访问权利
身份验证 IBM® Verify 服务的外部 API 由 OAuth 访问令牌进行保护。 此外,根据权利授予对每个 API 的访问权,可进一步确保安全。
权利是一种细颗粒度形式的许可权控制,可限制或最小化有效访问令牌的访问权范围。 权利与 OAuth 客户机标识和密钥关联,用于获取访问令牌。 运行时访问令牌从其关联客户机派生其权利。
管理员可以向 API 客户机授予以下权利。 使用描述来确定将哪些权利分配给 API 客户机。 有关 API 客户端的更多信息,请参阅 IBM Security® Verify 文档中心。
| 权利 | 名称 | 描述 |
|---|---|---|
manageDeployment |
Manage deployment |
修改整体服务配置。 |
manageCerts |
Manage certificates |
对租户的个人证书和受信任证书执行创建、检索、更新和删除操作。 |
readCerts |
Read certificates |
对租户的个人证书和受信任证书执行读取操作。 |
manageAPIClients |
Manage API clients |
对租户的 API 客户端执行创建、查询、更新和删除操作。 |
readAPIClients |
Read API clients |
对某个租户的 API 客户端执行读取操作。 无法查看 API 客户端的客户端密钥。 |
manageIdentitySources |
Manage identity providers |
对租户的标识源执行创建、检索、更新和删除操作。 |
readIdentitySources |
Read identity providers |
对租户的标识源执行读取操作。 |
manageMFAMethods |
Manage second-factor authentication method configuration |
对多因素身份验证方法配置执行创建、查询、更新和删除操作。 |
readMFAMethods |
Read second-factor authentication method configuration |
对多因素身份验证方法配置执行读取操作。 |
manageEnrollMFAMethodAnyUser |
Manage second-factor authentication enrollment for all users |
管理任何用户的多因素身份验证(MFA)方法注册。 |
manageEnrollMFAMethod |
Manage own second-factor authentication enrollment |
允许用户针对 MFA 方法管理其自己的注册。 |
readEnrollMFAMethodAnyUser |
Read second-factor authentication enrollment for all users |
读取任何用户的 MFA 方法注册信息。 |
readEnrollMFAMethod |
Read own second-factor authentication enrollment |
允许用户针对 MFA 方法读取其自己的注册。 |
authnAnyUser |
Authenticate any user |
验证任何用户。 |
authn |
Authenticate yourself |
请验证您的身份。 |
manageAuthenticatorsConfig |
Manage authenticator configuration |
管理身份验证器配置。 |
readAuthenticatorsConfig |
Read authenticator configuration |
读取身份验证器配置。 |
manageAuthenticatorsAnyUser |
Manage authenticator registrations for all users |
代表其他用户管理身份验证器的注册。 |
manageAuthenticators |
Manage authenticator registrations for yourself |
管理当前已认证用户的身份验证器注册信息。 |
readAuthenticatorsAnyUser |
Read authenticator registrations for all users |
代表任何其他用户读取身份验证器的注册信息。 |
readAuthenticators |
Read authenticator registrations for yourself |
读取当前已认证用户的身份验证器注册信息。 |
manageUserGroups |
Manage users and groups |
对 SCIM 中的用户和组(不包括管理员组)执行创建、查询、更新和删除操作。 |
readUserGroups |
Read users and groups |
对 SCIM 中的用户和组执行读取操作,但管理员组除外。 |
manageAllUserGroups |
Synchronize users and groups |
在 SCIM 中对用户和组执行创建、查询、更新和删除操作,且不受修改联合用户以及将其分配给常规非保留组的限制。 |
manageUserStandardGroups |
Manage users and standard groups |
允许对用户和标准组执行创建、查询、更新和删除操作,但不允许修改或删除保留组。 |
manageAdminGroup |
Manage administrator group |
将用户添加到管理员组或从管理员组中移除。 |
readAdminGroup |
Read administrator group |
读取管理员组中的用户。 |
managePwdPolicy |
Manage password policy |
对租户的密码策略执行创建、查询、更新和删除操作。 |
readPwdPolicy |
Read password policy |
对租户的密码策略执行读取操作。 |
AnalyticsDataSyncToCloud |
Sync data from Analytics Bridge to Cloud |
