aplicaciones y de los clientes de acceso a la API de la aplicación.

Aviso para los clientes que utilizan roles de administrador personalizados

Tabla 1. Derechos que se deben añadir a los roles de administrador personalizados
Titularidad Descripción
readAppConfigAndClientSecret Añádelo para que el administrador pueda ver el secreto de cliente de las aplicaciones y del cliente de acceso a la API de la aplicación.
readSTSClientsAndClientSecret Añádelo para que el administrador pueda ver el secreto de cliente del cliente STS.
readAPIClientsAndClientSecret Añádelo para que el administrador pueda ver el secreto del cliente de la API.
readExternalAgentsAndClientSecret Añadir: el administrador puede ver el secreto de cliente del agente de identidad.

Cambios en la API

Tabla 2. Derechos que se deben añadir a los roles de administrador personalizados
Titularidad Descripción
Aplicación OBTENER https://{tenanturl}/v1.0/applications/{applicationId}.
Si llamas a esta API con el readAppConfig entitlement, este no contiene el clientSecret campo.
  • Esto añade seguridad para permitir la lectura de las configuraciones de la aplicación sin ver el archivo clientSecret.
  • Los clientes que actualmente utilizan esta API y solo disponen de la readAppConfig autorización no pueden ver el clientSecret.
  • Si se requiere un clientSecret , utiliza el manageAppAccessAdmin derecho o readAppConfigAndClientSecret para llamar a esta API.

Si llamas a esta API con el manageAppAccessAdmin o readAppConfigAndClientSecret el, la respuesta de autorización contiene el clientSecret.
Cliente STS
  1. OBTENER https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. Si se llama a esta API, la respuesta no contiene el clientSecret campo.
    • Esto aumenta la seguridad para evitar que se muestren los secretos de los clientes STS en una llamada a la API.
    • Los clientes que utilizan esta API no pueden ver el clientSecret.
    • Si es clientSecret necesario, llama a la API GET https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId} con el manageSTSClients permiso o readSTSClientsAndClientSecret para obtener el secreto de cliente de un cliente STS específico.
  2. OBTENER https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.

    Si llamas a esta API con la readSTSClients respuesta de derechos, esta no contiene el clientSecret campo.

    • Esto aumenta la seguridad al leer las configuraciones del cliente STS sin revelar el clientSecret.
    • readSTSClientsLos clientes que utilizan esta API no pueden ver el clientSecret.
    • Si se requiere el clientSecret , utiliza el manageSTSClients o el readSTSClientsAndClientSecret para llamar a esta API.

    Si llamas a esta API con el manageSTSClients o readSTSClientsAndClientSecretla respuesta de autorización contiene el clientSecret.
Cliente de API
  1. GET https://{tenanturl}/v1.0/apiclients

    Si solicitas esta respuesta de la API, verás que no contiene el clientSecret campo.

    • Esto aumenta la seguridad al evitar que se muestre el secreto de cliente de los clientes de la API en una llamada a la API.
    • Los clientes que utilizan esta API no pueden ver el clientSecret.
    • Si es clientSecret necesario, llama a la API GET https://{tenanturl}/v1.0/apiclients/{clientId} con el manageAPIClients permiso o readAPIClientsAndClientSecret para obtener el secreto de cliente de un cliente de API específico.
  2. GET https://{tenanturl}/v1.0/apiclients/{clientId}

    Si llamas a esta API con readAPIClients no contiene el clientSecret campo.

    • Esto aumenta la seguridad de las configuraciones de los clientes de la API de lectura sin revelar el clientSecret.
    • Los clientes que utilizan esta API solo con el readAPIClients permiso no pueden ver el clientSecret.
    • Si se requiere el clientSecret , utiliza el manageAPIClients o el readAPIClientsAndClientSecret para llamar a esta API.

    Si se llama a esta API con el permiso manageAPIClients o el readAPIClientsAndClientSecret permiso, se invoca esta API.

  3. GET https://{tenanturl}/v1.0/apiclients/{clientId}/credentials

    Este readAPIClients perfil de acceso no puede llamar a esta API.

    • Esto refuerza la seguridad de las configuraciones de los clientes de la API de lectura sin revelar el clientSecret.
    • Los clientes que utilizan esta API solo con el readAPIClients permiso no pueden ver el clientSecret.
    • Si se requiere el clientSecret , utiliza el manageAPIClients o el readAPIClientsAndClientSecret para llamar a esta API.

    Para llamar a esta API, se requieren los readAPIClientsAndClientSecret derechos de manageAPIClients o de.
Agentes de identidad
  1. GET https://{tenanturl}/config/v1.0/onpremagents/{id}/apicreds

    Este readExternalAgents perfil de acceso no puede llamar a esta API.

    • Esto aumenta la seguridad al leer las configuraciones del cliente de Identity Agent sin revelar el clientSecret.
    • Los clientes que utilizan esta API con el readExternalAgents derecho correspondiente no pueden ver el clientSecret.
    • Si se requiere el clientSecret , utiliza el manageExternalAgents o readExternalAgentsAndClientSecret el para llamar a esta API.

    Para utilizar esta API, es necesario disponer de la autorización manageExternalAgents o manageExternalAgentsAndClientSecret .