Mises à jour de sécurité pour les droits d'accès

Découvrez les dernières modifications apportées aux droits.

Modifications apportées aux droits de configuration existants du client OIDC en lecture

Les utilisateurs disposant readOICD de droits de configuration du client ne peuvent pas consulter le secret client associé au client OIDC correspondant.

La liste suivante présente les droits qui ont été modifiés.

  • readAppConfig Il est impossible de consulter le secret client pour les applications et le client d'accès à l'API d'application.
  • readSTSClients Je ne peux pas consulter le secret client du client STS.
  • readAPIClients Je ne peux pas consulter le secret client de l'API.
  • readExternalAgents Je ne parviens pas à afficher le secret client de l'agent d'identité.

Nouveaux droits d'accès pour la configuration du client OIDC et le secret client

Les utilisateurs disposant d'un droit d'accès permettant de consulter la configuration et le secret du client OIDC peuvent consulter le secret du client OIDC correspondant.

La liste suivante présente les modifications apportées aux droits

  • readAppConfigAndClientSecret vous pouvez consulter le secret client des applications et de l'API d'accès client de l'application.
  • readSTSClientsAndClientSecret peut consulter le secret client du client STS.
  • readAPIClientsAndClientSecret peut consulter le secret client de l'API.
  • readExternalAgentsAndClientSecret peut consulter le secret client de l'agent d'identité.

Il n'y a aucun changement concernant la gestion actuelle des droits OIDC

Les utilisateurs disposant de l'autorisation de gestion de la configuration du client OIDC peuvent gérer le client OIDC correspondant et consulter le secret du client.

La liste suivante présente les modifications apportées aux droits

  • manageAppAccessAdmin permet de gérer les applications et de consulter le secret client des applications ainsi que celui du client d'accès à l'API de l'application.
  • manageSTSClients peut gérer le client STS et consulter le secret du client STS.
  • manageAPIClients peut gérer le client API et la clé secrète associée à ce client.
  • manageExternalAgents peut gérer l'agent d'identité et la clé secrète du client pour cet agent.

Mises à jour des rôles prêts à l'emploi

Administrateur titulaire
Les nouveaux droits ajoutés à ce rôle sont readAppConfigAndClientSecret, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, et readExternalAgentsAndClientSecret.
Centre d'assistance
Les nouveaux droits ajoutés à ce rôle sont readAppConfigAndClientSecret et readExternalAgentsAndClientSecret. Ce rôle permet de continuer à consulter les secrets client des applications, des clients d'accès à l'API d'application et des agents d'identité.
Lecture seule
Les nouveaux droits ajoutés à ce rôle sont readAppConfigAndClientSecret, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, et readExternalAgentsAndClientSecret. Ce rôle permet de continuer à consulter les secrets client des applications, des clients d'accès à l'API d'application, des clients STS, des clients API et des agents d'identité.
PrivacyOfficer
Le nouveau droit ajouté à ce rôle a readAppConfigAndClientSecret pour but de lui permettre de continuer à consulter les secrets client des applications et des clients d'accès à l'API d'application.

Avis à l'attention des clients utilisant des rôles d'administrateur personnalisés

Tableau 1. Droits à ajouter aux rôles d'administrateur personnalisés
habilitation Descriptif
readAppConfigAndClientSecret Ajoutez cette option afin que l'administrateur puisse consulter le secret client pour les applications et le client d'accès à l'API de l'application.
readSTSClientsAndClientSecret Ajoutez cette option afin que l'administrateur puisse consulter le secret client du client STS.
readAPIClientsAndClientSecret Ajoutez cette option afin que l'administrateur puisse consulter le secret du client pour le client API.
readExternalAgentsAndClientSecret Ajouter : l'administrateur peut consulter le secret client de l'agent d'identité.

Modifications apportées à l'API

Tableau 2. Droits à ajouter aux rôles d'administrateur personnalisés
habilitation Descriptif
Application OBTENIR https://{tenanturl}/v1.0/applications/{applicationId}.
Si vous appelez cette API avec l'autorisation readAppConfig , celle-ci ne contient pas le clientSecret champ.
  • Cela renforce la sécurité en permettant de consulter les configurations de l'application sans voir le fichier clientSecret.
  • Les clients qui utilisent actuellement cette API avec uniquement le readAppConfig droit d'accès ne peuvent pas voir le clientSecret.
  • Si un clientSecret est requis, utilisez le manageAppAccessAdmin droit ou readAppConfigAndClientSecret pour appeler cette API.