通过 API 将某个租户的 On-premCloudant® 数据库与 ApolloCloudant 数据库进行数据同步。 |
AnalyticsSatelliteOnBoard |
Onboard Analytics Bridge |
仅执行从本地到IBM Verify...的绑定。 |
readOidcGrants |
Read OAuth tokens |
阅读 OIDC 拨款信息。 |
manageOidcGrants |
Manage OAuth tokens |
对 OIDC 授权执行创建、查询、更新和删除操作。 |
recoverUsername |
Recover user name |
执行用户名恢复。 |
manageFederations |
Manage federations |
管理 SAML 和OIDC联合身份验证。 |
readFederations |
Read federations |
阅读《 SAML 》和 OIDC 联合身份认证。 |
resetPassword |
Reset password |
执行重置密码。 |
manageAppAccessAdmin |
Manage application lifecycle |
对应用程序执行创建、查询、更新和删除操作。 |
manageAppAccessOwner |
Manage application entitlements |
在应用程序中添加和删除权限。 |
manageSubscriptions |
Manage subscriptions |
对 ISC 订阅执行管理操作。 |
manageAccessPolicies |
Manage access policies |
在身份验证服务策略库和风险服务中对策略执行创建、查询、更新和删除操作。 |
readAccessPolicies |
Read access policies |
请阅读“身份验证服务策略库”和“风险服务”中的策略。 |
managePushCreds |
Manage push notification credentials |
执行创建、查询、更新和删除操作,以管理自定义的推送通知凭据。 |
readPushCreds |
Read push notification credentials |
对自定义存储的推送通知凭据执行读取操作。 |
manageAccessRequest |
Manage access request |
阅读并修改我的访问请求。 |
manageAccessWorkflow |
Manage access request work flows |
添加/修改访问请求工作流。 |
manageAccessRequestActivities |
Manage my activities to approve or reject access requests |
查看和管理我的活动。 批准或拒绝访问请求。 |
manageApprovalActivities |
Manage my activities to approve or reject requests |
查看和管理我的活动。 批准或拒绝请求。 |
readOidcConsents |
Read OAuth consents |
阅读 OIDC 同意书。 |
manageOidcConsents |
Manage OAuth consents |
对 OIDC 同意进行创建、查询、更新和删除操作。 |
readReports |
Read reports |
查看身份验证活动、应用程序使用情况、用户活动以及管理员活动报告。 查看定期报告的时间表。 |
manageReports |
Manage reports |
导出报告(一次性)。 管理定期报告的安排。 |
updateAnyUser |
Update any user |
对任何用户执行替换操作。 |
resetPasswordAnyUser |
Reset password of any user |
重置任何用户的密码。 |
readTenantProperties |
Read tenant properties |
读取租户的属性。 |
manageTenantProperties |
Manage tenant properties |
管理租户的属性。 |
accessAdminConsole |
Access admin console |
访问管理控制台。 |
manageAttributes |
Manage attribute sources |
对租户的属性源执行创建、查询、更新和删除操作。 |
readAttributes |
Read attribute sources |
对租户的属性源执行读取操作。 |
generateOTP |
Generate OTP |
生成一次性密码(OTP),并通过电子邮件或短信渠道发送。 |
readAppConfig |
Read application configuration |
阅读应用程序配置详情。 无法查看应用程序和应用程序 API 访问客户端的客户端密钥。 |
manageTemplates |
Manage templates and themes |
自定义模板和主题。 |
readTemplates |
Read templates and themes |
查看模板和主题。 |
readTenantSubscriptions |
read tenant subscriptions |
查看租户订阅。 |
reviewCertRecords |
Review certification records |
访问营销活动中的认证记录。 |
readEntitlements |
Read configurable entitlements |
阅读可配置权限的列表。 |
accessDevPortal |
Access developer portal |
访问开发者门户界面和微服务端点。 |
manageNotificationProviders |
Manage notification providers |
配置定制通知提供程序。 |
readNotificationProviders |
Read notification providers |
查看配置的定制通知提供程序。 |
manageCertifications |
Manage certifications |
