IBM Cloud Docs
Authentifizierung verwalten

Authentifizierung verwalten

Identitätsprovider bieten durch die Authentifizierung eine zusätzliche Sicherheitsebene für Ihre mobilen Apps und Web-Apps. Mit IBM Cloud® App ID können Sie einen oder mehrere Identitätsprovider konfigurieren und so ein angepasstes Anmeldeverfahren für Ihre Benutzer einrichten.

App ID interagiert mit Identitätsprovidern unter Verwendung verschiedener Protokolle wie z. B. OpenID Connect, SAML usw. Beispielsweise ist OpenID Connect das Protokoll, das für viele Social-Media-Provider wie Facebook, Google usw. verwendet wird. Unternehmensanbieter wie Azure Active Directory oder Active Directory Federation Service verwenden in der Regel SAML als Identitätsprotokoll. Für Cloud Directory, SCIM zur Überprüfung von Identitätsinformationen.

Wenn Sie Social-Media- oder unternehmenseigene Identitätsprovider verwenden, liest App ID die Benutzerkontoinformationen. Da der Service nie Schreibzugriff auf die Informationen hat, müssen die Benutzer den ausgewählten Identitätsprovider verwenden, um Aktionen wie das Zurücksetzen des Kennworts ausführen zu können. Wenn sich ein Benutzer beispielsweise mit Facebook an der App anmeldet und danach sein Kennwort ändern will, muss er diese Änderung über www.facebook.com vornehmen. {: note}a

Wenn Sie Cloud Directory verwenden, ist App ID der Identitätsprovider. Der Service verwendet Ihre Registry, um Ihre Benutzeridentität zu überprüfen. Da App ID der Identitätsprovider ist, können die Benutzer die Vorteile der erweiterten Funktionalität (wie z. B. das Zurücksetzen des Kennworts) direkt in Ihrer App nutzen.

Sie arbeiten mit Anwendungsidentität? Informieren Sie sich über Anwendungsidentität.

Für die Verwendung durch App ID können mehrere Identitätsprovider konfiguriert werden. In der folgenden Tabelle sind die verfügbaren Optionen aufgeführt.

Optionen für Identitätsanbieter
Identitätsprovider Typ Beschreibung
Cloudverzeichnis Verwaltete Registry Sie können Ihre eigene Benutzerregistry in der Cloud verwalten. Wenn sich ein Benutzer für Ihre App anmeldet, wird er zu Ihrem Benutzerverzeichnis hinzugefügt. Diese Option gibt Ihren Benutzern mehr Freiheit, ihr eigenes Konto in Ihrer App zu verwalten.
SAML Enterprise Sie können eine Single-Sign-on-Funktionalität für Ihre Benutzer einrichten.
Facebook Social Die Benutzer können sich unter Verwendung ihrer Facebook-Berechtigungsnachweise bei Ihrer App anmelden.
Google+ Social Die Benutzer können sich unter Verwendung ihrer Google-Berechtigungsnachweise bei Ihrer App anmelden.
Angepasst Angepasst Wenn keine der bereitgestellten Optionen Ihren spezifischen Anforderungen entspricht, können Sie Ihren eigenen Identitätsablauf für die Arbeit mit App ID konfigurieren.

Provider verwalten

Ein Identitätsprovider erstellt und verwaltet Informationen zu einer Entität, wie z. B. einem Benutzer, einer funktionalen ID oder einer Anwendung. Der Provider verifiziert die Identität der Entität anhand von Berechtigungsnachweisen, wie z. B. einem Kennwort. Anschließend sendet der Identitätsprovider die Informationen zurück an App ID, das den Benutzer autorisiert und ihm anschließend Zugriff auf Ihre App erteilt.

  1. Navigieren Sie zu Ihrem Service-Dashboard.
  2. Wählen Sie im Abschnitt Identitätsprovider in der Navigation die Seite Verwalten aus.
  3. Setzen Sie auf der Registerkarte Identitätsprovider die Provider, die Sie verwenden möchten, auf Ein.
  4. Optional: Entscheiden Sie, ob Anonyme Benutzer inaktiviert werden soll, oder übernehmen Sie den Standardwert Ein. Wenn diese Option auf Ein gesetzt ist, werden dem Benutzer Benutzerattribute von dem Zeitpunkt an zugeordnet, zu dem er mit der Interaktion mit Ihrer App beginnt. Unter Progressive Authentifizierung erfahren Sie, wie Sie ein identifizierter Benutzer werden.

App ID stellt Standardberechtigungsnachweise zur Verfügung, die Sie bei der Erstkonfiguration von Facebook und Google + unterstützen. Sie sind auf 20 Verwendungen der Berechtigungsnachweise pro Instanz und Tag begrenzt. Da es sich um IBM Berechtigungsnachweise handelt, sollten sie nur zu Entwicklungszwecken verwendet werden. Bevor Sie die App veröffentlichen, aktualisieren Sie die Konfiguration so, dass Ihre eigenen Berechtigungsnachweise verwendet werden.

