Droits d'accès

Les API externes du service IBM® Verify d'authentification sont protégées par des jetons d'accès OAuth. Pour renforcer la sécurité, l'accès à chaque API est autorisé en fonction de droits.

Un droit est une forme de contrôle des autorisations à granularité fine qui peut restreindre ou minimiser la portée de l'accès d'un jeton d'accès valide. Les droits sont associés à un ID client OAuth et à un secret qui sont utilisés pour obtenir le jeton d'accès. Un jeton d'accès à l'environnement d'exécution hérite des droits de son client associé.

Les administrateurs peuvent accorder les droits suivants à un client API. Utilisez les descriptions pour déterminer les droits à affecter au client API. Pour plus d'informations sur le client API, consultez la page IBM Security® Verify Documentation Hub.
Tableau 1. Droits
habilitation Nom Descriptif
manageDeployment Manage deployment Modifier la configuration générale du service.
manageCerts Manage certificates Effectuer des opérations de création, de récupération, de mise à jour et de suppression sur les certificats personnels et de confiance d'un locataire.
readCerts Read certificates Effectuer des opérations de lecture sur les certificats personnels et de confiance d'un locataire.
manageAPIClients Manage API clients Effectuer des opérations de création, de récupération, de mise à jour et de suppression sur les clients API d'un locataire.
readAPIClients Read API clients Effectuer des opérations de lecture sur les clients API d'un locataire. Il est impossible d'afficher la clé secrète du client pour le client API.
manageIdentitySources Manage identity providers Effectuer des opérations de création, de récupération, de mise à jour et de suppression sur les sources d'identité d'un locataire.
readIdentitySources Read identity providers Effectuer des opérations de lecture sur les sources d'identité d'un locataire.
manageMFAMethods Manage second-factor authentication method configuration Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur la configuration de la méthode d'authentification MFA.
readMFAMethods Read second-factor authentication method configuration Effectuer des opérations de lecture sur la configuration de la méthode d'authentification MFA.
manageEnrollMFAMethodAnyUser Manage second-factor authentication enrollment for all users Gérer les inscriptions aux méthodes d'authentification à plusieurs facteurs (MFA) pour tous les utilisateurs.
manageEnrollMFAMethod Manage own second-factor authentication enrollment Permet à un utilisateur de gérer ses propres inscriptions pour les méthodes MFA.
readEnrollMFAMethodAnyUser Read second-factor authentication enrollment for all users Consulter les inscriptions à la méthode MFA pour n'importe quel utilisateur.
readEnrollMFAMethod Read own second-factor authentication enrollment Permet à un utilisateur de lire ses propres inscriptions pour les méthodes MFA.
authnAnyUser Authenticate any user Authentifier n'importe quel utilisateur.
authn Authenticate yourself Connectez-vous.
manageAuthenticatorsConfig Manage authenticator configuration Gérer la configuration de l'authentificateur.
readAuthenticatorsConfig Read authenticator configuration Lire la configuration de l'authentificateur.
manageAuthenticatorsAnyUser Manage authenticator registrations for all users Gérer les enregistrements d'authentificateurs pour le compte de n'importe quel autre utilisateur.
manageAuthenticators Manage authenticator registrations for yourself Gérer les enregistrements des authentificateurs pour l'utilisateur actuellement connecté.
readAuthenticatorsAnyUser Read authenticator registrations for all users Lire les enregistrements d'authentificateurs pour le compte de n'importe quel autre utilisateur.
readAuthenticators Read authenticator registrations for yourself Lire les enregistrements d'authentificateurs pour l'utilisateur actuellement authentifié.
manageUserGroups Manage users and groups Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur les utilisateurs et les groupes dans SCIM, à l'exception du groupe « admin ».
readUserGroups Read users and groups Effectuer des opérations de lecture sur les utilisateurs et les groupes dans SCIM, à l'exception du groupe « admin ».
manageAllUserGroups Synchronize users and groups Effectuez des opérations de création, de consultation, de mise à jour et de suppression sur les utilisateurs et les groupes dans SCIM, sans aucune restriction quant à la modification des utilisateurs fédérés et à leur affectation à des groupes standard non réservés.
manageUserStandardGroups Manage users and standard groups Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur les utilisateurs et les groupes standard, mais ne pas autoriser la modification ou la suppression des groupes réservés.
manageAdminGroup Manage administrator group Ajouter et supprimer des utilisateurs du groupe « admin ».
readAdminGroup Read administrator group Lire les utilisateurs du groupe « admin ».
managePwdPolicy Manage password policy Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur la politique de mot de passe d'un locataire.
readPwdPolicy Read password policy Effectuer des opérations de lecture sur la politique de mot de passe d'un locataire.
