应享权利的安全更新

在线编辑

了解权利的新变化。

更改现有的读取 OIDC 客户配置权限

拥有 "readOICD客户端配置权限的用户无法查看相应 OIDC 客户端的客户端秘密。

以下列表说明了更改后的权利。

  • readAppConfig无法查看应用程序和应用程序 API 访问客户端的客户端秘密。
  • readSTSClients无法查看 STS 客户端的客户秘密。
  • readAPIClients无法查看 API 客户端的客户秘密。
  • readExternalAgents无法查看身份代理的客户秘密。

新读取 OIDC 客户端配置和客户秘密权限

拥有读取 OIDC 客户端配置和客户秘密权限的用户可以查看相应 OIDC 客户端的客户秘密。

以下清单解释了应享权利的变化

  • readAppConfigAndClientSecret可以查看应用程序和应用程序 API 访问客户端的客户端秘密。
  • readSTSClientsAndClientSecret可以查看 STS 客户端的客户秘密。
  • readAPIClientsAndClientSecret可以查看 API 客户端的客户秘密。
  • readExternalAgentsAndClientSecret可以查看身份代理的客户秘密。

现有的 OIDC 应享权利管理没有变化

拥有管理 OIDC 客户端配置权限的用户可以管理相应的 OIDC 客户端并查看客户秘密。

以下清单解释了应享权利的变化

  • manageAppAccessAdmin可以管理应用程序,查看应用程序和应用程序 API 访问客户端的客户端秘密。
  • manageSTSClients可以管理 STS 客户端并查看 STS 客户端的客户秘密。
  • manageAPIClients可以管理 API 客户端和 API 客户端的客户秘密。
  • manageExternalAgents可以管理身份代理和身份代理的文本客户秘密。

更新随时可用的角色

租户管理员
该角色新增的权限包括 "readAppConfigAndClientSecret"、"readSTSClientsAndClientSecret"、"readAPIClientsAndClientSecret"和 "readExternalAgentsAndClientSecret"。
技术支持
该角色新增的权限是 "readAppConfigAndClientSecret和 "readExternalAgentsAndClientSecret"。 该角色可以继续查看应用程序、应用程序 API 访问客户端和身份代理的客户端机密。
只读
该角色新增的权限包括 "readAppConfigAndClientSecret"、"readSTSClientsAndClientSecret"、"readAPIClientsAndClientSecret"和 "readExternalAgentsAndClientSecret"。 该角色可以继续查看应用程序、应用程序 API 访问客户端、STS 客户端、API 客户端和身份代理的客户端机密。
PrivacyOfficer
为该角色添加的新权限是 "readAppConfigAndClientSecret,这样它就可以继续查看应用程序和应用程序 API 访问客户端的客户端秘密。

使用自定义管理员角色的客户请注意

表 1. 可添加至自定义管理员角色的权限
权利 描述
readAppConfigAndClientSecret 添加,以便管理员查看应用程序和应用程序 API 访问客户端的客户端秘密。
readSTSClientsAndClientSecret 添加,以便管理员查看 STS 客户端的客户秘密。
readAPIClientsAndClientSecret 添加,以便管理员查看 API 客户端的客户秘密。
readExternalAgentsAndClientSecret 添加管理员可以查看身份代理的客户秘密。

应用程序接口变更

表 2. 可添加至自定义管理员角色的权限
权利 描述
应用程序 GET 'https://{tenanturl}/v1.0/applications/{applicationId}.
如果使用 "readAppConfig权限调用此 API,则不包含 "clientSecret字段。
  • 这增加了安全性,允许在不查看 "clientSecret的情况下读取应用程序配置。
  • 目前仅使用 "readAppConfig权限的客户无法看到 "clientSecret
  • 如果需要 "clientSecret,请使用 "manageAppAccessAdmin或 "readAppConfigAndClientSecret权限调用此 API。

如果使用 "manageAppAccessAdmin或 "readAppConfigAndClientSecret调用该应用程序接口,权限响应将包含 "clientSecret
STS 客户端
  1. GET 'https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients. 如果调用此 API,响应将不包含 "clientSecret字段。
    • 这增加了安全性,以防止在 API 调用中显示 STS 客户端的秘密。
    • 使用此 API 的客户无法看到 "clientSecret
    • 如果 "clientSecret是必需的,则使用 "manageSTSClients或 "readSTSClientsAndClientSecret权限调用 GET "https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}应用程序接口,以获取特定 STS 客户端的客户秘密。
  2. GET 'https://{tenanturl}/oidc-mgmt/v1.0/sts/oauth/clients/{clientId}.

    如果使用 "readSTSClients权限响应调用此 API,则它不包含 "clientSecret字段。

    • 这就在不泄露 "clientSecret的情况下,增加了读取 STS 客户端配置的安全性。
    • 使用此 API 的 "readSTSClients客户无法看到 "clientSecret
    • 如果需要 "clientSecret,请使用 "manageSTSClients或 "readSTSClientsAndClientSecret权限调用此 API。

    如果使用 "manageSTSClients或 "readSTSClientsAndClientSecret调用该应用程序接口,权限响应将包含 "clientSecret
API 客户机
  1. GET https://{tenanturl}/v1.0/apiclients

    如果调用此 API 响应,它将不包含 "clientSecret字段。

    • 这增加了安全性,避免在 API 调用中显示 API 客户端的客户端秘密。
    • 使用此 API 的客户无法看到 "clientSecret
    • 如果 "clientSecret是必需的,则使用 "manageAPIClients或 "readAPIClientsAndClientSecret权限调用 GET "https://{tenanturl}/v1.0/apiclients/{clientId}API,以获取特定 API 客户端的客户秘密。
  2. GET https://{tenanturl}/v1.0/apiclients/{clientId}

    如果使用 "readAPIClients调用此 API,它将不包含 "clientSecret字段。

    • 这就在不泄露 "clientSecret的情况下,增加了读取 API 客户端配置的安全性。
    • 仅使用 "readAPIClients权限的客户无法看到 "clientSecret
    • 如果需要 "clientSecret,请使用 "manageAPIClients或 "readAPIClientsAndClientSecret权限调用此 API。

    如果使用 "manageAPIClients或 "readAPIClientsAndClientSecret权限调用此 API,则会调用此 API。

  3. GET https://{tenanturl}/v1.0/apiclients/{clientId}/credentials

    readAPIClients权限不能调用此 API。

    • 这为读取 API 客户端配置增加了安全性,而不会泄露 "clientSecret
    • 仅使用 "readAPIClients权限的客户无法看到 "clientSecret
    • 如果需要 "clientSecret,请使用 "manageAPIClients或 "readAPIClientsAndClientSecret权限调用此 API。

    调用此 API 需要 "manageAPIClients或 "readAPIClientsAndClientSecret权限。
身份代理程序
  1. GET https://{tenanturl}/config/v1.0/onpremagents/{id}/apicreds

    readExternalAgents权限不能调用此 API。

    • 这在不泄露 "clientSecret的情况下增加了读取身份代理客户端配置的安全性。
    • 使用此 API 并享有 "readExternalAgents权利的客户无法看到 "clientSecret
    • 如果需要 "clientSecret,请使用 "manageExternalAgents或 "readExternalAgentsAndClientSecret权限调用此 API。

    调用此 API 需要 "manageExternalAgents或 "manageExternalAgentsAndClientSecret权限。