Si vous appelez cette API avec ou readAppConfigAndClientSecret , manageAppAccessAdmin la réponse d'autorisation contient le clientSecret.

Client STS
  1. OBTENIR https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. Si vous appelez cette API, la réponse ne contient pas le clientSecret champ.
    • Cela renforce la sécurité en empêchant l'affichage des secrets des clients STS lors d'un appel API.
    • Les clients qui utilisent cette API ne peuvent pas voir le clientSecret.
    • Si cela clientSecret est nécessaire, appelez l'API GET https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId} avec l'autorisation manageSTSClients ou readSTSClientsAndClientSecret pour obtenir le secret client d'un client STS spécifique.
  2. OBTENIR https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.

    Si vous appelez cette API avec la readSTSClients réponse d'autorisation, celle-ci ne contient pas le clientSecret champ.

    • Cela renforce la sécurité lors de la lecture des configurations du client STS sans révéler le clientSecret.
    • readSTSClientsLes clients qui utilisent cette API ne peuvent pas voir le clientSecret.
    • Si l'autorisation clientSecret est requise, utilisez l'autorisation manageSTSClients ou l'autorisation readSTSClientsAndClientSecret pour appeler cette API.

    readSTSClientsAndClientSecretSi vous appelez cette API avec le manageSTSClients ou si la réponse d'autorisation contient le clientSecret.

Client API
  1. GET https://{tenanturl}/v1.0/apiclients

    Si vous interrogez cette API, la réponse ne contient pas le clientSecret champ.

    • Cette mesure renforce la sécurité en empêchant l'affichage du secret client des clients API lors d'un appel API.
    • Les clients qui utilisent cette API ne peuvent pas voir le clientSecret.
    • Si cela clientSecret est nécessaire, appelez l'API GET https://{tenanturl}/v1.0/apiclients/{clientId} avec l'autorisation manageAPIClients ou readAPIClientsAndClientSecret pour obtenir le secret client d'un client API spécifique.
  2. GET https://{tenanturl}/v1.0/apiclients/{clientId}

    Si vous appelez cette API avec readAPIClients , elle ne contient pas le clientSecret champ.

    • Cela renforce la sécurité des configurations des clients de l'API de lecture sans révéler le clientSecret.
    • Les clients qui utilisent cette API avec uniquement l'autorisation readAPIClients ne peuvent pas voir le clientSecret.
    • Si l'autorisation clientSecret est requise, utilisez l'autorisation manageAPIClients ou l'autorisation readAPIClientsAndClientSecret pour appeler cette API.

    Si vous appelez cette API avec le droit manageAPIClients ou le readAPIClientsAndClientSecret droit, elle appelle cette API.

  3. GET https://{tenanturl}/v1.0/apiclients/{clientId}/credentials

    Ce readAPIClients compte n'est pas autorisé à appeler cette API.

    • Cela renforce la sécurité des configurations des clients de l'API de lecture sans dévoiler le clientSecret.
    • Les clients qui utilisent cette API avec uniquement l'autorisation readAPIClients ne peuvent pas voir le clientSecret.
    • Si l'autorisation clientSecret est requise, utilisez l'autorisation manageAPIClients ou l'autorisation readAPIClientsAndClientSecret pour appeler cette API.

    Pour utiliser cette API, il est nécessaire de disposer manageAPIClients des readAPIClientsAndClientSecret autorisations ou.

Agents d'identité
  1. GET https://{tenanturl}/config/v1.0/onpremagents/{id}/apicreds

    Ce readExternalAgents compte n'est pas autorisé à appeler cette API.

    • Cela renforce la sécurité lors de la lecture des configurations du client Identity Agent sans révéler le clientSecret.
    • Les clients qui utilisent cette API avec ce readExternalAgents droit d'accès ne peuvent pas voir le clientSecret.
    • Si l'autorisation clientSecret est requise, utilisez l'autorisation manageExternalAgents ou readExternalAgentsAndClientSecret pour appeler cette API.

    Le droit manageExternalAgents ou manageExternalAgentsAndClientSecret est requis pour appeler cette API.