AnalyticsDataSyncToCloud Sync data from Analytics Bridge to Cloud Effectuer une synchronisation des données entre la base de données On-premCloudant® et la base de données ApolloCloudant via des API pour un locataire.
AnalyticsSatelliteOnBoard Onboard Analytics Bridge Effectuer uniquement la liaison depuis l'environnement sur site versIBM Verify.
readOidcGrants Read OAuth tokens Consultez les subventions de l'OIDC.
manageOidcGrants Manage OAuth tokens Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur les autorisations OIDC.
recoverUsername Recover user name Effectuer la récupération du nom d'utilisateur.
manageFederations Manage federations Gérer les fédérations d' SAML s et OIDC.
readFederations Read federations En savoir plus sur les fédérations « SAML » et OIDC.
resetPassword Reset password Réinitialiser le mot de passe.
manageAppAccessAdmin Manage application lifecycle Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur les applications.
manageAppAccessOwner Manage application entitlements Ajouter et supprimer des droits sur une application.
manageSubscriptions Manage subscriptions Effectuer des opérations administratives sur les abonnements ISC.
manageAccessPolicies Manage access policies Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur les politiques dans le coffre-fort de politiques du service d'authentification et dans le service de gestion des risques.
readAccessPolicies Read access policies Consultez les politiques dans le coffre-fort de politiques du service d'authentification et dans le service de gestion des risques.
managePushCreds Manage push notification credentials Effectuez des opérations de création, de consultation, de mise à jour et de suppression pour gérer les identifiants de notification push personnalisés enregistrés.
readPushCreds Read push notification credentials Effectuer des opérations de lecture sur les identifiants de notification push enregistrés.
manageAccessRequest Manage access request Lire et modifier ma demande d'accès.
manageAccessWorkflow Manage access request work flows Ajouter / Modifier le workflow de demande d'accès.
manageAccessRequestActivities Manage my activities to approve or reject access requests Consulter et gérer mes activités. Approuver ou rejeter les demandes d'accès.
manageApprovalActivities Manage my activities to approve or reject requests Consulter et gérer mes activités. Approuver ou rejeter les demandes.
readOidcConsents Read OAuth consents Lire les consentements de l'OIDC.
manageOidcConsents Manage OAuth consents Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur les consentements OIDC.
readReports Read reports Consultez les rapports sur l'activité d'authentification, l'utilisation des applications, l'activité des utilisateurs et l'activité des administrateurs. Consultez le calendrier des rapports périodiques.
manageReports Manage reports Exporter des rapports (une seule fois). Gérer le calendrier des rapports récurrents.
updateAnyUser Update any user Effectuer des opérations de remplacement sur n'importe quel utilisateur.
resetPasswordAnyUser Reset password of any user Réinitialiser le mot de passe d'un utilisateur.
readTenantProperties Read tenant properties Consulter les caractéristiques d'un locataire.
manageTenantProperties Manage tenant properties Gérer les données d'un locataire.
accessAdminConsole Access admin console Accédez à la console d'administration.
manageAttributes Manage attribute sources Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur les sources d'attributs d'un locataire.
readAttributes Read attribute sources Effectuer des opérations de lecture sur les sources d'attributs d'un locataire.
generateOTP Generate OTP Générer un mot de passe à usage unique (OTP) et l'envoyer par e-mail ou par SMS.
readAppConfig Read application configuration Consultez les détails de la configuration de l'application. Il est impossible d'afficher le secret client pour les applications et les clients d'accès à l'API d'application.
manageTemplates Manage templates and themes Permet de personnaliser les modèles et les thèmes.
readTemplates Read templates and themes Consulter les modèles et les thèmes.
readTenantSubscriptions read tenant subscriptions Afficher les abonnements des locataires.
reviewCertRecords Review certification records Accède aux enregistrements de certification d'une campagne.
readEntitlements Read configurable entitlements Consultez la liste des droits configurables.
