Bereiche in delegierter Autorisierung verwalten
Verwenden Sie Bereiche in der delegierten Autorisierung, um den Zugriff einer Anwendung auf das Konto eines Benutzers einzuschränken. Bereiche sind Zeichenfolgenwerte, die eine zusätzliche Zugriffsschutzebene für Daten in Ressourcenservern bereitstellen, die mit einem OAuth-Zugriffs-Token verfügbar gemacht werden können.
Koppeln Sie einen Bereichsnamen (Zeichenfolgenwert) mit Daten im Ressourcenserver, und registrieren Sie dann den Bereich beim zentralen Autorisierungsserver und beim Dienstanbieter. Wenn der Dienstanbieter Daten vom Ressourcenserver anfordert, muss er ein gültiges Zugriffs-Token bereitstellen und über die Genehmigung für die Bereiche verfügen, die den Daten im Ressourcenserver zugeordnet sind.
Der folgende Prozess zeigt die Funktionsweise von Bereichen:
1. Wenn sich ein Benutzer bei einem Dienstanbieter anmeldet, autorisiert der zentrale Autorisierungsserver die Benutzeranmeldesitzung, wenn der Benutzer beim IdP authentifiziert wurde.
2. Anschließend zeigt der zentrale Autorisierungsserver dem Benutzer auch eine Seite zur Gewährungsgenehmigung an.
Auf der Seite zur Gewährungsgenehmigung werden die Ressourcen aufgelistet, die den Bereichen zugeordnet sind, die dem Dienstanbieter zur Verfügung stehen.
3. Der Benutzer entscheidet, ob der Dienstanbieter auf einige oder alle Daten im Ressourcenserver zugreifen darf.
4. Wenn er die Genehmigung erteilt, stellt der zentrale Autorisierungsserver dem Dienstanbieter ein Zugriffs-Token zur Verfügung und zeichnet die Gewährungsgenehmigung für die entsprechenden Bereiche auf.
5. Wenn ein Dienstanbieter einen Aufruf an den Ressourcenserver sendet und die geschützten Daten anfordert, sendet er das Zugriffs-Token.
6. Der·Ressourcenserver·verifiziert·das·Zugriffs-Token·bei·zentralen Autorisierungsserver. Wenn es gültig ist und der Autorisierungsserver bestätigt, dass der Benutzer dem SP die Genehmigung für die Bereiche gewährt hat, die mit der geschützten Ressource gekoppelt sind, gewährt der Ressourcenserver Zugriff auf die Daten.
Sie müssen Bereiche in mindestens drei Anwendungen in Ihrem SSO-Framework registrieren, und zwar in der folgenden Reihenfolge:
1. Zentraler Autorisierungsserver (PingFederate), der die Vertrauensbeziehung zwischen den beiden Anwendungen verwaltet
Der CAS-Administrator sollte die Bereiche notieren, die im zentralen Autorisierungsserver registriert wurden, und die Registrierung von Bereichen mit den Anwendungsadministratoren von Ressourcenserver und Dienstanbieter koordinieren.
Informationen zum Registrieren von Bereichen in PingFederate finden Sie in der PingFederate-Dokumentation.
2. Ressourcenserver, in dem sich Daten befinden
Sie müssen sich mit dem Produktadministrator koordinieren, der den Bereich im Ressourcenserver erstellt.
3. Dienstanbieter, der Daten anfordert
Sie können wählen, ob eine Untermenge der Bereiche registriert werden soll, die beim zentralen Autorisierungsserver und beim Ressourcenserver registriert wurden. Registrieren Sie in Zusammenarbeit mit dem Produktadministrator oder Anwendungsentwickler die Bereiche, die dem Dienstanbieter zur Verfügung stehen sollen.
 |
Namen von Bereichen, die in einer Anwendung registriert sind, müssen mit Bereichen übereinstimmen, die beim zentralen Autorisierungsserver registriert sind. Andernfalls kann es zu einer Sperrung von Benutzern einschließlich des Administratorkontos kommen, wenn die Anwendung die Authentifizierung über den zentralen Autorisierungsserver leitet. Wenn ein Bereich in der Anwendung falsch geschrieben ist (auch bei unterschiedlicher Groß-/Kleinschreibung) oder er nicht beim zentralen Autorisierungsserver registriert ist, kann es passieren, dass der Administrator nicht vom zentralen Autorisierungsserver authentifiziert werden kann, wenn er versucht, sich anzumelden. Wenn ein im Dienstanbieter registrierter Bereich im Autorisierungsserver nicht vorhanden ist, können sich Benutzer nicht anmelden – dies gilt auch für Administratorkonten.
Zum Beheben dieses Problems fügen Sie dem Autorisierungsserver den falsch geschriebenen oder zusätzlichen Bereich hinzu, damit sich der SP-Administrator anmelden kann. Entfernen Sie dann den problematischen Bereich aus dem SP, und löschen Sie den Bereich vom Autorisierungsserver.
|
Optimale Vorgehensweisen und Sicherheitsüberlegungen
◦ Beraten Sie sich mit Sicherheitsexperten in Ihrer Organisation, wenn Sie Verwendungsrichtlinien für Bereiche in Ihrer SSO-Bereitstellung festlegen. Sie können in jeder Anwendung in Ihrer Bereitstellung, für die ein Bereich registriert oder konfiguriert ist, bestimmte Schritte ausführen, um die Sicherheit für die ausgetauschten Daten zu erhöhen. Beispielsweise können Sie innerhalb eines Ressourcenservers mehrere Bereiche angeben, um separate Datensätze zu verwalten und eine genauere Steuerung zu ermöglichen.
◦ In der PingFederate-Produktdokumentation finden Sie spezielle Sicherheitskonfigurationen für die Verwaltung von Bereichen. Beispielsweise können Sie Bereiche so konfigurieren, dass sie separaten Zugriffs-Token zugeordnet sind.
◦ Informationen zum Sichern von Bereichen finden Sie in den OAuth-Branchenempfehlungen. Weitere Informationen finden Sie unter OAuth 2.0 Threat Model and Security Considerations.