Actualizaciones de seguridad de los derechos

Editar en línea

Infórmese sobre los nuevos cambios en los derechos.

Cambios en los derechos existentes de configuración de lectura de clientes OIDC

Los usuarios que tienen derechos de configuración de cliente ' readOICD ' no pueden ver el secreto de cliente para el cliente OIDC correspondiente.

La siguiente lista explica los derechos que se modifican.

  • readAppConfig no puede ver el secreto de cliente para Aplicaciones y el Cliente de Acceso API de Aplicaciones.
  • readSTSClients no puede ver el secreto de cliente para el cliente STS.
  • readAPIClients no puede ver el secreto de cliente para el cliente API.
  • readExternalAgents no puede ver el secreto de cliente para el agente de Identidad.

Nueva configuración del cliente OIDC de lectura y derechos secretos del cliente

Los usuarios que tengan derecho a leer la configuración del cliente OIDC y el secreto del cliente pueden ver el secreto del cliente OIDC correspondiente.

La siguiente lista explica los cambios en los derechos

  • readAppConfigAndClientSecret puede ver el secreto de cliente para Aplicaciones y el Cliente de Acceso API de Aplicaciones.
  • readSTSClientsAndClientSecret puede ver el secreto de cliente para el cliente STS.
  • readAPIClientsAndClientSecret puede ver el secreto de cliente para el cliente API.
  • readExternalAgentsAndClientSecret puede ver el secreto de cliente para el agente de Identidad.

No hay cambios en la gestión de los derechos de la OIDC

Los usuarios que tienen derecho a gestionar la configuración del cliente OIDC pueden gestionar el cliente OIDC correspondiente y ver el secreto del cliente.

La siguiente lista explica los cambios en los derechos

  • manageAppAccessAdmin puede gestionar la Aplicación y ver el secreto del cliente para las Aplicaciones y el Cliente de Acceso a la API de la Aplicación.
  • manageSTSClients puede gestionar el cliente STS y ver el secreto de cliente para el cliente STS.
  • manageAPIClients ' puede gestionar el cliente API y el secreto de cliente para el cliente API.
  • manageExternalAgents puede gestionar el agente de Identidad y el secreto de cliente de texto para el agente de Identidad.

Actualizaciones de funciones listas para usar

Administrador de arrendatarios
Los nuevos derechos que se añaden a este rol son " readAppConfigAndClientSecret" , " readSTSClientsAndClientSecret, " readAPIClientsAndClientSecret y " readExternalAgentsAndClientSecret.
Soporte técnico
Los nuevos derechos que se añaden a esta función son readAppConfigAndClientSecret y readExternalAgentsAndClientSecret. Esta función puede seguir viendo los secretos de cliente de las aplicaciones, los clientes de acceso a API de aplicaciones y los agentes de identidad.
Readonly
Los nuevos derechos que se añaden a este rol son " readAppConfigAndClientSecret" , " readSTSClientsAndClientSecret, " readAPIClientsAndClientSecret y " readExternalAgentsAndClientSecret. Este rol puede continuar viendo los secretos de cliente para Aplicaciones, Clientes de Acceso API de Aplicación, Clientes STS, Clientes API, los Agentes de Identidad.
PrivacyOfficer
El nuevo derecho añadido a este rol es ' readAppConfigAndClientSecret para que pueda seguir viendo los secretos de cliente para las Aplicaciones y los Clientes de Acceso a la API de Aplicaciones.

Aviso para los clientes que utilizan funciones de administrador personalizadas

Tabla 1. Derechos que se pueden añadir a los roles de administrador personalizados
Titularidad Descripción
readAppConfigAndClientSecret Añadir para que el administrador pueda ver el secreto del cliente para Aplicaciones y el Cliente de Acceso API de Aplicaciones.
readSTSClientsAndClientSecret Añadir para que el administrador pueda ver el secreto de cliente para el cliente STS.
readAPIClientsAndClientSecret Añadir para que el administrador pueda ver el secreto de cliente para el cliente API.
readExternalAgentsAndClientSecret Añadir el administrador puede ver el secreto de cliente para el agente de Identidad.

