在委派授權中管理範圍
在委派授權中使用範圍可限制應用程式對使用者帳戶的存取權。範圍是字串值,能夠為可使用 OAuth 存取權杖顯示之資源提供者中的資料,提供額外一層存取保護。
將範圍名稱 (字串值) 與資源提供者中的資料配對,然後在中央授權伺服器與服務提供者中註冊範圍。當服務提供者從資源提供者請求資料時,其必須顯示有效的存取權杖,且擁有針對與資源提供者中資料相關聯之範圍的核准。
以下流程說明範圍的運作方式:
1. 當使用者登入服務提供者時,中央授權伺服器會在使用者已向 IdP 驗證的情況下,授權使用者登入工作階段
2. 然後,中央授權伺服器也會為使用者顯示 Grants Approval 頁。
Grants Approval 頁列出與服務提供者可用範圍相關聯的資源。
3. 使用者可決定是否允許服務提供者存取資源提供者中的部份或全部資料。
4. 如果核准,中央授權伺服器會為服務提供者提供存取權杖,並記錄適當範圍的授與核准。
5. 當服務提供者呼叫資源提供者並請求受保護資料時,其會傳送存取權杖。
6. 資源提供者會向中央授權伺服器核對存取權杖;若其有效,且 AS 確認使用者已授與針對與受保護資源配對之範圍的 SP 核准,資源提供者會授與資料的存取權。
您必須按照下列順序,在 SSO 架構中的至少三個應用程式中註冊範圍:
1. 管理兩個應用程式之間信任關係的中央授權伺服器 (PingFederate)
中央授權伺服器管理員應記下已在中央授權伺服器中註冊的範圍,並與資源提供者與服務提供者應用程式管理員協調範圍的註冊。
如需有關在 PingFederate 中註冊範圍的資訊,請參閱該 PingFederate 文件集。
2. 資料所在的資源提供者
您將需要與在資源提供者中建立範圍的產品管理員進行協調。
3. 請求資料的服務提供者
您可以選擇註冊已在中央授權伺服器與資源提供者中註冊的範圍子集。請與產品管理員或應用程式開發人員合作,註冊應可供服務提供者使用的範圍。
 |
在應用程式中註冊的範圍名稱必須與中央授權伺服器中註冊的範圍相符,否則如果應用程式透過中央授權伺服器路由驗證,可能會發生潛在的使用者鎖定。如果應用程式中的範圍拼寫錯誤 (其中包括區分大小寫),或未在中央授權伺服器中註冊,在管理員嘗試登入時,可阻止其由中央授權伺服器進行驗證。如果在服務提供者中註冊的範圍並不存在於授權伺服器中,則使用者無法登入 (包括管理員帳戶)。
欲解決此問題,請將拼寫錯誤或額外的範圍新增至授權伺服器,以使 SP 管理員可以登入。然後,從 SP 中移除有問題的範圍,並從授權伺服器中刪除範圍。
|
最佳作法與安全性考量
◦ 當在 SSO 部署中為範圍建立使用原則時,請諮詢您組織中的安全性專家。您可以在註冊或配置範圍之部署中的每個應用程式內採取步驟,以增加要交換之資料的安全性。例如,在資源提供者內,您可以指定多個範圍來管理單獨的資料集,並提供更精確的控制。
◦ 如需用於管理範圍的進階安全性組態,請參閱 PingFederate 產品文件集。例如,配置範圍,使其與單獨的存取權杖相關聯。
◦ 請參閱 OAuth 業界最佳作法來保護範圍。如需詳細資訊,請參閱 OAuth 2.0 威脅模式與安全性考量。