accessDevPortal Access developer portal Accédez à l'interface utilisateur du portail des développeurs et au point de terminaison du microservice.
manageNotificationProviders Manage notification providers Configurez des fournisseurs de notifications personnalisés.
readNotificationProviders Read notification providers Affiche les fournisseurs de notifications personnalisés configurés.
manageCertifications Manage certifications Gérer les autorisations d'accès.
readExternalAgents Read external agents Lire les configurations d'agents externes pour Native Bridge ou le service de transit LDAP. Il est impossible d'afficher le secret client de l'agent d'identité.
manageExternalAgents Manage external agents Gérer la configuration des agents externes.
runExternalAgent Enable external agent runtime functions Les fonctions d'un agent externe comprennent la lecture de sa propre configuration, la connexion au pont d'exécution CI et la réception des communications provenant de CI.
manageOidcDynamicClient Manage OIDC client registration dynamically Gérer l'enregistrement des clients OIDC de manière dynamique.
viewNotifications View notifications Cliquez sur l'icône « notifications ».
manageProfile Manage profile Accéder à « Profil et paramètres ».
viewLaunchpad View launchpad Pour permettre le lancement des applications en contexte depuis la page d'accueil.
requestApplications Request applications Autoriser la création d'une demande d'application.
manageRequests Manage requests Afficher la section « Gestionnaire des tâches -> Demandes d'application ».
readPurpose Read privacy purposes and EULA Veuillez lire notre politique de confidentialité et le contrat de licence d'utilisation.
managePurpose Manage privacy purposes and EULA Gérer les paramètres de confidentialité et le contrat de licence d'utilisation.
manageAppPurpose Manage application privacy purposes Gérer les paramètres de confidentialité des applications.
readPrivacyConsent Read privacy consents Lisez les déclarations de confidentialité.
managePrivacyConsent Manage privacy consents Gérez les accords de confidentialité.
readPrivacyPolicy Read privacy rules and policy Lisez les règles et la politique de confidentialité.
managePrivacyPolicy Manage privacy rules and policy Gérer les règles et la politique de confidentialité.
createPrivacyConsent Create privacy consent records Créer des registres de consentement en matière de confidentialité.
performDSP Retrieve privacy purposes and associated user's consent Consulter les finalités en matière de protection de la vie privée et le consentement de l'utilisateur correspondant.
performDUA Check for data usage approval Vérifiez si l'utilisation des données a été approuvée.
certCampaignSupervisor Monitor certification campaigns Suivre les campagnes de certification d'accès.
managePwdVaultAnyUser Manage password vault for all users Gérer les informations d'identification stockées dans le coffre-fort de mots de passe pour n'importe quel utilisateur.
managePwdVault Manage own password vault Gérer les informations d'identification stockées dans le coffre-fort de mots de passe.
readPwdVaultAnyUser Read password vault for all users Récupérer les informations d'identification stockées dans le coffre-fort de mots de passe pour n'importe quel utilisateur.
readPwdVault Read own password vault Récupérer ses identifiants dans le coffre-fort de mots de passe.
managePwdVaultConfig Manage password vault configuration Mettez à jour la configuration du coffre-fort de mots de passe.
readPwdVaultConfig Read password vault configuration Récupérer la configuration du coffre-fort de mots de passe.
mfaPush Send second-factor push notifications Envoie des notifications push pour l'authentification multi-facteur.
readPrivacyProfile Read privacy profiles Consultez les profils de confidentialité.
managePrivacyProfile Manage privacy profiles Gérer les profils de confidentialité.
manageEntitlements. Manage entitlements Gérer les droits d'accès tant pour les administrateurs que pour les applications.
manageDevicesAnyUser Manage devices for all users Gérer les appareils pour tous les utilisateurs.
readDevicesAnyUser Read devices for all users Lecture des données pour tous les utilisateurs.
manageDevices Manage only your devices Gérez uniquement vos appareils.
readDevices Read only your devices Lisez uniquement sur vos appareils.
manageUsersPwdReset Manages users and their pwdReset attribute Gérer les utilisateurs et leur attribut « pwdReset ».
manageRecaptcha Manage reCAPTCHA configuration Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur la configuration d' reCAPTCHA.
readRecaptcha Read reCAPTCHA configuration Effectuer des opérations de lecture sur la configuration d' reCAPTCHA.
