Управление контекстными областями с делегированной авторизацией
Используйте контекстные области в делегированной авторизации, чтобы ограничить доступ приложения к учетной записи пользователя. Контекстные области - это строковые значения, предоставляющие дополнительный слой защиты доступа для данных в серверах ресурсов, которые могут предоставляться с помощью лексемы доступа OAuth.
Свяжите имя контекстной области (строковое значение) с данными в сервере ресурсов, а затем зарегистрируйте контекстную область на центральном сервере аутентификации и в поставщике сервисов. Когда поставщик сервисов запрашивает данные у сервера ресурсов, он должен предоставить действительную лексему доступа и иметь утверждение для контекстных областей, связанных с данными в сервере ресурсов.
Следующий процесс демонстрирует работу контекстных областей:
1. Когда пользователь входит в систему поставщика сервисов, центральный сервер аутентификации авторизует сессию входа пользователя, когда выполняется аутентификация пользователя с помощью IdP.
2. Затем центральный сервер аутентификации также представляет пользователю страницу утверждения разрешений.
На странице Grants Approval перечислены ресурсы, связанные с контекстными областями, доступными для поставщика сервисов.
3. Пользователь решает, разрешить ли поставщику сервисов доступ к некоторым или ко всем данным в сервере ресурсов.
4. В случае утверждения центральный сервер аутентификации предоставляет лексему доступа к поставщику сервисов и записывает утверждение предоставления разрешений для подходящих контекстных областей.
5. Когда поставщик сервисов обращается к серверу ресурсов и запрашивает защищенные данные, он отправляет лексему доступа.
6. Сервер ресурсов проверяет лексему доступа с помощью центрального сервера аутентификации. Если она является действительной и если сервер аутентификации подтверждает, что пользователь предоставил утверждение поставщика сервисов для контекстных областей, связанных с защищенным ресурсом, то сервер ресурсов предоставляет доступ к данным.
Необходимо зарегистрировать контекстные области по крайней мере в трех приложениях в среде SSO в следующем порядке:
1. Центральный сервер аутентификации (PingFederate), который управляет взаимоотношениями доверия между двумя приложениями.
Администратор центрального сервера аутентификации должен отметить контекстные области, которые были зарегистрированы в центральном сервере аутентификации, и координировать регистрацию контекстных областей с администраторами приложений сервера ресурсов и поставщика сервисов.
Дополнительные сведения о регистрации контекстных областей в PingFederate см. в документации PingFederate (на английском языке).
2. Сервер ресурсов, в котором находятся данные.
Необходима координация с администратором продукта, создающего контекстную область в сервере ресурсов.
3. Поставщик сервисов, запрашивающий данные.
Можно выбрать регистрацию подмножества контекстных областей, которые были зарегистрированы в центральном сервере аутентификации и сервере ресурсов. Чтобы зарегистрировать контекстные области, которые должны быть доступны для поставщика сервисов, обратитесь к администратору продукта или разработчику приложения.
 |
Имена контекстных областей, зарегистрированные в приложении, должны соответствовать контекстным областям, зарегистрированным в центральном сервере аутентификации. Иначе может возникать блокировка пользователей, в том числе с учетной записью администратора, если приложение маршрутизирует аутентификацию через центральный сервер аутентификации. Если имя контекстной области в приложении записано с ошибками (включая регистр) или не зарегистрировано на центральном сервере аутентификации, то при попытке входа в систему администратор не сможет пройти аутентификацию в центральном сервере аутентификации. Если контекстная область, зарегистрированная в поставщике сервисов, не существует на сервере авторизации, пользователи не смогут войти в систему даже с учетными записями администратора.
Чтобы решить эту проблему, добавьте на сервер авторизации контекстную область с неправильным именем или дополнительную контекстную область, чтобы администратор поставщика сервисов мог войти в систему. Затем удалите проблемную область из пакета обновления и удалите контекстную область с сервера авторизации.
|
Рекомендации и соображения по безопасности
◦ При создании политик использования для контекстных областей в развертывании sso проконсультируйтесь с экспертами по безопасности своей организации. Для повышения безопасности при обмене данными существуют шаги, которые можно выполнять в каждом приложении в развертывании, где зарегистрирована или сконфигурирована контекстная область. Например, в сервере ресурсов можно указать несколько контекстных областей для управления отдельными наборами данных и предоставления более точного контроля.
◦ Расширенные конфигурации безопасности для управления контекстными областями см. в документации продукта PingFederate (на английском языке). Например, можно сконфигурировать контекстные области, чтобы они были связаны с отдельными лексемами доступа.
◦ Сведения о защите контекстных областей см. в разделе рекомендаций по отраслевым стандартам OAuth. Дополнительные сведения см. в разделе OAuth 2.0 Threat Model and Security Considerations (Модель угроз OAuth 2.0 и соображения безопасности) (на английском языке).