访问权利

在线编辑

IBM® Verify 身份验证服务的外部 API 受 OAuth 访问令牌保护。 此外,根据权利授予对每个 API 的访问权,可进一步确保安全。

权利是一种细颗粒度形式的许可权控制,可限制或最小化有效访问令牌的访问权范围。 权利与 OAuth 客户机标识和密钥关联,用于获取访问令牌。 运行时访问令牌从其关联客户机派生其权利。

管理员可以向 API 客户机授予以下权利。 使用描述来确定将哪些权利分配给 API 客户机。 有关 API 客户端的更多信息,请参阅 IBMSecurity® Verify 文档中心
表 1. 权利
权利 姓名 描述
manageDeployment Manage deployment 修改总体服务配置。
manageCerts Manage certificates 对租户的个人证书和可信证书执行创建,检索,更新和删除操作。
readCerts Read certificates 对租户的个人证书和可信证书执行读操作。
manageAPIClients Manage API clients 对租户的 API 客户机执行创建,检索,更新和删除操作。
readAPIClients Read API clients 对租户的 API 客户机执行读操作。 无法查看 API 客户端的客户秘密。
manageIdentitySources Manage identity providers 对租户的身份源执行创建,检索,更新和删除操作。
readIdentitySources Read identity providers 对租户的身份源执行读操作。
manageMFAMethods Manage second-factor authentication method configuration 对 MFA 认证方法配置执行创建,检索,更新和删除操作。
readMFAMethods Read second-factor authentication method configuration 对 MFA 认证方法配置执行读操作。
manageEnrollMFAMethodAnyUser Manage second-factor authentication enrollment for all users 管理任何用户的 MFA 方法的注册。
manageEnrollMFAMethod Manage own second-factor authentication enrollment 允许用户针对 MFA 方法管理其自己的注册。
readEnrollMFAMethodAnyUser Read second-factor authentication enrollment for all users 读取任何用户的 MFA 方法注册。
readEnrollMFAMethod Read own second-factor authentication enrollment 允许用户针对 MFA 方法读取其自己的注册。
authnAnyUser Authenticate any user 认证任何用户。
authn Authenticate yourself 自行认证。
manageAuthenticatorsConfig Manage authenticator configuration 管理认证程序配置。
readAuthenticatorsConfig Read authenticator configuration 读取鉴别符配置。
manageAuthenticatorsAnyUser Manage authenticator registrations for all users 代表任何其他用户管理认证程序注册。
manageAuthenticators Manage authenticator registrations for yourself 管理当前已认证用户的认证程序注册。
readAuthenticatorsAnyUser Read authenticator registrations for all users 代表任何其他用户读取认证程序注册。
readAuthenticators Read authenticator registrations for yourself 读取当前已认证用户的认证程序注册。
manageUserGroups Manage users and groups 对 SCIM 中的用户和组 (不包括管理组) 执行创建,检索,更新和删除操作。
readUserGroups Read users and groups 对 SCIM 中的用户和组 (不包括管理组) 执行读操作。
manageAllUserGroups Synchronize users and groups 对 SCIM 中的用户和组执行创建,检索,更新和删除操作,而不限制修改联合用户并将其分配给常规非保留组。
manageUserStandardGroups Manage users and standard groups 对用户和标准组执行创建,检索,更新和删除操作,但不允许修改或删除保留组。
manageAdminGroup Manage administrator group 在管理组中添加和除去用户。
readAdminGroup Read administrator group 读取管理组中的用户。
managePwdPolicy Manage password policy 对租户的密码策略执行创建,检索,更新和删除操作。
readPwdPolicy Read password policy 对租户的密码策略执行读操作。
AnalyticsDataSyncToCloud Sync data from Analytics Bridge to Cloud 通过 API 为租户执行从内部 Cloudant® 数据库到 Apollo Cloudant 数据库的数据同步。
AnalyticsSatelliteOnBoard Onboard Analytics Bridge 仅执行从内部部署到 IBM Verify 的绑定。
readOidcGrants Read OAuth tokens 阅读 OIDC 授权。
manageOidcGrants Manage OAuth tokens 对 OIDC 授权执行创建,检索,更新和删除操作。
recoverUsername Recover user name 执行用户名恢复。
manageFederations Manage federations 管理 SAML 和 OIDC 联合。
readFederations Read federations 读取 SAML 和 OIDC 联合。
resetPassword Reset password 执行重置密码。
