fb
Identity & Access Management 5 min

Arbeiten mit MyAccount auf dem Identity Server 5.11.0

Rob Blaauboer
Rob Blaauboer
Integration Consultant & WSO2 Trainer
Indentity Server
Scrollen

WSO2 Identity Server ist die Customer Identity and Access Management-Lösung, die neben API Manager und Enterprise Integrator zu den großen Drei von WSO2 gehört.

In diesem Blog werfe ich einen Blick auf die My Account-Funktionalität des Identitätsservers. Hier kann der Benutzer (der kein Administrator ist) seine eigenen Anmeldeinformationen ändern und pflegen.

Starten wir mit MyAccount im Identity Server 5.11.0

In der neusten Version hat sich einiges geändert, ganz zu schweigen vom Look and Feel! Ich werde mit Ihnen die neuesten Optionen durchgehen sowie die Art der Informationen, die Sie pflegen können.

Starten Sie das Produkt entweder mit dem .sh-Skript (Mac/Linux) oder der .bat-Datei (Windows). Wie Sie sehen, arbeite ich mit Windows. Nach dem Start werden drei URLs angezeigt:

  1. URL der Verwaltungskonsole: https://localhost:9443/carbon/
  2. URL meines Kontos: https://localhost:9443/myaccount
  3. URL Konsole: https://localhost:9443/console
Working with My Account in identity server001

Die erste ist die reguläre Management-UI-Konsole, die (teilweise) dazu dient, das Produkt  zu konfigurieren. Ich sage „teilweise“, weil vieles über die Datei deployment.toml erfolgt, die die Konfigurationsdateien steuert. Diese URL darf für den tatsächlichen Benutzer nicht zugänglich sein. Die dritte Alternative ist die URL der Konsole. Diese ist eng mit der Management-URL verknüpft und befindet sich derzeit im Beta-Stadium. Damit ist eine Konfiguration wie bei der herkömmlichen Verwaltungsoberfläche möglich, die in künftigen Versionen möglicherweise ganz durch die Managementschnittstelle ersetzt wird.

Working with My Account in identity server002

Bleibt natürlich noch die URL My Account. Dort können wir unsere Daten pflegen und ändern.

Die Anmeldung erfolgt über die Eingabe von Benutzerkennung und Passwort. Da dies eine Neuinstallation ist, habe ich nur die Admin-Anmeldeinformationen. Aber es gibt eine Option zum Erstellen eines Kontos,

Working with My Account in identity server003
Working with My Account in identity server004
Working with My Account in identity server005

Leider ist diese Funktion nicht standardmäßig aktiviert. Wenn ich mich selbst registrieren möchte, muss ich die Einstellungen in der Management-Benutzeroberfläche oder -Konsole ändern. Wenn Sie die Benutzerselbstregistrierung aktivieren und die Einstellungen aktualisieren (Schaltfläche im Screenshot nicht angezeigt), können Sie sich selbst registrieren.

Working with My Account in identity server006

Hinweis bevor Sie loslegen: Die Selbstregistrierung funktioniert mit einer E-Mail, die an die von Ihnen angegebene E-Mail-Adresse geschickt wird. Standardmäßig erfolgt die E-Mail-Konfiguration auf dem Identity Server mithilfe der Datei „deployment.toml“. Diese ist unter [IS-HOME]/repository/conf/deployment.toml zu finden. Passen Sie die Einstellungen an, um eine Mailadresse, einen Mail-Gateway und ein Passwort zu verwenden. Starten Sie den Identitätsserver neu, da die Datei nur beim Start gelesen und geparst wird. Ich benutze mailtrap.io, bitte ersetzen Sie diese Eingabe durch Ihre eigene Mailadresse.

Working with My Account in identity server007

Füllen Sie das Formular aus. Alle diese Felder sind erforderlich und können als Pflichtfelder konfiguriert werden.

Working with My Account in identity server008

Und schwups erhalte ich eine E-Mail und kann mich jetzt

Working with My Account in identity server009
Working with My Account in identity server010
Working with My Account in identity server011

Die Abbildung zeigt die Elemente/Daten, die wir ändern oder pflegen können. Wie wir sehen, gibt es eine Reihe von Feldern, die wir nicht ausgefüllt haben und die optional sind. Das wollen wir ändern.

Beginnen wir mit dem Profilbild. Ich verwende eine Website namens thispersondoesnotexist.com , die Ihnen das Profilbild unseres Testers zeigt. Wir können keine Bilder hochladen, sondern nur auf sie verlinken. Alternativen sind die Beibehaltung der Initialen oder ein Gravatar.

Working with My Account in identity server012

Damit ist das Profil zu 100% erstellt.

Working with My Account in identity server013

Doch es gibt noch mehr zu tun.

Bei den persönlichen Daten gibt es noch drei weitere Dinge, die wir sehen können. Profil exportieren lädt die Details als JSON herunter. Sie erhalten eine JSON-Datei mit den Benutzerinformationen.

