Atualizações de segurança para direitos

Editar online

Saiba mais sobre as novas alterações nos direitos.

Alterações nos direitos de configuração do cliente OIDC de leitura existentes

Os usuários que possuem readOICD permissões de configuração de cliente não podem visualizar o segredo do cliente para o cliente OIDC correspondente.

A lista a seguir descreve os direitos que foram alterados.

  • readAppConfig Não é possível visualizar o segredo do cliente para as aplicações e o cliente de acesso à API da aplicação.
  • readSTSClients Não é possível visualizar o segredo do cliente para o cliente STS.
  • readAPIClients não é possível visualizar o segredo do cliente para o cliente da API.
  • readExternalAgents Não é possível visualizar o segredo do cliente do agente de identidade.

Nova leitura das permissões de configuração do cliente OIDC e do segredo do cliente

Os usuários que possuem a permissão para ler a configuração do cliente OIDC e o segredo do cliente podem visualizar o segredo do cliente correspondente.

A lista a seguir explica as alterações nos direitos

  • readAppConfigAndClientSecret é possível visualizar o segredo do cliente para os aplicativos e para o cliente de acesso à API do aplicativo.
  • readSTSClientsAndClientSecret é possível visualizar o segredo do cliente para o cliente STS.
  • readAPIClientsAndClientSecret pode visualizar o segredo do cliente para o cliente da API.
  • readExternalAgentsAndClientSecret é possível visualizar o segredo do cliente do agente de identidade.

Não há alterações na gestão atual dos direitos OIDC

Os usuários com a permissão para gerenciar a configuração do cliente OIDC podem gerenciar o cliente OIDC correspondente e visualizar o segredo do cliente.

A lista a seguir explica as alterações nos direitos

  • manageAppAccessAdmin pode gerenciar a aplicação e visualizar o segredo do cliente para as aplicações e para o cliente de acesso à API da aplicação.
  • manageSTSClients pode gerenciar o cliente STS e visualizar o segredo do cliente STS.
  • manageAPIClients pode gerenciar o cliente da API e o segredo do cliente para o cliente da API.
  • manageExternalAgents pode gerenciar o agente de identidade e o segredo de cliente de texto do agente de identidade.

Atualizações nas funções prontas para uso

Administrador do Locatário
Os novos direitos adicionados a esta função são readAppConfigAndClientSecret, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, e readExternalAgentsAndClientSecret.
Central de Ajuda
Os novos direitos adicionados a esta função são readAppConfigAndClientSecret e readExternalAgentsAndClientSecret. Essa função pode continuar a visualizar os segredos de cliente das aplicações, dos clientes de acesso à API da aplicação e dos agentes de identidade.
Somente Leitura
Os novos direitos adicionados a esta função são readAppConfigAndClientSecret, readSTSClientsAndClientSecret, readAPIClientsAndClientSecret, e readExternalAgentsAndClientSecret. Essa função pode continuar a visualizar os segredos de cliente para aplicativos, clientes de acesso à API de aplicativos, clientes STS, clientes de API e agentes de identidade.
PrivacyOfficer
A nova permissão adicionada a esta função tem readAppConfigAndClientSecret como objetivo permitir que ela continue a visualizar os segredos do cliente para os aplicativos e os clientes de acesso à API do aplicativo.

Aviso aos clientes que utilizam funções de administrador personalizadas

Tabela 1. Privilégios a serem adicionados às funções de administrador personalizadas
Autorização Descrição
readAppConfigAndClientSecret Adicione para que o administrador possa visualizar o segredo do cliente para os aplicativos e o cliente de acesso à API do aplicativo.
readSTSClientsAndClientSecret Adicione para que o administrador possa visualizar o segredo do cliente para o cliente STS.
readAPIClientsAndClientSecret Adicione para que o administrador possa visualizar o segredo do cliente para o cliente da API.
readExternalAgentsAndClientSecret Além disso, o administrador pode visualizar o segredo do cliente do Identity Agent.