manageAppAccessAdmin Manage application lifecycle 对应用程序执行创建,检索,更新和删除操作。
manageAppAccessOwner Manage application entitlements 添加和除去应用程序上的权利。
manageSubscriptions Manage subscriptions 对 ISC 预订执行管理操作。
manageAccessPolicies Manage access policies 对认证服务策略保险库和风险服务中的策略执行创建,检索,更新和删除操作。
readAccessPolicies Read access policies 读取认证服务策略保险库文件和风险服务中的策略。
managePushCreds Manage push notification credentials 执行创建,检索,更新和删除操作以管理定制存储的推送通知凭证。
readPushCreds Read push notification credentials 对定制存储的推送通知凭证执行读操作。
manageAccessRequest Manage access request 读取并编辑我的访问请求。
manageAccessWorkflow Manage access request work flows 添加/修改访问权请求工作流程。
manageAccessRequestActivities Manage my activities to approve or reject access requests 查看和管理我的活动。 核准或拒绝访问请求。
manageApprovalActivities Manage my activities to approve or reject requests 查看和管理我的活动。 核准或拒绝请求。
readOidcConsents Read OAuth consents 读取 OIDC 同意。
manageOidcConsents Manage OAuth consents 对 OIDC 同意执行创建,检索,更新和删除操作。
readReports Read reports 查看认证活动,应用程序使用情况,用户活动和管理活动报告。 查看重现报告的调度。
manageReports Manage reports 导出报告 (一次性)。 管理重现报告的调度。
updateAnyUser Update any user 对任何用户执行替换操作。
resetPasswordAnyUser Reset password of any user 重置任何用户的密码。
readTenantProperties Read tenant properties 读取租户的属性。
manageTenantProperties Manage tenant properties 管理租户的属性。
accessAdminConsole Access admin console 访问管理控制台。
manageAttributes Manage attribute sources 对租户的属性源执行创建,检索,更新和删除操作。
readAttributes Read attribute sources 对租户的属性源执行读操作。
generateOTP Generate OTP 生成 OTP 并通过电子邮件或 SMS 通道进行交付。
readAppConfig Read application configuration 阅读应用程序配置详细信息。 无法查看应用程序和应用程序 API 访问客户端的客户端秘密。
manageTemplates Manage templates and themes 定制模板和主题。
readTemplates Read templates and themes 查看模板和主题。
readTenantSubscriptions read tenant subscriptions 查看租户预订。
reviewCertRecords Review certification records 访问营销活动中的认证记录。
readEntitlements Read configurable entitlements 阅读可配置权利的列表。
accessDevPortal Access developer portal 访问 Developer Portal UI 和微服务端点。
manageNotificationProviders Manage notification providers 配置定制通知提供程序。
readNotificationProviders Read notification providers 查看配置的定制通知提供程序。
manageCertifications Manage certifications 管理访问认证。
readExternalAgents Read external agents 读取本机网桥或 Ldap Pass-Thru 服务的外部代理程序配置。 无法查看身份代理的客户秘密。
manageExternalAgents Manage external agents 管理外部代理程序配置。
runExternalAgent Enable external agent runtime functions 执行外部代理程序的功能包括读取其自己的配置,连接到 CI 运行时网桥,接收来自 CI 的通信。
manageOidcDynamicClient Manage OIDC client registration dynamically 动态管理 OIDC 客户机注册。
viewNotifications View notifications 查看 "通知" 图标。
manageProfile Manage profile 查看 "概要文件和设置"。
viewLaunchpad View launchpad 允许从登录页面启动上下文应用程序。
requestApplications Request applications 允许创建应用程序请求。
manageRequests Manage requests 呈现 "任务管理器-> 应用程序请求"。
readPurpose Read privacy purposes and EULA 阅读隐私目的和 EULA。
managePurpose Manage privacy purposes and EULA 管理隐私目的和 EULA。
manageAppPurpose Manage application privacy purposes 管理应用程序隐私目的。
readPrivacyConsent Read privacy consents 阅读隐私同意。
managePrivacyConsent Manage privacy consents 管理隐私许可。
