Gestione degli ambiti nell'autorizzazione delegata
Utilizzare gli ambiti nell'autorizzazione delegata per limitare l'accesso di un'applicazione all'account di un utente. Gli ambiti sono valori stringa che forniscono un livello aggiuntivo di protezioni di accesso per i dati all'interno dei server delle risorse che possono essere esposti con un token di accesso OAuth.
Accoppiare un nome di ambito (valore stringa) ai dati nel server delle risorse, quindi registrare l'ambito nel server di autenticazione centralizzata e nel provider di servizi. Quando il provider di servizi richiede i dati dal server delle risorse, deve presentare un token di accesso valido e disporre dell'approvazione per gli ambiti associati ai dati nel server delle risorse.
Nel processo riportato di seguito viene illustrato come funzionano gli ambiti.
1. Quando un utente accede a un provider di servizi, il server di autenticazione centralizzata autorizza la sessione di accesso utente dopo che l'utente è stato autenticato con l'IdP.
2. Successivamente, il server di autenticazione centralizzata visualizza all'utente anche una pagina di approvazione delle concessioni.
Questa pagina elenca le risorse associate agli ambiti disponibili per il provider di servizi.
3. L'utente decide se consentire al provider di servizi l'accesso ad alcuni o a tutti i dati nel server delle risorse.
4. Se approvato, il server di autenticazione centralizzata fornisce un token di accesso al provider di servizi e registra l'approvazione delle concessioni per gli ambiti appropriati.
5. Quando un provider di servizi effettua una chiamata al server delle risorse e richiede i dati protetti, invia il token di accesso.
6. Il server delle risorse verifica il token di accesso con il server di autenticazione centralizzata. Se il token è valido e se il server conferma che l'utente ha concesso l'approvazione all'SP per gli ambiti associati alla risorsa protetta, il server delle risorse concede l'accesso ai dati.
È necessario registrare gli ambiti in almeno tre applicazioni nella struttura SSO, nell'ordine riportato di seguito.
1. Server di autenticazione centralizzata (PingFederate) che gestisce la relazione di trust tra le due applicazioni
L'amministratore del server di autenticazione centralizzata deve prendere nota degli ambiti che sono stati registrati nel CAS e coordinare la registrazione degli ambiti con gli amministratori delle applicazioni del server delle risorse e del provider di servizi.
Per informazioni sulla registrazione degli ambiti in PingFederate, fare riferimento alla documentazione di PingFederate.
2. Server delle risorse in cui risiedono i dati
È necessario coordinarsi con l'amministratore del prodotto che crea l'ambito nel server delle risorse.
3. Provider di servizi che richiede i dati
È possibile scegliere di registrare un sottoinsieme degli ambiti registrati nel server di autenticazione centralizzata e nel server delle risorse. Rivolgersi all'amministratore del prodotto o allo sviluppatore delle applicazioni per registrare gli ambiti che devono essere disponibili per il provider di servizi.
 |
I nomi di ambito registrati in un'applicazione devono coincidere con gli ambiti registrati nel server di autenticazione centralizzata. Altrimenti potrebbe verificarsi un potenziale blocco degli utenti, incluso l'account Administrator, nel momento in cui l'applicazione instrada l'autenticazione attraverso il server di autenticazione centralizzata. Se un ambito nell'applicazione è stato scritto in modo errato (viene rilevata la distinzione tra maiuscole e minuscole) o non è registrato nel server di autenticazione centralizzata, è possibile che l'amministratore non venga autenticato dal server di autenticazione centralizzata quando tenta di accedere. Se un ambito registrato nel provider di servizi non esiste nel server di autorizzazione, gli utenti, compresi gli account amministratore, non possono accedere.
Per risolvere il problema, aggiungere l'ambito scritto in modo errato o aggiuntivo al server di autorizzazione in modo che l'amministratore del SP possa accedere. Rimuovere quindi l'ambito problematico dall'SP e dal server di autorizzazione.
|
Best practice e considerazioni sulla sicurezza
◦ Per stabilire i criteri di utilizzo per gli ambiti nella distribuzione SSO, consultare gli esperti di sicurezza nell'organizzazione. Ci sono alcuni passi che è possibile eseguire all'interno di ogni applicazione nella distribuzione in cui un ambito è registrato o configurato per aumentare la protezione per i dati che si stanno scambiando. Ad esempio, all'interno di un server delle risorse è possibile specificare più ambiti per gestire insiemi di dati separati e fornire un controllo più preciso.
◦ Per le configurazioni di sicurezza avanzate per la gestione degli ambiti, fare riferimento alla documentazione del prodotto PingFederate. Ad esempio, la configurazione degli ambiti in modo che siano associati a token di accesso separati.
◦ Per proteggere gli ambiti, fare riferimento alle best practice del settore in merito a OAuth. Per ulteriori informazioni, vedere OAuth 2.0 Threat Model and Security Considerations.