Alterações na API

Tabela 2. Privilégios a serem adicionados às funções de administrador personalizadas
Autorização Descrição
Aplicativo OBTER https://{tenanturl}/v1.0/applications/{applicationId}.
Se você chamar essa API com a readAppConfig autorização, ela não conterá o clientSecret campo.
  • Isso aumenta a segurança, permitindo a leitura das configurações do aplicativo sem exibir o arquivo clientSecret.
  • Os clientes que atualmente utilizam esta API apenas com a readAppConfig autorização não conseguem ver o clientSecret.
  • Se for clientSecret necessário, use a manageAppAccessAdmin permissão ou readAppConfigAndClientSecret para chamar esta API.

Se você chamar essa API com o manageAppAccessAdmin ou readAppConfigAndClientSecret a resposta de autorização conterá o clientSecret.
Cliente STS
  1. OBTER https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. Se você chamar essa API, a resposta não conterá o clientSecret campo.
    • Isso aumenta a segurança, evitando que os segredos dos clientes STS sejam exibidos em uma chamada de API.
    • Os clientes que utilizam esta API não conseguem ver o clientSecret.
    • Se for clientSecret necessário, chame a API GET https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId} com a manageSTSClients autorização ou readSTSClientsAndClientSecret para obter o segredo do cliente para um cliente STS específico.
  2. OBTER https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.

    Se você chamar essa API com a readSTSClients resposta de autorização, ela não conterá o clientSecret campo.

    • Isso aumenta a segurança ao ler as configurações do cliente STS sem revelar o clientSecret.
    • readSTSClientsOs clientes que utilizam esta API não conseguem ver o clientSecret.
    • Se for necessário, use a permissão manageSTSClientsclientSecret ou a readSTSClientsAndClientSecret permissão para chamar esta API.

    readSTSClientsAndClientSecretSe você chamar essa API com o manageSTSClients ou se a resposta de autorização contiver o clientSecret.
Cliente API
  1. GET https://{tenanturl}/v1.0/apiclients

    Se você acessar essa resposta da API, ela não conterá o clientSecret campo.

    • Isso aumenta a segurança, evitando que o segredo do cliente da API seja exibido em uma chamada de API.
    • Os clientes que utilizam esta API não conseguem ver o clientSecret.
    • Se for clientSecret necessário, chame a API GET https://{tenanturl}/v1.0/apiclients/{clientId} com a manageAPIClients autorização ou readAPIClientsAndClientSecret para obter o segredo do cliente para um cliente de API específico.
  2. GET https://{tenanturl}/v1.0/apiclients/{clientId}

    Se você chamar essa API com readAPIClients , ela não conterá o clientSecret campo.

    • Isso aumenta a segurança das configurações do cliente da API de leitura sem revelar o clientSecret.
    • Os clientes que utilizam esta API apenas com a readAPIClients autorização não conseguem ver o clientSecret.
    • Se for necessário, use a permissão manageAPIClientsclientSecret ou a readAPIClientsAndClientSecret permissão para chamar esta API.

    Se você chamar esta API com a manageAPIClients permissão readAPIClientsAndClientSecret ou, ela chamará esta API.

  3. GET https://{tenanturl}/v1.0/apiclients/{clientId}/credentials

    Essa readAPIClients autorização não tem permissão para chamar essa API.

    • Isso aumenta a segurança das configurações do cliente da API de leitura sem revelar o clientSecret.
    • Os clientes que utilizam esta API apenas com a readAPIClients autorização não conseguem ver o clientSecret.
    • Se for necessário, use a permissão manageAPIClientsclientSecret ou a readAPIClientsAndClientSecret permissão para chamar esta API.

    É necessário possuir manageAPIClients as readAPIClientsAndClientSecret autorizações ou para chamar esta API.
Agentes de identidade
  1. GET https://{tenanturl}/config/v1.0/onpremagents/{id}/apicreds

    Essa readExternalAgents autorização não tem permissão para chamar essa API.

    • Isso aumenta a segurança ao ler as configurações do cliente do Identity Agent sem revelar o clientSecret.
    • Os clientes que utilizam esta API com a readExternalAgents autorização não conseguem ver o clientSecret.
    • Se for clientSecret necessário, use a manageExternalAgents permissão ou readExternalAgentsAndClientSecret para chamar esta API.

    É necessário possuir a autorização manageExternalAgents ou manageExternalAgentsAndClientSecret para chamar esta API.