readPrivacyPolicy Read privacy rules and policy 阅读隐私规则和策略。
managePrivacyPolicy Manage privacy rules and policy 管理隐私规则和策略。
createPrivacyConsent Create privacy consent records 创建隐私同意记录。
performDSP Retrieve privacy purposes and associated user's consent 检索隐私目的和关联用户的同意。
performDUA Check for data usage approval 检查数据使用情况核准。
certCampaignSupervisor Monitor certification campaigns 监视访问权认证营销活动。
managePwdVaultAnyUser Manage password vault for all users 管理存储在任何用户的密码保险库中的凭证信息。
managePwdVault Manage own password vault 管理存储在密码保险库中的凭证信息。
readPwdVaultAnyUser Read password vault for all users 检索任何用户的密码保险库中存储的凭证信息。
readPwdVault Read own password vault 从密码保险库中检索自己的凭证信息。
managePwdVaultConfig Manage password vault configuration 更新密码保险库的配置。
readPwdVaultConfig Read password vault configuration 检索密码保险库的配置。
mfaPush Send second-factor push notifications 针对多因子认证发送推送通知。
readPrivacyProfile Read privacy profiles 读取隐私概要文件。
managePrivacyProfile Manage privacy profiles 管理隐私概要文件。
manageEntitlements. Manage entitlements 管理管理权利和应用程序权利。
manageDevicesAnyUser Manage devices for all users 管理所有用户的设备。
readDevicesAnyUser Read devices for all users 读取所有用户的设备。
manageDevices Manage only your devices 仅管理您的设备。
readDevices Read only your devices 只读设备。
manageUsersPwdReset Manages users and their pwdReset attribute 管理用户及其 pwdReset 属性。
manageRecaptcha Manage reCAPTCHA configuration 对 reCAPTCHA 配置执行创建,检索,更新和删除操作。
readRecaptcha Read reCAPTCHA configuration 对 reCAPTCHA 配置执行读操作。
manageLoginSessions Manage login sessions 管理登录会话。
readSelfPrivacyConsent Read your privacy consents 阅读您的隐私同意。
manageSelfPrivacyConsent Manage your privacy consents 管理您的隐私同意。
readSelfOidcGrants Read your OIDC and OAuth grants 阅读您的 OIDC 授权。
manageSelfOidcGrants Manage your OIDC and OAuth grants 对 OIDC 授权执行 CRUD 操作。
readAppPrivacyConsent Read the privacy consents of the applications that you own 阅读您拥有的应用程序的隐私同意。
manageRelyingParty Manage relying party configuration 对依赖方配置执行创建,检索,更新和删除操作。
readRelyingParty Read relying party configuration 对依赖方配置执行读操作。
manageWebhooks Manage Webhooks 对 Webhook 配置执行创建,检索,更新和删除操作。
readWebhooks Read Webhooks 读取 Webhook 配置。
readSTSClients Read STS clients and token types 读取 STS 客户机和令牌类型。 无法查看 STS 客户端的客户秘密。
manageSTSClients Manage STS clients and token types 对 STS 客户机和令牌类型执行创建,检索,更新和删除操作。
manageVerifiableLinks Manage Verifiable Links configuration 对可验证链接的配置执行管理操作。
manageMyOrg Manage my organization 查看和管理我的报告者。
readAccessAsManager View accesses of the reportees 查看报告员工的现有访问权和可请求访问权。
manageAccessAsManager Manage accesses of the reportees 管理报告员工的现有访问权。
readOidcAppGrants Read OIDC and OAuth application grants 读取 OIDC 应用程序授权
manageOidcAppGrants Manage OIDC and OAuth application grants 对 OIDC 应用程序授权执行 CRUD 操作
readPrivacyConsentProvider Read privacy consent providers 读取外部同意提供程序配置
managePrivacyConsentProvider Manage privacy consent providers 对同意提供程序执行 CRUD 操作
createSamlAliases Create SAML aliases 创建 SAML 持久名称标识别名
readEmailSuppressionList Read email suppression list 阅读电子邮件屏蔽列表
