Berechtigungsverwaltung der OIDC / OAuth-Anwendung
Drittanbieteranwendungen, die nicht deinem Dienst gehören, werden mit Logto als Identitätsanbieter integriert, um Benutzer zu authentifizieren. Diese Apps, typischerweise von externen Dienstanbietern, erfordern eine sorgfältige Berechtigungsverwaltung zum Schutz der Benutzerdaten.
Logto ermöglicht es dir, die spezifischen Berechtigungen zu steuern, die Drittanbieteranwendungen gewährt werden. Dies umfasst die Verwaltung von Benutzerprofil-, API-Ressourcen- und Organisations-Berechtigungen. Im Gegensatz zu First-Party-Apps wird Drittanbieteranwendungen, die nicht autorisierte Berechtigungen anfordern, der Zugriff verweigert.
Durch das Aktivieren spezifischer Berechtigungen bestimmst du, auf welche Benutzerinformationen Drittanbieter-Apps zugreifen können. Benutzer überprüfen und genehmigen diese Berechtigungen auf dem Zustimmungsbildschirm, bevor sie den Zugriff gewähren.
Verwalte die Berechtigungen deiner OIDC-Drittanbieteranwendungen
Gehe zur Konsole > Anwendungen > Anwendungsdetailseite deiner OIDC-Drittanbieteranwendung, navigiere zum Tab Berechtigungen und klicke auf die Schaltfläche Berechtigungen hinzufügen, um die Berechtigungen deiner Drittanbieteranwendungen zu verwalten.
Grundlegende Benutzerdaten sind für Anfragen von Drittanbieteranwendungen immer erforderlich. Zusätzlich unterstützt Logto die Zuweisung von Organisationsressourcen, was es ideal für B2B-Dienste macht.
Berechtigungen für Benutzerdaten gewähren
Weise Berechtigungen auf Benutzerebene zu, einschließlich Benutzerprofil-Berechtigungen (z. B. E-Mail, Name und Avatar) und API-Ressourcen-Berechtigungen (z. B. Lese- oder Schreibzugriff auf bestimmte Ressourcen).
Die Namen der angeforderten Ressourcen (z. B. Persönliche Benutzerdaten, API-Name) und spezifische Berechtigungsbeschreibungen (z. B. Deine E-Mail-Adresse) werden auf dem Zustimmungsbildschirm angezeigt, damit Benutzer sie überprüfen können.
Durch Klicken auf die Schaltfläche Autorisieren stimmen Benutzer zu, die angegebenen Berechtigungen der Drittanbieteranwendung zu gewähren.
Berechtigungen für Organisationsdaten gewähren
Weise Berechtigungen auf Organisationsebene zu, einschließlich Organisationsberechtigungen und API-Ressourcen-Berechtigungen. Logto ermöglicht es, API-Ressourcen bestimmten Organisationsrollen zuzuweisen.
Auf dem Zustimmungsbildschirm werden Organisationsdaten getrennt von Benutzerdaten angezeigt. Während des Autorisierungsablaufs muss der Benutzer eine bestimmte Organisation auswählen, um den Zugriff zu gewähren. Benutzer können vor der Bestätigung zwischen Organisationen wechseln. Die Drittanbieteranwendung erhält nur Zugriff auf die Daten und Berechtigungen der ausgewählten Organisation.
Berechtigungstypen
Benutzerberechtigungen (Benutzerprofil-Berechtigungen)
Diese Berechtigungen sind OIDC-Standard und Logtos essentielle Benutzerprofil-Berechtigungen, die für den Zugriff auf Benutzeransprüche verwendet werden. Benutzeransprüche werden entsprechend im ID-Token und am userinfo-Endpunkt zurückgegeben.
profile: OIDC-Standard-Berechtigung, wird für den Zugriff auf Benutzername und Avatar verwendet.email: OIDC-Standard-Berechtigung, wird für den Zugriff auf die Benutzer-E-Mail verwendet.phone: OIDC-Standard-Berechtigung, wird für den Zugriff auf die Telefonnummer des Benutzers verwendet.custom_data: Logto-Benutzerprofil-Berechtigung, wird für den Zugriff auf benutzerdefinierte Benutzerdaten verwendet.identity: Logto-Benutzerprofil-Berechtigung, wird für den Zugriff auf die mit dem Benutzer verknüpften sozialen Identitäten verwendet.role: Logto-Benutzerprofil-Berechtigung, wird für den Zugriff auf Benutzer-Rollen verwendet.urn:logto:scope:organizations: Logto-Benutzer-Organisations-Berechtigung, wird für den Zugriff auf Benutzer-Organisationsinformationen verwendet. Wenn aktiviert und von einer Drittanbieteranwendung angefordert, wird ein Organisationsauswahlfeld auf dem Zustimmungsbildschirm angezeigt. Dies ermöglicht es Benutzern, die Organisation auszuwählen, der sie Zugriff gewähren möchten. Siehe Organisationen für weitere Details.urn:logto:scope:organization_roles: Logto-Benutzer-Organisations-Berechtigung, wird für den Zugriff auf Benutzer-Organisationsrollen verwendet.
Das Anfordern einer nicht aktivierten Benutzerprofil-Berechtigung in der Autorisierungsanfrage führt zu einem Fehler.
API-Ressourcen-Berechtigungen (API-Ressourcen-Berechtigungen)
Logto bietet rollenbasierte Zugangskontrolle (RBAC) für API-Ressourcen. API-Ressourcen sind die Ressourcen, die deinem Dienst gehören und von Logto geschützt werden. Du kannst selbstdefinierte API-Berechtigungen Drittanbieteranwendungen zuweisen, damit sie auf deine API-Ressourcen zugreifen können. Weitere Informationen findest du unter RBAC, Organisationstemplate und Schütze deine API.
Du kannst deine API-Ressourcen-Berechtigungen unter Konsole > API-Ressourcen erstellen und verwalten.
API-Ressourcen-Berechtigungen, die für Drittanbieteranwendungen nicht aktiviert sind, werden bei einer Autorisierungsanfrage ignoriert. Sie werden nicht auf dem Zustimmungsbildschirm angezeigt und nicht von Logto gewährt.
Organisationsberechtigungen (Organisations-Berechtigungen)
Organisationsberechtigungen sind Berechtigungen, die ausschließlich für Logto-Organisationen definiert sind. Sie werden für den Zugriff auf Organisationsinformationen und -ressourcen verwendet.
Um Logto-Organisationsberechtigungen zu verwenden, musst du die Benutzerberechtigung urn:logto:scope:organizations aktivieren. Andernfalls werden die Organisationsberechtigungen bei einer Autorisierungsanfrage ignoriert.
Du kannst eigene Organisations-Berechtigungen auf der Seite mit den Organisationstemplate-Einstellungen definieren. Siehe Organisationstemplate konfigurieren für weitere Details.
Organisations-Berechtigungen, die für Drittanbieteranwendungen nicht aktiviert sind, werden bei einer Autorisierungsanfrage ignoriert. Sie werden nicht auf dem Zustimmungsbildschirm angezeigt und nicht von Logto gewährt.