管理委派授权范围
使用委派授权中的范围可限制应用程序对用户帐户的访问权限。范围是为资源提供者中的数据提供附加访问保护层的字符串值,可通过 OAuth 访问令牌进行显示。
将范围名称 (字符串值) 与资源提供者中的数据进行配对,然后在中央授权服务器和服务提供者中注册范围。服务提供者向资源提供者请求数据时,必须提供一个有效的访问令牌,并获得资源提供者中数据相关范围的批准。
以下过程演示了范围的工作方式:
1. 当用户登录到服务提供者时,若用户已通过 IdP 身份验证,则中央授权服务器会授权用户登录会话。
2. 然后,中央授权服务器还会向用户提供授权批准页面。
授权批准页面会列出与服务提供者可用范围相关联的资源。
3. 用户决定是否允许服务提供者访问资源提供者中的部分或全部数据。
4. 如果已获批准,则中央授权服务器会向服务提供者提供访问令牌,并记录相应范围的授权批准。
5. 当服务提供者调用资源提供者并请求受保护数据时,其会发送访问令牌。
6. 资源提供者使用中央授权服务器验证访问令牌;如果令牌有效,且经 AS 确认 SP 已获得用户关于与受保护资源配对范围的批准,则资源提供者会授予数据访问权限。
必须在 SSO 框架的至少三个应用程序中注册范围,顺序如下:
1. 用于管理两个应用程序间信任关系的中央授权服务器 (PingFederate)
中央授权服务器管理员应注意已在中央授权服务器中注册的范围,并与资源提供者和服务提供者应用程序管理员协调有关范围的注册。
有关在 PingFederate 中注册范围的信息,请参阅 PingFederate 文档。
2. 数据所在的资源提供者
您需要与在资源提供者中创建范围的产品管理员协调。
3. 请求数据的服务提供者
您可以选取注册已在中央授权服务器和资源提供者中注册的范围的子集。与产品管理员或应用程序开发人员合作注册应提供给服务提供者的范围。
 |
在应用程序中注册的范围名称必须与中央授权服务器中注册的范围相匹配,否则如果应用程序通过中央授权服务器传送身份验证,则可能导致用户 (包括管理员帐户) 被锁定。如果应用程序中的范围拼写错误 (包括大小写错误) 或未在中央授权服务器中注册,则管理员在尝试登录时将无法通过中央授权服务器进行身份验证。如果授权服务器内不存在于服务提供者中注册的范围,则用户将无法登录,包括管理员帐户。
要解决此问题,请将拼写错误或额外的范围添加至授权服务器,以便 SP 管理员可以顺利登录。然后,从 SP 中移除有问题的范围,并从授权服务器中删除该范围。
|
最佳做法和安全注意事项
◦ 在 SSO 部署中为范围建立使用策略时,请咨询您组织中的安全专家。在注册或配置了范围的部署内,您可于每个应用程序中执行若干步骤,以便为正在交换的数据提高安全性。例如,在资源提供者中,您可以指定多个范围来管理单独的数据集并提供更为精确的控制。
◦ 有关管理范围的高级安全配置,请参阅 PingFederate 产品文档。例如,配置范围以使其与单独的访问令牌相关联。
◦ 请参阅 OAuth 工业最佳实践以确保范围的安全。有关详细信息,请参阅 OAuth 2.0 威胁模型和安全性注意事项。