管理访问认证。 |
readExternalAgents |
Read external agents |
读取 Native Bridge 或 LDAP 直通服务的外部代理配置。 无法查看身份代理的客户端密钥。 |
manageExternalAgents |
Manage external agents |
管理外部代理配置。 |
runExternalAgent |
Enable external agent runtime functions |
作为外部代理,其功能包括读取自身配置、连接到 CI 运行时桥接器,以及接收来自 CI 的通信。 |
manageOidcDynamicClient |
Manage OIDC client registration dynamically |
动态管理 OIDC 客户端注册。 |
viewNotifications |
View notifications |
查看“通知”图标。 |
manageProfile |
Manage profile |
查看“个人资料与设置”。 |
viewLaunchpad |
View launchpad |
允许从首页直接在当前上下文中启动应用程序。 |
requestApplications |
Request applications |
允许创建应用程序请求。 |
manageRequests |
Manage requests |
渲染“任务管理器 -> 应用请求”。 |
readPurpose |
Read privacy purposes and EULA |
请阅读隐私政策和最终用户许可协议。 |
managePurpose |
Manage privacy purposes and EULA |
管理隐私政策和最终用户许可协议。 |
manageAppPurpose |
Manage application privacy purposes |
管理应用程序的隐私用途。 |
readPrivacyConsent |
Read privacy consents |
阅读隐私同意书。 |
managePrivacyConsent |
Manage privacy consents |
管理隐私许可。 |
readPrivacyPolicy |
Read privacy rules and policy |
阅读隐私规则和政策。 |
managePrivacyPolicy |
Manage privacy rules and policy |
管理隐私规则和政策。 |
createPrivacyConsent |
Create privacy consent records |
创建隐私同意记录。 |
performDSP |
Retrieve privacy purposes and associated user's consent |
检索隐私目的及相关用户的同意。 |
performDUA |
Check for data usage approval |
请确认数据使用是否已获批准。 |
certCampaignSupervisor |
Monitor certification campaigns |
监控访问认证活动。 |
managePwdVaultAnyUser |
Manage password vault for all users |
管理存储在密码库中的任何用户的凭据信息。 |
managePwdVault |
Manage own password vault |
管理存储在密码库中的凭据信息。 |
readPwdVaultAnyUser |
Read password vault for all users |
检索存储在密码库中的任何用户的凭据信息。 |
readPwdVault |
Read own password vault |
从密码库中检索自己的凭据信息。 |
managePwdVaultConfig |
Manage password vault configuration |
更新密码库的配置。 |
readPwdVaultConfig |
Read password vault configuration |
检索密码库的配置。 |
mfaPush |
Send second-factor push notifications |
针对多因子认证发送推送通知。 |
readPrivacyProfile |
Read privacy profiles |
阅读隐私声明。 |
managePrivacyProfile |
Manage privacy profiles |
管理隐私配置文件。 |
manageEntitlements. |
Manage entitlements |
管理管理员和应用程序的权限。 |
manageDevicesAnyUser |
Manage devices for all users |
管理所有用户的设备。 |
readDevicesAnyUser |
Read devices for all users |
读取所有用户的设备。 |
manageDevices |
Manage only your devices |
仅管理您的设备。 |
readDevices |
Read only your devices |
仅读取您的设备。 |
manageUsersPwdReset |
Manages users and their pwdReset attribute |
管理用户及其 pwdReset 属性。 |
manageRecaptcha |
Manage reCAPTCHA configuration |
对 reCAPTCHA 配置执行创建、查询、更新和删除操作。 |
readRecaptcha |
Read reCAPTCHA configuration |
对 reCAPTCHA 配置执行读取操作。 |
manageLoginSessions |
Manage login sessions |
管理登录会话。 |
readSelfPrivacyConsent |
Read your privacy consents |
请阅读您的隐私同意书。 |
manageSelfPrivacyConsent |
Manage your privacy consents |
管理您的隐私同意设置。 |
readSelfOidcGrants |