manageEmailSuppressionList Manage email suppression list 管理电子邮件屏蔽列表
badgeManageAny Manage badge configurations for the tenant 管理徽章配置
badgeReadAny Read badge configurations for the tenant 读取租户的徽章配置
listSessions List all sessions for a user 列出用户的所有会话
revokeSession Revoke a session for a user 取消用户的会话
revokeAllSessions Revoke all sessions for a user 取消用户的所有会话
readTraceLogs Read trace logs 读取跟踪日志
readFlows Read flows 读取流
manageFlows Manage flows 管理流
readSMSProviders Read external SMS provider configuration 阅读外部短信提供商配置
manageSMSProviders Manage external SMS provider configuration 管理外部短信服务提供商的配置
manageIAGConfigAny Manage any external IAG configuration 管理任何外部IAG配置
readIAGConfigAny Read any external IAG configuration 读取任何外部IAG配置
readIAGDeployBundleAny Export any external IAG deploy bundle 导出任何外部 IAG 部署包
readUsers Read all users but not group memberships 对所有用户执行读取操作,但不包括用户所属的组。
readUsersGroupMembership Read all users and group memberships 对所有用户和组成员身份进行读取操作。
readUsersStandardGroupMembership Read all users and standard group memberships 仅对所有用户执行读取操作,且仅查看标准组中的成员资格。
manageUsers Manage all users 对所有用户执行创建、检索、更新和删除操作。
manageUsersInStandardGroups Manage users in standard groups 仅对标准组中的用户执行创建、检索、更新和删除操作。
readGroups Read all groups but not their members 对所有组执行读取操作,但不包括组成员。
readStandardGroups Read standard groups but not their members 仅对标准组执行读取操作,不对标准组成员执行读取操作。
readGroupMembers Read all groups and their members 对所有组和组员执行读取操作。
readStandardGroupMembers Read standard groups and their members 仅对所有标准组和标准组成员执行读取操作。
manageGroups Manage all groups but not their members 对所有组执行创建、检索、更新和删除操作,但不能对组成员执行这些操作。
manageStandardGroups Manage standard groups but not their members 对所有标准组执行创建、检索、更新和删除操作,但不能对标准组成员执行这些操作。
manageGroupMembers Manage all groups and their members 对所有组和组员执行创建、检索、更新和删除操作。
manageStandardGroupMembers Manage standard groups and their members 仅对标准组和标准组成员执行创建、检索、更新和删除操作。
readDynamicGroups Read all dynamic groups 阅读所有动态组。
manageDynamicGroups Manage all dynamic groups 管理所有动态组。
readDynamicGroupsOfUsers Read dynamic groups of all users 读取所有用户的动态组。
manageDynamicGroupsofUsers Manage dynamic groups of all users 管理所有用户的动态群组。
readAppConfigAndClientSecret Read application configuration with the client secret 读取应用程序和应用程序 API 访问客户端的客户端秘密。
readSTSClientsAndClientSecret Read STS clients with the client secret and token types 读取 STS 客户端的客户秘密和令牌类型。
readAPIClientsAndClientSecret Read API clients with the client secret 使用客户秘密读取 API 客户。
readExternalAgentsAndClientSecret Read external agents with the client secret 阅读身份代理的客户秘密。
updateAnyGroupMember Manage the membership of groups 管理群组成员。
manageIdentityFeed Manage identity feed 管理身份信息源。
readIdentityFeed Read identity feed information 阅读身份馈送信息。
注意:

为了查看所有用户的列表和定义特定用户的活动,管理员需要以下列表中的一个或多个权限:

  • readUserGroups
  • manageUserGroups
  • manageAllUserGroups
  • manageUserStandardGroups

此外,管理员可能需要以下列表的一个或多个常规许可权:

  • tenantadmin (只能通过 API 调用调用来分配 admin 组的成员)。
  • reserved_appowner ( application owners 组的成员,或者只能通过 API 调用调用对其进行分配)。