Working with My Account in identity server014

Verknüpfte Konten

WSO2 IS ermöglicht die Verknüpfung mehrerer Konten eines Benutzers sowie das Wechseln zwischen den Konten, sobald der Benutzer seine Konten verlinkt hat. WSO2 IS ermöglicht auch die Anbindung der Verbunddaten eines Benutzers an sein WSO2 Identity Server-Konto.

Working with My Account in identity server015

Hier habe ich Tester und Admin kombiniert. Ich kann jetzt zwischen den beiden Konten wechseln.

Working with My Account in identity server016

Sicherheit

Betrachten wir nun die Sicherheitsoptionen als dritte Möglichkeit. Beachten Sie, dass sich das Profil unseres Testers ändert, da es bei jedem Aktualisierungsvorgang neu abgerufen wird. Die von uns verwendete Website generiert bei jedem Zugriff das Profil neu.

Working with My Account in identity server017

Wir haben die Möglichkeit, ein Passwort zu ändern. Die Aufforderung, das aktuelle Kennwort einzugeben, klingt etwas seltsam. Wir sind bereits eingeloggt! Wenn Sie den PC jedoch unbeaufsichtigt lassen, könnte jemand das Kennwort ändern, wenn es nicht automatisch abgefragt wird.

Working with My Account in identity server018

Im Falle eines vergessenen Passworts kann es der Administrator von IS natürlich zurücksetzen, aber es gibt auch zwei andere Möglichkeiten:

  1. Sicherheitsabfragen
  2. E-Mail-Wiederherstellung
Working with My Account in identity server019

Diese Fragen können vom Administrator geändert werden (sowohl die Sprache als auch die derzeit gültige Frage). Die vorgefertigten Antworten erscheinen zu diesem Zeitpunkt als Klartext. Wenn Sie die E-Mail-Adresse ändern, wird Ihr Datensatz aktualisiert.

Working with My Account in identity server020

Die Wiederherstellung ist jedoch nicht standardmässig aktiviert.

Working with My Account in identity server021

Um sie zu aktivieren, müssen Sie die Einstellungen entweder auf der Verwaltungsoberfläche oder in der Konsole freischalten. Hier finden Sie eine Vielzahl von Einstellungen für die Wiederherstellung von Konten. Ich zeige nur die ersten drei.

Working with My Account in identity server022
Working with My Account in identity server023

Jetzt kann die Wiederherstellung durchgeführt werden. Nach Beantwortung der beiden Sicherheitsabfragen, können wir den Neustart durchführen.

Working with My Account in identity server024

Bei der E-Mail-Methode wird eine E-Mail an den Benutzer gesendet.

Working with My Account in identity server025
Working with My Account in identity server026
Working with My Account in identity server025

Multifaktor-Authentifizierung

Um eine zusätzliche Sicherheitsebene hinzuzufügen, können Sie auf dem Identitätsserver eine mehrstufige Authentifizierung hinzufügen. In diesem Fall müssen Sie einen Wert eingeben, den Sie über Ihr Mobil-Gerät erhalten haben, oder beispielsweise einen Fido -Schlüssel wie diejenigen von YubiKey . Im Falle des SMS-Dienstes muss der Administrator die Konfiguration vornehmen (Sie müssen einen SMS-Gateway/einen SMS-Provider konfigurieren) und auch die Authenticator App anpassen (Die App, die Sie verwenden möchten, muss ebenfalls konfiguriert werden). Die Fido-Funktion ist sofort einsatzbereit, Sie müssen lediglich einen Fido-Schlüssel in Ihr Konto eingeben und ihn registrieren.

Working with My Account in identity server027

Natürlich müssen Sie die Dienstleistungsanbieter konfigurieren, die Sie mit den Fido-Schlüsseln aktivieren möchten, wie Sie es auch mit SMS und Authenticator tun würden.

Working with My Account in identity server028

Aktive IPD-Sitzungen enthalten die IDP-Sitzungen für Ihr Konto. Auf der Seite für die Einverständniserklärung wird die von Ihnen erteilte Zustimmung zur Weitergabe von Informationen angezeigt. Dies ist ein wesentlicher Bestandteil der DSGVO Information. Einwilligungen können erteilt und widerrufen werden.

Admin vs. normaler Benutzer

Gibt es einen Unterschied zwischen dem, was ein Admin-Benutzer sieht, und dem, was ein normaler Benutzer sieht? In früheren Versionen gab es einen Unterschied, weil der Admin-Benutzer die Benutzeraufgaben sehen konnte (wenn sie aktiviert waren). In dieser Version befinden sich Genehmigungen/Benutzertasks in der Konsolenanwendung, die unter https://localhost:9443/console erfügbar ist (im Falle einer OOTB-Bereitstellung. Die Anwendung “ My Account“ zeigt also nur die Informationen an, die sich auf die persönlichen Daten des Nutzers beziehen.

Fazit

Die neue Funktion „MyAccount“ ermöglicht einen neuen Blick auf die Daten des Nutzers sowie die Möglichkeit, diese zu pflegen. Die neue Oberfläche wirkt modern und der Umstand, dass sie nur die Daten der Nutzer anzeigt, ist sehr sinnvoll.