Gestión de ámbitos en la autorización delegada
Utilice ámbitos en la autorización delegada para limitar el acceso de una aplicación a una cuenta de usuario. Los ámbitos son valores de cadena que proporcionan una capa adicional de protecciones de acceso para los datos de servidores de recursos que se pueden exponer con un token de acceso de OAuth.
Empareje un nombre de ámbito (valor de la cadena) con los datos en el servidor de recursos y, a continuación, registre el ámbito en el servidor de autenticación central y el proveedor de servicios. Cuando el proveedor de servicios solicita datos del servidor de recursos, debe presentar un token de acceso válido y disponer de aprobación para los ámbitos asociados a los datos del servidor de recursos.
En el siguiente proceso se muestra cómo funcionan los ámbitos:
1. Cuando un usuario se conecta a un proveedor de servicios, el servidor de autenticación central autoriza la sesión de conexión cuando el usuario se ha autenticado con el IdP.
2. A continuación, el servidor de autenticación central también presenta al usuario una página de aprobación de concesiones.
En la página de aprobación de concesiones se especifican los recursos asociados a los ámbitos disponibles para el proveedor de servicios.
3. El usuario decide si permite que el proveedor de servicios acceda a algunos o a todos los datos del servidor de recursos.
4. Si se aprueba, el servidor central de autenticación proporciona un token de acceso al proveedor de servicios y registra la aprobación de concesiones para los ámbitos adecuados.
5. Cuando un proveedor de servicios llama al servidor de recursos y solicita los datos protegidos, envía el token de acceso.
6. El servidor de recursos verifica el token de acceso con el servidor de autenticación central. Si es válido y el AS confirma que el usuario ha concedido al SP la aprobación para los ámbitos que se han emparejado con el recurso protegido, el servidor de recursos concede acceso a los datos.
Los ámbitos se deben registrar en al menos tres aplicaciones en el marco de SSO, en el siguiente orden:
1. Servidor de autenticación central (PingFederate) que gestiona la relación de confianza entre las dos aplicaciones
El administrador del servidor de autenticación central debe anotar los ámbitos que se han registrado en este último y coordinar el registro de los ámbitos con el servidor de recursos y los administradores de aplicaciones del proveedor de servicios.
Para obtener información sobre el registro de ámbitos en PingFederate, consulte la documentación de PingFederate.
2. Servidor de recursos en el que residen los datos
Se deberá coordinar con el administrador del producto que vaya a crear el ámbito en el servidor de recursos.
3. Proveedor de servicios que solicita datos
Se puede optar por registrar un subconjunto de los ámbitos que se han registrado en el servidor de autenticación central y el servidor de recursos. Colabore con el administrador de productos o el desarrollador de aplicaciones para registrar los ámbitos que deben estar disponibles para el proveedor de servicios.
 |
Los nombres de ámbito registrados en una aplicación deben coincidir con los ámbitos registrados en el servidor de autenticación central; de lo contrario, se puede producir un bloqueo potencial de usuarios, incluida la cuenta de administrador, si la aplicación enruta la autenticación a través del servidor de autenticación central. Si un ámbito de la aplicación está mal escrito (esto incluye la distinción entre mayúsculas y minúsculas) o no está registrado en el servidor de autenticación central, el servidor de autenticación central puede impedir que el administrador se autentique cuando intente iniciar sesión. Si un ámbito registrado en el proveedor de servicios no existe en el servidor de autorización, los usuarios no pueden conectarse, incluidas las cuentas de administrador.
Para resolver este problema, añada el ámbito mal escrito o adicional al servidor de autorización para que el administrador de SP se pueda conectar. A continuación, quite el ámbito problemático del SP y bórrelo del servidor de autorización.
|
Prácticas recomendadas y consideraciones de seguridad
◦ Consulte a expertos en seguridad de su organización al establecer directivas de uso para ámbitos en la implementación de SSO. Se pueden realizar pasos en cada aplicación de la implementación en la que se registre o configure un ámbito para aumentar la seguridad de los datos que se vayan a intercambiar. Por ejemplo, en un servidor de recursos se pueden especificar varios ámbitos para gestionar conjuntos de datos independientes y proporcionar un control más preciso.
◦ Consulte la documentación del producto de PingFederate para obtener configuraciones de seguridad avanzadas para la gestión de ámbitos. Por ejemplo, la configuración de ámbitos para que estén asociados a tokens de acceso independientes.
◦ Consulte las prácticas recomendadas de la industria de OAuth para proteger los ámbitos. Para obtener más información, consulte OAuth 2.0 Threat Model and Security Considerations.