manageLoginSessions Manage login sessions Gérer les sessions de connexion.
readSelfPrivacyConsent Read your privacy consents Veuillez lire vos consentements en matière de confidentialité.
manageSelfPrivacyConsent Manage your privacy consents Gérez vos consentements en matière de confidentialité.
readSelfOidcGrants Read your OIDC and OAuth grants Lisez attentivement vos subventions OIDC.
manageSelfOidcGrants Manage your OIDC and OAuth grants Effectuez des opérations CRUD sur vos autorisations OIDC.
readAppPrivacyConsent Read the privacy consents of the applications that you own Lisez les politiques de confidentialité des applications que vous possédez.
manageRelyingParty Manage relying party configuration Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur la configuration des parties de confiance.
readRelyingParty Read relying party configuration Effectuer des opérations de lecture sur la configuration des parties de confiance.
manageWebhooks Manage Webhooks Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur la configuration des webhooks.
readWebhooks Read Webhooks Lire la configuration du webhook.
readSTSClients Read STS clients and token types Consulter les clients STS et les types de jetons. Il est impossible d'afficher la clé secrète du client STS.
manageSTSClients Manage STS clients and token types Effectuer des opérations de création, de récupération, de mise à jour et de suppression sur les clients STS et les types de jetons.
manageVerifiableLinks Manage Verifiable Links configuration Effectuer des opérations de gestion sur la configuration des liens vérifiables.
manageMyOrg Manage my organization Consulter et gérer mes subordonnés.
readAccessAsManager View accesses of the reportees Consulter les autorisations d'accès existantes et celles pouvant être demandées par les employés concernés.
manageAccessAsManager Manage accesses of the reportees Gérer les droits d'accès actuels des employés concernés.
readOidcAppGrants Read OIDC and OAuth application grants Consulter les subventions accordées dans le cadre du programme OIDC
manageOidcAppGrants Manage OIDC and OAuth application grants Effectuer des opérations CRUD sur les autorisations d'application OIDC
readPrivacyConsentProvider Read privacy consent providers Lire la configuration du fournisseur de consentement externe
managePrivacyConsentProvider Manage privacy consent providers Effectuer des opérations CRUD sur les fournisseurs de consentement
createSamlAliases Create SAML aliases Créer des alias d'identificateurs de nom persistants d' SAML
readEmailSuppressionList Read email suppression list Consulter la liste des adresses e-mail à exclure
manageEmailSuppressionList Manage email suppression list Gérer la liste de suppression des adresses e-mail
badgeManageAny Manage badge configurations for the tenant Gérer la configuration des badges
badgeReadAny Read badge configurations for the tenant Lire les configurations des badges pour le locataire
listSessions List all sessions for a user Afficher toutes les sessions d'un utilisateur
revokeSession Revoke a session for a user Annuler la session d'un utilisateur
revokeAllSessions Revoke all sessions for a user Annuler toutes les sessions d'un utilisateur
readTraceLogs Read trace logs Lire les journaux de trace
readFlows Read flows Lire les flux
manageFlows Manage flows Gérer les flux
readSMSProviders Read external SMS provider configuration Lire la configuration du fournisseur de SMS externe
manageSMSProviders Manage external SMS provider configuration Gérer la configuration du fournisseur de SMS externe
manageIAGConfigAny Manage any external IAG configuration Gérer toute configuration IAG externe
readIAGConfigAny Read any external IAG configuration Lire toute configuration IAG externe
readIAGDeployBundleAny Export any external IAG deploy bundle Exporter n'importe quel ensemble de déploiement IAG externe
readUsers Read all users but not group memberships Effectuer des opérations de lecture sur tous les utilisateurs, mais pas sur leurs appartenances à des groupes.
readUsersGroupMembership Read all users and group memberships Effectuer des opérations de lecture sur tous les utilisateurs et toutes les appartenances à des groupes.
readUsersStandardGroupMembership Read all users and standard group memberships Limiter les opérations de lecture à tous les utilisateurs et consulter les appartenances uniquement dans les groupes standard.
manageUsers Manage all users Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur tous les utilisateurs.
manageUsersInStandardGroups Manage users in standard groups N'effectuez des opérations de création, de consultation, de mise à jour et de suppression que sur les utilisateurs appartenant à des groupes standard.
