权限的安全更新

在线编辑

了解福利待遇的最新变化。

对现有 OIDC 客户端配置权限的修改

拥有 readOICD “客户端配置权限”的用户无法查看相应 OIDC 客户端的客户端密钥。

以下列表说明了已变更的权益。

  • readAppConfig 无法查看应用程序和应用程序 API 访问客户端的客户端密钥。
  • readSTSClients 无法查看 STS 客户端的客户端密钥。
  • readAPIClients 无法查看 API 客户端的客户端密钥。
  • readExternalAgents 无法查看身份代理的客户端密钥。

新增读取 OIDC 客户端配置和客户端密钥授权的权限

拥有“读取 OIDC 客户端配置”和“客户端密钥”权限的用户可以查看相应 OIDC 客户端的客户端密钥。

以下列表说明了福利资格的变更

  • readAppConfigAndClientSecret 可以查看应用程序和应用程序 API 访问客户端的客户端密钥。
  • readSTSClientsAndClientSecret 可以查看 STS 客户端的客户端密钥。
  • readAPIClientsAndClientSecret 可以查看该 API 客户端的客户端密钥。
  • readExternalAgentsAndClientSecret 可以查看身份代理的客户端密钥。

现有 OIDC 权限的管理方式保持不变

拥有“管理 OIDC 客户端配置”权限的用户可以管理相应的 OIDC 客户端并查看客户端密钥。

以下列表说明了福利资格的变更

  • manageAppAccessAdmin 可以管理应用程序,并查看应用程序及应用程序 API 访问客户端的客户端密钥。
  • manageSTSClients 可以管理 STS 客户端并查看该 STS 客户端的客户端密钥。
  • manageAPIClients 可以管理 API 客户端及其客户端密钥。
  • manageExternalAgents 可以管理身份代理及其文本客户端密钥。

即用型角色的更新

租户管理员
readExternalAgentsAndClientSecretreadAPIClientsAndClientSecretreadSTSClientsAndClientSecretreadAppConfigAndClientSecret此角色新增的权限包括、、和。
技术支持
此角色新增的权限包括 readAppConfigAndClientSecretreadExternalAgentsAndClientSecret。 该角色仍可查看应用程序、应用程序 API 访问客户端以及身份代理的客户端密钥。
只读
readExternalAgentsAndClientSecretreadAPIClientsAndClientSecretreadSTSClientsAndClientSecretreadAppConfigAndClientSecret此角色新增的权限包括、、和。 该角色仍可查看应用程序、应用程序 API 访问客户端、STS 客户端、API 客户端以及身份代理的客户端密钥。
PrivacyOfficer
为该角色新增的此项权限, readAppConfigAndClientSecret 是为了使其能够继续查看应用程序及应用程序 API 访问客户端的客户端密钥。

致使用自定义管理员角色的客户的通知

表 1. 要添加到自定义管理员角色的权限
权利 描述
readAppConfigAndClientSecret 添加此项,以便管理员可以查看应用程序和应用程序 API 访问客户端的客户端密钥。
readSTSClientsAndClientSecret 添加此项,以便管理员可以查看 STS 客户端的客户端密钥。
readAPIClientsAndClientSecret 添加此项以便管理员可以查看 API 客户端的客户端密钥。
readExternalAgentsAndClientSecret 添加管理员,使其能够查看身份代理的客户端密钥。

API 变更

表 2. 要添加到自定义管理员角色的权限
权利 描述
应用程序 获取 https://{tenanturl}/v1.0/applications/{applicationId}.
如果您使用该 readAppConfig 授权调用此 API,该授权中不包含 clientSecret 该字段。
  • clientSecret此举增强了安全性,允许读取应用程序配置,同时不会显示.
  • clientSecret目前仅持有该权限 readAppConfig 的客户无法查看该内容。
  • 如果需要 clientSecret ,请使用 或 readAppConfigAndClientSecret 权限 manageAppAccessAdmin 来调用此 API。

clientSecret如果您使用 或 readAppConfigAndClientSecret 调用此 API, manageAppAccessAdmin 授权响应中将包含。
STS 客户端
  1. 获取 https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. 如果您调用此 API,响应中将不包含 clientSecret 该字段。
    • 此举可增强安全性,防止在 API 调用中泄露 STS 客户端的密钥。
    • clientSecret使用此 API 的客户无法看到该内容。
    • 如果需要 clientSecret ,请使用 或 readSTSClientsAndClientSecret 权限 manageSTSClients 调用 GET https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId} API,以获取特定 STS 客户端的客户端密钥。
  2. 获取 https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.

    如果您使用授权响应调用此 API,该 readSTSClients 响应中将不包含 clientSecret 该字段。

    • clientSecret这为读取 STS 客户端配置提供了额外的安全保障,同时不会泄露.
    • clientSecretreadSTSClients使用此 API 的客户无法看到该内容。
    • manageSTSClients 如果需要 clientSecret ,请使用 或 权限 readSTSClientsAndClientSecret 来调用此 API。

    clientSecretreadSTSClientsAndClientSecret如果您使用 调用此 API, manageSTSClients 或者授权响应中包含。
API 客户机
  1. GET https://{tenanturl}/v1.0/apiclients

    如果您调用此 API,其响应中不包含 clientSecret 该字段。

    • 此举可增强安全性,避免在 API 调用中泄露 API 客户端的客户端密钥。
    • clientSecret使用此 API 的客户无法看到该内容。
    • 如果需要 clientSecret ,请使用 或 readAPIClientsAndClientSecret 权限 manageAPIClients 调用 GET https://{tenanturl}/v1.0/apiclients/{clientId} API,以获取特定 API 客户端的客户端密钥。
  2. GET https://{tenanturl}/v1.0/apiclients/{clientId}

    如果您使用 readAPIClients 调用此 API,则该请求不包含 字段 clientSecret

    • clientSecret这为读取 API 的客户端配置增加了安全性,同时不会泄露.
    • clientSecret仅拥有该权限 readAPIClients 的客户无法查看该内容。
    • manageAPIClients 如果需要 clientSecret ,请使用 或 权限 readAPIClientsAndClientSecret 来调用此 API。

    manageAPIClients 如果您使用 或 权限 readAPIClientsAndClientSecret 调用此 API,它将调用此 API。

  3. GET https://{tenanturl}/v1.0/apiclients/{clientId}/credentials

    readAPIClients 权限无法调用此 API。

    • clientSecret这为读取 API 的客户端配置增加了安全性,同时不会泄露.
    • clientSecret仅拥有该权限 readAPIClients 的客户无法查看该内容。
    • manageAPIClients 如果需要 clientSecret ,请使用 或 权限 readAPIClientsAndClientSecret 来调用此 API。

    调用此 API 需要 或 的 readAPIClientsAndClientSecretmanageAPIClients 权限。
身份代理程序
  1. GET https://{tenanturl}/config/v1.0/onpremagents/{id}/apicreds

    readExternalAgents 权限无法调用此 API。

    • clientSecret这为读取身份代理客户端配置提供了额外的安全保障,同时不会泄露.
    • clientSecret拥有该 readExternalAgents 权限并使用此 API 的客户无法查看该内容。
    • manageExternalAgents 如果需要 clientSecret ,请使用 或 readExternalAgentsAndClientSecret 权限来调用此 API。

    调用此 API 需要具备 manageExternalAgentsAndClientSecret 或 的权限 manageExternalAgents