資格に関する新しい変更について学ぶ。
既存の読み取りOIDCクライアント設定権限の変更
readOICDクライアント設定権限を持つユーザーは、対応するOIDCクライアントのクライアントシークレットを表示できません。
以下のリストは、変更される資格について説明したものである。
readAppConfig、アプリケーションおよびアプリケーションAPIアクセスクライアントのクライアントシークレットを表示できません。readSTSClientsSTSクライアントのクライアントシークレットを表示できません。readAPIClientsAPI クライアントのクライアントシークレットを表示できません。readExternalAgentsは Identity エージェントのクライアントシークレットを表示できない。
OIDCクライアント設定とクライアントシークレットエンタイトルメントの新規読み取り
OIDC クライアント設定およびクライアントシークレットの読み取り権限を持つユーザは、対応する OIDC クライアントのクライアントシークレットを閲覧することができます。
以下のリストは、受給資格の変更について説明したものである
readAppConfigAndClientSecret、アプリケーションおよびアプリケーションAPIアクセスクライアントのクライアントシークレットを表示できます。readSTSClientsAndClientSecretSTSクライアントのクライアントシークレットを見ることができる。readAPIClientsAndClientSecretはAPIクライアントのクライアント・シークレットを見ることができる。readExternalAgentsAndClientSecretは、Identity エージェントのクライアントシークレットを表示できる。
既存のマネージメントOIDCの資格に変更はない
OIDCクライアント構成の管理権限を持つユーザーは、対応するOIDCクライアントを管理し、クライアントシークレットを表示することができます。
以下のリストは、受給資格の変更について説明したものである
manageAppAccessAdmin、アプリケーションを管理し、アプリケーションおよびアプリケーションAPIアクセスクライアントのクライアントシークレットを表示することができます。manageSTSClientsSTSクライアントを管理し、STSクライアントのクライアントシークレットを表示できる。manageAPIClientsはAPIクライアントとAPIクライアントのクライアントシークレットを管理できる。manageExternalAgents、Identity エージェントと、Identity エージェントのテキストクライアント 秘密を管理できる。
すぐに使えるロールの更新
- テナント管理者
- このロールに追加された新しい資格は、'
readAppConfigAndClientSecret、'readSTSClientsAndClientSecret、'readAPIClientsAndClientSecret、'readExternalAgentsAndClientSecretである。
- ヘルプ・デスク
- このロールに追加された新しい資格は「
readAppConfigAndClientSecret」と「readExternalAgentsAndClientSecretである。 このロールは、アプリケーション、アプリケーション API アクセスクライアン ト、および ID エージェントのクライアント秘密を引き続き表示できる。
- 読み取り専用
- このロールに追加された新しい資格は、'
readAppConfigAndClientSecret、'readSTSClientsAndClientSecret、'readAPIClientsAndClientSecret、'readExternalAgentsAndClientSecretである。 このロールは、アプリケーション、アプリケーション API アクセスクライアント、STS ク ライアント、API クライアント、Identity Agent のクライアント秘密を引き続き表示できる。
- PrivacyOfficer
- このロールに追加された新しい権限は「
readAppConfigAndClientSecret」で、アプリケーションおよびアプリケーションAPIアクセスクライアントのクライアントシークレットを引き続き表示できます。
カスタム管理者ロールをご利用のお客様へのお知らせ
表 1. カスタム管理者ロールに追加する権限
| 資格 |
説明 |
readAppConfigAndClientSecret |
管理者がアプリケーションとアプリケーションAPIアクセスクライアントのクライアントシークレットを表示できるように追加します。 |
readSTSClientsAndClientSecret |
管理者がSTSクライアントのクライアントシークレットを表示できるように追加します。 |
readAPIClientsAndClientSecret |
管理者がAPIクライアントのクライアントシークレットを表示できるように追加します。 |
readExternalAgentsAndClientSecret |
管理者は、Identity エージェントのクライアントシークレットを表示できます。 |
APIの変更
表 2. カスタム管理者ロールに追加する権限
| 資格 |
説明 |
| アプリケーション |
GET 'https://{tenanturl}/v1.0/applications/{applicationId}.このAPIを「 readAppConfigエンタイトルメントで呼び出した場合、「 clientSecretフィールドは含まれない。
- これは、'
clientSecret を見ることなくアプリケーションの設定を読み取ることを可能にするセキュリティーを追加するものである。
- 現在、このAPIを「
readAppConfig権限のみで使用している顧客は、「clientSecret」を見ることができない。