readGroups Read all groups but not their members Effectuer des opérations de lecture sur tous les groupes, mais pas sur les membres des groupes.
readStandardGroups Read standard groups but not their members Effectuer des opérations de lecture uniquement sur les groupes standard, mais pas sur les membres de ces groupes.
readGroupMembers Read all groups and their members Effectuer des opérations de lecture sur tous les groupes et tous les membres des groupes.
readStandardGroupMembers Read standard groups and their members Effectuer uniquement des opérations de lecture sur tous les groupes standard et tous les membres de ces groupes.
manageGroups Manage all groups but not their members Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur tous les groupes, mais pas sur les membres des groupes.
manageStandardGroups Manage standard groups but not their members Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur tous les groupes standard, mais pas sur les membres de ces groupes.
manageGroupMembers Manage all groups and their members Effectuer des opérations de création, de consultation, de mise à jour et de suppression sur tous les groupes et leurs membres.
manageStandardGroupMembers Manage standard groups and their members Effectuez des opérations de création, de consultation, de mise à jour et de suppression uniquement sur les groupes standard et les membres de ces groupes.
readDynamicGroups Read all dynamic groups Lire tous les groupes dynamiques.
manageDynamicGroups Manage all dynamic groups Gérer tous les groupes dynamiques.
readDynamicGroupsOfUsers Read dynamic groups of all users Lire les groupes dynamiques de tous les utilisateurs.
manageDynamicGroupsofUsers Manage dynamic groups of all users Gérer des groupes dynamiques regroupant tous les utilisateurs.
readAppConfigAndClientSecret Read application configuration with the client secret Lire le secret client pour les applications et l'accès à l'API d'application...
readSTSClientsAndClientSecret Read STS clients with the client secret and token types Lire les clients STS à l'aide des types « secret client » et « token ».
readAPIClientsAndClientSecret Read API clients with the client secret Lire les clients API à l'aide du secret client.
readExternalAgentsAndClientSecret Read external agents with the client secret Lire le secret client de l'agent d'identité.
updateAnyGroupMember Manage the membership of groups Gérer l'appartenance aux groupes.
manageIdentityFeed Manage identity feed Gérer le flux d'identités.
readIdentityFeed Read identity feed information Lire les informations du flux d'identité.
readSelfProfile Read your user profile Consultez les informations de votre profil utilisateur.
manageSelfProfile Manage your user profile Modifiez les informations de votre profil utilisateur.
readAuthDetailTypes Read authorization detail types Consultez les informations relatives aux types de détails d'autorisation.
manageAuthDetailTypes Manage authorization detail types Effectuer des opérations CRUD sur les types de détails d'autorisation.
manageEmailNotificationDomainAuth Manage email notification domain authentication Effectuer l'enregistrement, la vérification, la consultation et la suppression de domaines de messagerie personnalisés.
manageAllBadges View, Revoke, Retry "Issued Badges" Afficher, révoquer et réessayer les « badges émis ».
readAllBadges View "Issued Badges" dashboard Consultez le tableau de bord des badges attribués.
badgeManageAny Create, edit, and view Badge Configuration Créer, modifier et consulter la configuration des badges.
badgeReadAny View Badge Configuration Afficher la configuration des badges.
manageSmsVoiceOtpSuppressionList Manage SMS and voice OTP suppression list Gérer intégralement la liste de suppression des codes OTP par SMS et par appel vocal, notamment en créant, mettant à jour, supprimant et consultant les entrées.
readSmsVoiceOtpSuppressionList Read SMS and voice OTP suppression list Consultez la liste des numéros exclus pour les codes OTP par SMS et appel vocal.
Remarque :

Pour consulter la liste de tous les utilisateurs et déterminer l'activité d'un utilisateur spécifique, l'administrateur doit disposer d'une ou plusieurs des autorisations suivantes :

  • readUserGroups
  • manageUserGroups
  • manageAllUserGroups
  • manageUserStandardGroups

De plus, l'administrateur pourrait avoir besoin d'une ou plusieurs autorisations générales parmi celles énumérées ci-dessous :

  • tenantadmin (L'affectation d'un membre au admin groupe ne peut se faire que par un appel d'API.)
  • reserved_appowner (membre du application owners groupe, ou peut être attribué uniquement via un appel d'API).