Cambios en la API

Tabla 2. Derechos que se pueden añadir a los roles de administrador personalizados
Titularidad Descripción
Aplicación GET ' https://{tenanturl}/v1.0/applications/{applicationId}.
Si llama a esta API con el derecho " readAppConfig ", no contendrá el campo " clientSecret ".
  • Esto añade seguridad para permitir la lectura de las configuraciones de la aplicación sin ver el ' clientSecret.
  • Los clientes que actualmente utilizan esta API con sólo el derecho " readAppConfig " no pueden ver el " clientSecret.
  • Si se requiere un " clientSecret ", utilice el derecho " manageAppAccessAdmin o " readAppConfigAndClientSecret " para llamar a esta API.

Si llama a esta API con el " manageAppAccessAdmin o el " readAppConfigAndClientSecret ", la respuesta de asignación de derechos contendrá el " clientSecret.
Cliente STS
  1. GET ' https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. Si llama a esta API, la respuesta no contendrá el campo ' clientSecret.
    • Esto añade seguridad para evitar que se muestren los secretos de los clientes STS en una llamada a la API.
    • Los clientes que utilizan esta API no pueden ver el ' clientSecret.
    • Si se requiere " clientSecret ", llame a la API GET " https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId} " con el derecho " manageSTSClients o " readSTSClientsAndClientSecret " para obtener el secreto de cliente para un cliente STS específico.
  2. GET ' https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.

    Si llama a esta API con la respuesta de asignación de derechos " readSTSClients ", ésta no contendrá el campo " clientSecret ".

    • Esto añade seguridad a la lectura de las configuraciones del cliente STS sin revelar el " clientSecret.
    • Los clientes que utilizan esta API con " readSTSClientsno pueden ver el " clientSecret.
    • Si se requiere el " clientSecret ", utilice el " manageSTSClients o el " readSTSClientsAndClientSecret para llamar a esta API.

    Si llama a esta API con el " manageSTSClients o el " readSTSClientsAndClientSecret", la respuesta de asignación de derechos contendrá el " clientSecret.
Cliente de API
  1. GET https://{tenanturl}/v1.0/apiclients

    Si llama a esta respuesta API no contiene el campo ' clientSecret.

    • Esto añade seguridad para evitar mostrar el secreto de cliente de los clientes API en una llamada API.
    • Los clientes que utilizan esta API no pueden ver el ' clientSecret.
    • Si se requiere el ' clientSecret ', llame a la API GET ' https://{tenanturl}/v1.0/apiclients/{clientId} ' con el derecho ' manageAPIClients o ' readAPIClientsAndClientSecret ' para obtener el secreto de cliente para un cliente API específico.
  2. GET https://{tenanturl}/v1.0/apiclients/{clientId}

    Si llama a esta API con ' readAPIClients ' no contiene el campo ' clientSecret.

    • Esto añade seguridad para las configuraciones del cliente de la API de lectura sin revelar el ' clientSecret.
    • Los clientes que utilicen esta API sólo con el derecho " readAPIClients " no podrán ver el " clientSecret.
    • Si se requiere el " clientSecret ", utilice el " manageAPIClients o el " readAPIClientsAndClientSecret para llamar a esta API.

    Si llama a esta API con el derecho ' manageAPIClients o el derecho ' readAPIClientsAndClientSecret ', llama a esta API.

  3. GET https://{tenanturl}/v1.0/apiclients/{clientId}/credentials

    El derecho " readAPIClients " no puede llamar a esta API.

    • Esto añade seguridad a las configuraciones del cliente de la API de lectura sin revelar el ' clientSecret.
    • Los clientes que utilicen esta API sólo con el derecho " readAPIClients " no podrán ver el " clientSecret.
    • Si se requiere el " clientSecret ", utilice el " manageAPIClients o el " readAPIClientsAndClientSecret para llamar a esta API.

    Los derechos " manageAPIClients " o " readAPIClientsAndClientSecret " son necesarios para llamar a esta API.
Agentes de identidad
  1. GET https://{tenanturl}/config/v1.0/onpremagents/{id}/apicreds

    El derecho " readExternalAgents " no puede llamar a esta API.

    • Esto añade seguridad para la lectura de las configuraciones del cliente del Agente de Identidad sin revelar el ' clientSecret.
    • Los clientes que utilicen esta API con el derecho " readExternalAgents " no podrán ver el " clientSecret.
    • Si se requiere " clientSecret ", utilice el derecho " manageExternalAgents o " readExternalAgentsAndClientSecret " para llamar a esta API.

    Para llamar a esta API se necesita el derecho " manageExternalAgents o " manageExternalAgentsAndClientSecret ".