clientSecret必要な場合は、「manageAppAccessAdminまたは「readAppConfigAndClientSecret権限を使用してこのAPIをコールする。 このAPIを「manageAppAccessAdminまたは「readAppConfigAndClientSecret」で呼び出した場合、エンタイトルメント・レスポンスには「clientSecret含まれる。 |
| STSクライアント |
- GET '
https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. このAPIを呼び出すと、レスポンスには「clientSecretフィールドが含まれない。
- これにより、APIコールでSTSクライアントの秘密が表示されるのを防ぐセキュリティが追加される。
- このAPIを使用する顧客は、'
clientSecret を見ることができない。
clientSecretが必要な場合は、'manageSTSClientsまたは 'readSTSClientsAndClientSecret権限で GET 'https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}API を呼び出して、特定の STS クライアントのクライアントシークレットを取得する。
- GET '
https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.このAPIを「readSTSClientsエンタイトルメントレスポンスで呼び出した場合、「clientSecretフィールドは含まれない。
- これにより、'
clientSecret を明らかにすることなく、STSクライアントのコンフィギュレーションを読み取るためのセキュリティが追加される。
readSTSClientsでこのAPIを使用する顧客は、'clientSecretを見ることができません。clientSecret必要な場合は、「manageSTSClientsまたは「readSTSClientsAndClientSecret権限を使用してこのAPIをコールする。 このAPIを「manageSTSClientsまたは「readSTSClientsAndClientSecret」で呼び出した場合、エンタイトルメント・レスポンスには「clientSecret含まれる。
|
| API クライアント |
- GET
https://{tenanturl}/v1.0/apiclientsこのAPIレスポンスを呼び出すと、「clientSecretフィールドが含まれない。
- これは、API呼び出しでAPIクライアントのクライアント・シークレットが表示されないようにするためのセキュリティ追加である。
- このAPIを使用する顧客は、'
clientSecret を見ることができない。
clientSecretが必要な場合は、'manageAPIClientsまたは 'readAPIClientsAndClientSecret権限で GET 'https://{tenanturl}/v1.0/apiclients/{clientId}API をコールし、特定の API クライアントのクライアントシークレットを取得する。
- GET
https://{tenanturl}/v1.0/apiclients/{clientId}このAPIを'readAPIClientsで呼び出した場合、'clientSecretフィールドは含まれない。
- これにより、'
clientSecret を明かすことなく、APIクライアントの設定を読み取るためのセキュ リティが追加される。
- このAPIを「
readAPIClients権限のみで使用する顧客は、「clientSecret」を見ることができない。
clientSecret必要な場合は、「manageAPIClientsまたは「readAPIClientsAndClientSecret権限を使用してこのAPIをコールする。 manageAPIClientsまたは'readAPIClientsAndClientSecret権限でこのAPIを呼び出すと、このAPIが呼び出される。
- GET
https://{tenanturl}/v1.0/apiclients/{clientId}/credentialsreadAPIClientsエンタイトルメントは、このAPIをコールできない。
- これにより、'
clientSecret を明かすことなく、APIクライアントの設定を読み取るためのセキュリ ティが追加される。
- このAPIを「
readAPIClients権限のみで使用する顧客は、「clientSecret」を見ることができない。
clientSecret必要な場合は、「manageAPIClientsまたは「readAPIClientsAndClientSecret権限を使用してこのAPIをコールする。 このAPIを呼び出すには、「manageAPIClientsまたは「readAPIClientsAndClientSecret権限が必要である。
|
| ID エージェント |
- GET
https://{tenanturl}/config/v1.0/onpremagents/{id}/apicredsreadExternalAgentsエンタイトルメントは、このAPIをコールできない。
- これにより、「
clientSecret を明らかにすることなく、Identity Agent クライアント設定を読み取るためのセキュリ ティが追加される。
readExternalAgents権限でこのAPIを使用する顧客は、「clientSecret」を見ることができない。clientSecret必要な場合は、「manageExternalAgentsまたは「readExternalAgentsAndClientSecret権限を使用してこのAPIをコールする。 このAPIを呼び出すには、エンタイトルメント'manageExternalAgentsまたは'manageExternalAgentsAndClientSecretが必要である。
|