Berechtigungsverwaltung
Drittanbieteranwendungen, die nicht zu deinem Dienst gehören, werden mit Logto als Identitätsanbieter integriert, um Benutzer zu authentifizieren. Diese Apps, die typischerweise von externen Dienstanbietern stammen, erfordern eine sorgfältige Berechtigungsverwaltung, um Benutzerdaten zu schützen.
Logto ermöglicht es dir, die spezifischen Berechtigungen zu kontrollieren, die Drittanbieteranwendungen gewährt werden. Dazu gehört die Verwaltung von Benutzerprofilen, API-Ressourcen und Organisationsberechtigungen. Im Gegensatz zu Erstanbieter-Apps wird Drittanbieter-Apps, die nicht autorisierte Berechtigungen anfordern, der Zugriff verweigert.
Durch das Aktivieren spezifischer Berechtigungen bestimmst du, auf welche Benutzerinformationen Drittanbieter-Apps zugreifen können. Benutzer werden diese Berechtigungen auf dem Zustimmungsbildschirm überprüfen und genehmigen, bevor sie den Zugriff gewähren.
Verwalte die Berechtigungen deiner OIDC-Drittanbieteranwendungen
Gehe zur Seite Anwendungsdetails deiner OIDC-Drittanbieteranwendung, navigiere zum Tab Berechtigungen und klicke auf die Schaltfläche Berechtigungen hinzufügen, um die Berechtigungen deiner Drittanbieteranwendungen zu verwalten.
Grundlegende Benutzerdaten sind immer für Anfragen von Drittanbieter-Apps erforderlich. Darüber hinaus unterstützt Logto die Zuweisung von Organisationsressourcen, was es ideal für B2B-Dienste macht.
Berechtigungen für Benutzerdaten gewähren
Weise Berechtigungen auf Benutzerebene zu, einschließlich Benutzerprofilberechtigungen (z. B. E-Mail, Name und Avatar) und API-Ressourcenberechtigungen (z. B. Lese- oder Schreibzugriff auf bestimmte Ressourcen).
Die Namen der angeforderten Ressourcen (z. B. Persönliche Benutzerdaten, API-Name) und spezifische Berechtigungsbeschreibungen (z. B. Deine E-Mail-Adresse) werden auf dem Zustimmungsbildschirm angezeigt, damit Benutzer sie überprüfen können.
Durch Klicken auf die Schaltfläche Autorisieren stimmen Benutzer zu, die angegebenen Berechtigungen der Drittanbieteranwendung zu gewähren.
Berechtigungen für Organisationsdaten gewähren
Weise Berechtigungen auf Organisationsebene zu, einschließlich Organisationsberechtigungen und API-Ressourcenberechtigungen. Logto erlaubt es, API-Ressourcen bestimmten Organisationsrollen zuzuweisen.
Auf dem Zustimmungsbildschirm werden Organisationsdaten getrennt von Benutzerdaten angezeigt. Während des Autorisierungsablaufs muss der Benutzer eine spezifische Organisation auswählen, um den Zugriff zu gewähren. Benutzer können zwischen Organisationen wechseln, bevor sie bestätigen. Die Drittanbieteranwendung erhält nur Zugriff auf die Daten der ausgewählten Organisation und die zugehörigen Berechtigungen.
Berechtigungstypen
Benutzerberechtigungen (Benutzerprofilberechtigungen)
Diese Berechtigungen sind OIDC-Standard und Logtos wesentliche Benutzerprofilberechtigungen, die für den Zugriff auf Benutzeransprüche verwendet werden. Benutzeransprüche werden entsprechend im ID-Token und am userinfo-Endpunkt zurückgegeben.
profile: OIDC-Standardberechtigung, verwendet für den Zugriff auf Benutzername und Avatar.email: OIDC-Standardberechtigung, verwendet für den Zugriff auf die Benutzer-E-Mail.phone: OIDC-Standardberechtigung, verwendet für den Zugriff auf die Telefonnummer des Benutzers.custom_data: Logto-Benutzerprofilberechtigung, verwendet für den Zugriff auf benutzerdefinierte Daten.identity: Logto-Benutzerprofilberechtigung, verwendet für den Zugriff auf Informationen zu verknüpften sozialen Identitäten.role: Logto-Benutzerprofilberechtigung, verwendet für den Zugriff auf Benutzer Rollen Informationen.urn:logto:scope:organizations: Logto-Benutzerorganisationsberechtigung, verwendet für den Zugriff auf Benutzerorganisationsinformationen. Wenn aktiviert und von einer Drittanbieteranwendung angefordert, wird ein Organisationsauswahlfeld auf dem Zustimmungsbildschirm angezeigt. Dies ermöglicht es Benutzern, die Organisation zu überprüfen und auszuwählen, der sie den Zugriff gewähren möchten. Siehe Organisationen für weitere Details.urn:logto:scope:organization_roles: Logto-Benutzerorganisationsberechtigung, verwendet für den Zugriff auf Benutzerorganisationsrolleninformationen.
Das Anfordern einer nicht aktivierten Benutzerprofilberechtigung in der Autorisierungsanfrage führt zu einem Fehler.
API-Ressourcenberechtigungen (API-Ressourcenberechtigungen)
Logto bietet rollenbasierte Zugangskontrolle (RBAC) für API-Ressourcen. API-Ressourcen sind die Ressourcen, die deinem Dienst gehören und von Logto geschützt werden. Du kannst selbstdefinierte API-Berechtigungen den Drittanbieteranwendungen zuweisen, um auf deine API-Ressourcen zuzugreifen. Bitte siehe RBAC, Organisationstemplate und Schütze deine API für weitere Details.
Du kannst deine API-Ressourcenberechtigungen unter Konsole > API-Ressourcen erstellen und verwalten.
API-Ressourcenberechtigungen, die nicht für die Drittanbieteranwendungen aktiviert sind, werden ignoriert, wenn eine Autorisierungsanfrage gesendet wird. Sie werden nicht auf dem Zustimmungsbildschirm des Benutzers angezeigt und nicht von Logto gewährt.
Organisationsberechtigungen (Organisationsberechtigungen)
Organisationsberechtigungen sind die Berechtigungen, die ausschließlich für Logto-Organisationen definiert sind. Sie werden für den Zugriff auf Organisationsinformationen und -ressourcen verwendet.
Um Logto-Organisationsberechtigungen zu verwenden, musst du die urn:logto:scope:organizations Benutzerberechtigung aktivieren. Andernfalls werden die Organisationsberechtigungen ignoriert, wenn eine Autorisierungsanfrage gesendet wird.
Du kannst deine eigenen Organisationsberechtigungen unter den Organisationstemplate-Einstellungen definieren. Bitte siehe Organisationstemplate konfigurieren für weitere Details.
Organisationsberechtigungen, die nicht für die Drittanbieteranwendungen aktiviert sind, werden ignoriert, wenn eine Autorisierungsanfrage gesendet wird. Sie werden nicht auf dem Zustimmungsbildschirm des Benutzers angezeigt und nicht von Logto gewährt.