Read your OIDC and OAuth grants |
请仔细阅读您的 OIDC 拨款文件。 |
manageSelfOidcGrants |
Manage your OIDC and OAuth grants |
对您的 OIDC 授权执行 CRUD 操作。 |
readAppPrivacyConsent |
Read the privacy consents of the applications that you own |
请阅读您所拥有的应用程序的隐私同意条款。 |
manageRelyingParty |
Manage relying party configuration |
对受托方配置执行创建、查询、更新和删除操作。 |
readRelyingParty |
Read relying party configuration |
对依赖方配置执行读取操作。 |
manageWebhooks |
Manage Webhooks |
对 webhook 配置执行创建、查询、更新和删除操作。 |
readWebhooks |
Read Webhooks |
阅读 webhook 配置。 |
readSTSClients |
Read STS clients and token types |
阅读 STS 客户端和令牌类型。 无法查看 STS 客户端的客户端密钥。 |
manageSTSClients |
Manage STS clients and token types |
对 STS 客户端和令牌类型执行创建、检索、更新和删除操作。 |
manageVerifiableLinks |
Manage Verifiable Links configuration |
对可验证链接的配置执行管理操作。 |
manageMyOrg |
Manage my organization |
查看和管理我的下属。 |
readAccessAsManager |
View accesses of the reportees |
查看报告员工的现有访问权限和可申请的访问权限。 |
manageAccessAsManager |
Manage accesses of the reportees |
管理报告员工的现有访问权限。 |
readOidcAppGrants |
Read OIDC and OAuth application grants |
阅读 OIDC 项目资助申请 |
manageOidcAppGrants |
Manage OIDC and OAuth application grants |
对 OIDC 应用程序授权执行 CRUD 操作 |
readPrivacyConsentProvider |
Read privacy consent providers |
读取外部同意提供商的配置 |
managePrivacyConsentProvider |
Manage privacy consent providers |
对同意提供者执行 CRUD 操作 |
createSamlAliases |
Create SAML aliases |
创建 SAML 持久名称标识符别名 |
readEmailSuppressionList |
Read email suppression list |
读取电子邮件屏蔽列表 |
manageEmailSuppressionList |
Manage email suppression list |
管理电子邮件屏蔽列表 |
badgeManageAny |
Manage badge configurations for the tenant |
管理徽章配置 |
badgeReadAny |
Read badge configurations for the tenant |
读取租户的徽章配置 |
listSessions |
List all sessions for a user |
列出用户的全部会话 |
revokeSession |
Revoke a session for a user |
撤销用户的会话 |
revokeAllSessions |
Revoke all sessions for a user |
撤销用户的全部会话 |
readTraceLogs |
Read trace logs |
读取跟踪日志 |
readFlows |
Read flows |
读取流 |
manageFlows |
Manage flows |
管理流程 |
readSMSProviders |
Read external SMS provider configuration |
读取外部短信服务提供商的配置 |
manageSMSProviders |
Manage external SMS provider configuration |
管理外部短信服务提供商的配置 |
manageIAGConfigAny |
Manage any external IAG configuration |
管理任何外部 IAG 配置 |
readIAGConfigAny |
Read any external IAG configuration |
读取任何外部 IAG 配置 |
readIAGDeployBundleAny |
Export any external IAG deploy bundle |
导出任何外部 IAG 部署包 |
readUsers |
Read all users but not group memberships |
对所有用户执行读取操作,但不包括用户的组成员身份。 |
readUsersGroupMembership |
Read all users and group memberships |
对所有用户和组成员身份执行读取操作。 |
readUsersStandardGroupMembership |
Read all users and standard group memberships |
仅对所有用户执行读取操作,且仅查看标准组的成员资格。 |
manageUsers |
Manage all users |
对所有用户执行创建、查询、更新和删除操作。 |
manageUsersInStandardGroups |
Manage users in standard groups |