Weiterleitungs-URIs hinzufügen

Ihre Anwendung leitet die Benutzer zur Authentifizierung an App ID weiter. Nachdem die Authentifizierung abgeschlossen ist, leitet App ID die Benutzer zurück zu Ihrer Anwendung. Damit App ID Benutzer an Ihre App zurückleiten kann, müssen Sie den Umleitungs-URI registrieren. Während des Anmeldeablaufs validiert App ID die URIs, bevor Clients am Autorisierungsworkflow teilnehmen können. Dies trägt dazu bei, Phishing-Attacken und Codelecks zu vermeiden. Durch die Registrierung des URI wird App ID darüber informiert, dass der URI vertrauenswürdig ist und dass Ihre Benutzer ohne Risiko zu diesem URI weitergeleitet werden können.

  1. Klicken Sie auf Authentifizierungseinstellungen, um Ihre Konfigurationsoptionen für URIs und Token anzuzeigen.

  2. Geben Sie im Feld Webweiterleitungs-URI hinzufügen den gewünschten URI ein. Jeder URI muss mit http:// oder https:// beginnen und den vollständigen Pfad einschließlich aller Abfrageparameter enthalten, damit die Umleitung erfolgreich ist. Benötigen Sie Hilfe bei der Formatierung des URI? In der folgenden Tabelle sind verschiedene Beispiele aufgeführt.

    Beispiel für Web-Redirect URIs
    Typ Beispiel-URI
    Angepasste Domäne https://mydomain.net/myapp2path/appid_callback
    Ingress-Unterdomäne https://mycluster.us-south.containers.appdomain.cloud/myapp1path/appid_callback
    Platzhalterzeichen https://mydomain.net/*
    Hinweis: Platzhalterzeichen werden für die Verwendung in Produktionsanwendungen nicht empfohlen.

    Es wird empfohlen, stets Verschlüsselung zu verwenden und HTTP zu vermeiden.

  3. Klicken Sie auf das Plussymbol + im Feld Webweiterleitungs-URI hinzufügen.

    Achten Sie darauf, nur URIs von Anwendungen zu registrieren, die Sie als vertrauenswürdig einstufen.

  4. Wiederholen Sie die Schritte 1 bis 3, bis alle möglichen URIs zu Ihrer Liste hinzugefügt wurden.

Gültigkeitsdauer des Tokens konfigurieren

App ID verwendet Tokens, um Benutzer zu identifizieren und Ihre Ressourcen zu sichern. Sie können Ihre Konfiguration an Ihre Anwendungen anpassen, indem Sie die Gültigkeitsdauer der Tokens festlegen. Die Gültigkeitsdauer der Tokens beginnt immer dann, wenn sich ein Benutzer anmeldet. Beispiel: Sie legen die Gültigkeitsdauer des Aktualisierungstokens auf 10 Tage fest. Ein Zugriffstoken und ein Aktualisierungstoken werden erstellt, wenn sich der Benutzer zum ersten Mal anmeldet. Wenn der Benutzer nach 3 Tagen zu Ihrer App zurückkehrt, muss er sich nicht erneut anmelden. Ruft der Benutzer die App jedoch erst 12 Tage nach der ersten Anmeldung wieder auf, muss er sich erneut anmelden. Weitere Informationen zu Tokens finden Sie in Informationen zu Tokens.

Wenn Sie den Tokenablauf festlegen, gelten die Werte für alle Provider, die Sie verfügbar machen. Wenn Sie Ihre Tokens weiter anpassen möchten, rufen Sie die API auf, um angepasste Claims zuzuordnen, sodass die Benutzerinformationen zur Laufzeit zur Verfügung stehen. Wenn Sie mit der API arbeiten, werden die Anpassungszeiten unterschiedlich konfiguriert.

  1. Rufen Sie die Registerkarte Authentifizierung verwalten > Authentifizierungseinstellungen des Service-Dashboards auf.

  2. Setzen Sie in der Registerkarte Anmeldeablauf das Aktualisierungstoken auf Aktiviert.

  3. Fügen Sie für jeden Tokentyp einen Wert für den jeweiligen Tokentyp hinzu, wie in der folgenden Tabelle beschrieben.

    Token-Typen und Anpassungsoptionen
    Tokentyp Beschreibung Standard Optionen
    Zugriff Die Gültigkeitsdauer des Tokens. Je kleiner der Wert ist, umso höher ist der Schutz, den Sie im Fall eines Tokendiebstahls haben. 60 Minuten Beliebiger Wert zwischen 5 und 1440
    Aktualisierung Die Gültigkeitsdauer der Aktualisierungstokens. Je kleiner die Zahl ist, um so häufiger muss sich ein Benutzer anmelden. 30 Tage Beliebiger Wert zwischen 1 und 90
    Anonym Die Gültigkeitsdauer für anonyme Tokens. Anonyme Token werden den Nutzern zugewiesen, sobald sie mit Ihrer App interagieren. Wenn sich ein Benutzer anmeldet, werden die Informationen in dem anonymen Token an das Token übertragen, das dem Benutzer zugeordnet ist. 30 Tage Beliebiger Wert zwischen 1 und 90

    Identitätstokens werden automatisch so konfiguriert, dass sie mit der Gültigkeitsdauer übereinstimmen, die Sie für Zugriffstokens festgelegt haben. Die Werte müssen identisch sein.

  4. Klicken Sie auf Speichern.