仅对标准组中的用户执行创建、查询、更新和删除操作。 |
readGroups |
Read all groups but not their members |
对所有组执行读取操作,但不针对组成员。 |
readStandardGroups |
Read standard groups but not their members |
仅对标准组执行读取操作,而不对标准组的成员执行读取操作。 |
readGroupMembers |
Read all groups and their members |
对所有组及其成员执行读取操作。 |
readStandardGroupMembers |
Read standard groups and their members |
仅对所有标准组及其成员执行读取操作。 |
manageGroups |
Manage all groups but not their members |
对所有组执行创建、查询、更新和删除操作,但不针对组成员。 |
manageStandardGroups |
Manage standard groups but not their members |
对所有标准组执行创建、查询、更新和删除操作,但不针对标准组的成员。 |
manageGroupMembers |
Manage all groups and their members |
对所有组及其成员执行创建、查询、更新和删除操作。 |
manageStandardGroupMembers |
Manage standard groups and their members |
仅对标准组和标准组成员执行创建、查询、更新和删除操作。 |
readDynamicGroups |
Read all dynamic groups |
读取所有动态组。 |
manageDynamicGroups |
Manage all dynamic groups |
管理所有动态组。 |
readDynamicGroupsOfUsers |
Read dynamic groups of all users |
读取所有用户的动态组。 |
manageDynamicGroupsofUsers |
Manage dynamic groups of all users |
管理所有用户的动态组。 |
readAppConfigAndClientSecret |
Read application configuration with the client secret |
阅读“应用程序”和“应用程序 API 访问客户端”的客户端密钥。 |
readSTSClientsAndClientSecret |
Read STS clients with the client secret and token types |
使用客户端密钥和令牌类型读取 STS 客户端。 |
readAPIClientsAndClientSecret |
Read API clients with the client secret |
使用客户端密钥读取 API 客户端。 |
readExternalAgentsAndClientSecret |
Read external agents with the client secret |
读取身份代理的客户端密钥。 |
updateAnyGroupMember |
Manage the membership of groups |
管理群组的成员。 |
manageIdentityFeed |
Manage identity feed |
管理身份信息流。 |
readIdentityFeed |
Read identity feed information |
读取身份信息流。 |
readSelfProfile |
Read your user profile |
查看您的用户资料信息。 |
manageSelfProfile |
Manage your user profile |
修改您的用户资料信息。 |
readAuthDetailTypes |
Read authorization detail types |
阅读授权详细类型信息。 |
manageAuthDetailTypes |
Manage authorization detail types |
对授权详细信息类型执行 CRUD 操作。 |
manageEmailNotificationDomainAuth |
Manage email notification domain authentication |
执行自定义电子邮件域名的注册、验证、查看和删除操作。 |
manageAllBadges |
View, Revoke, Retry "Issued Badges" |
查看、撤销和重试“已发放的徽章”。 |
readAllBadges |
View "Issued Badges" dashboard |
查看 “已发放徽章 ”仪表板。 |
badgeManageAny |
Create, edit, and view Badge Configuration |
创建、编辑和查看徽章配置。 |
badgeReadAny |
View Badge Configuration |
查看徽章配置。 |
manageSmsVoiceOtpSuppressionList |
Manage SMS and voice OTP suppression list |
全面管理短信和语音一次性密码(OTP)屏蔽列表,包括创建、更新、删除和查看条目。 |
readSmsVoiceOtpSuppressionList |
Read SMS and voice OTP suppression list |
查看短信和语音一次性密码(OTP)屏蔽列表。 |
注意:
为了查看所有用户的列表并查看特定用户的活动记录,管理员需要拥有下列权限中的一项或多项:
readUserGroupsmanageUserGroupsmanageAllUserGroupsmanageUserStandardGroups
此外,管理员可能需要下列列表中的一项或多项通用权限:
tenantadmin(组成员admin只能通过调用 API 来分配)。reserved_appowner(该成员属于application owners某个组,或者只能通过调用 API 进行分配)。