WSO2 Identity Server ist die Customer Identity and Access Management-Lösung, die neben API Manager und Enterprise Integrator zu den großen Drei von WSO2 gehört.
In diesem Blog werfe ich einen Blick auf die My Account-Funktionalität des Identitätsservers. Hier kann der Benutzer (der kein Administrator ist) seine eigenen Anmeldeinformationen ändern und pflegen.
Starten wir mit MyAccount im Identity Server 5.11.0
In der neusten Version hat sich einiges geändert, ganz zu schweigen vom Look and Feel! Ich werde mit Ihnen die neuesten Optionen durchgehen sowie die Art der Informationen, die Sie pflegen können.
Starten Sie das Produkt entweder mit dem .sh-Skript (Mac/Linux) oder der .bat-Datei (Windows). Wie Sie sehen, arbeite ich mit Windows. Nach dem Start werden drei URLs angezeigt:
- URL der Verwaltungskonsole: https://localhost:9443/carbon/
- URL meines Kontos: https://localhost:9443/myaccount
- URL Konsole: https://localhost:9443/console
Die erste ist die reguläre Management-UI-Konsole, die (teilweise) dazu dient, das Produkt zu konfigurieren. Ich sage „teilweise“, weil vieles über die Datei deployment.toml erfolgt, die die Konfigurationsdateien steuert. Diese URL darf für den tatsächlichen Benutzer nicht zugänglich sein. Die dritte Alternative ist die URL der Konsole. Diese ist eng mit der Management-URL verknüpft und befindet sich derzeit im Beta-Stadium. Damit ist eine Konfiguration wie bei der herkömmlichen Verwaltungsoberfläche möglich, die in künftigen Versionen möglicherweise ganz durch die Managementschnittstelle ersetzt wird.
Bleibt natürlich noch die URL My Account. Dort können wir unsere Daten pflegen und ändern.
Die Anmeldung erfolgt über die Eingabe von Benutzerkennung und Passwort. Da dies eine Neuinstallation ist, habe ich nur die Admin-Anmeldeinformationen. Aber es gibt eine Option zum Erstellen eines Kontos,
Leider ist diese Funktion nicht standardmäßig aktiviert. Wenn ich mich selbst registrieren möchte, muss ich die Einstellungen in der Management-Benutzeroberfläche oder -Konsole ändern. Wenn Sie die Benutzerselbstregistrierung aktivieren und die Einstellungen aktualisieren (Schaltfläche im Screenshot nicht angezeigt), können Sie sich selbst registrieren.
Hinweis bevor Sie loslegen: Die Selbstregistrierung funktioniert mit einer E-Mail, die an die von Ihnen angegebene E-Mail-Adresse geschickt wird. Standardmäßig erfolgt die E-Mail-Konfiguration auf dem Identity Server mithilfe der Datei „deployment.toml“. Diese ist unter [IS-HOME]/repository/conf/deployment.toml zu finden. Passen Sie die Einstellungen an, um eine Mailadresse, einen Mail-Gateway und ein Passwort zu verwenden. Starten Sie den Identitätsserver neu, da die Datei nur beim Start gelesen und geparst wird. Ich benutze mailtrap.io, bitte ersetzen Sie diese Eingabe durch Ihre eigene Mailadresse.
Füllen Sie das Formular aus. Alle diese Felder sind erforderlich und können als Pflichtfelder konfiguriert werden.
Und schwups erhalte ich eine E-Mail und kann mich jetzt
Die Abbildung zeigt die Elemente/Daten, die wir ändern oder pflegen können. Wie wir sehen, gibt es eine Reihe von Feldern, die wir nicht ausgefüllt haben und die optional sind. Das wollen wir ändern.
Beginnen wir mit dem Profilbild. Ich verwende eine Website namens thispersondoesnotexist.com , die Ihnen das Profilbild unseres Testers zeigt. Wir können keine Bilder hochladen, sondern nur auf sie verlinken. Alternativen sind die Beibehaltung der Initialen oder ein Gravatar.
Damit ist das Profil zu 100% erstellt.
Doch es gibt noch mehr zu tun.
Bei den persönlichen Daten gibt es noch drei weitere Dinge, die wir sehen können. Profil exportieren lädt die Details als JSON herunter. Sie erhalten eine JSON-Datei mit den Benutzerinformationen.
Verknüpfte Konten
WSO2 IS ermöglicht die Verknüpfung mehrerer Konten eines Benutzers sowie das Wechseln zwischen den Konten, sobald der Benutzer seine Konten verlinkt hat. WSO2 IS ermöglicht auch die Anbindung der Verbunddaten eines Benutzers an sein WSO2 Identity Server-Konto.
Hier habe ich Tester und Admin kombiniert. Ich kann jetzt zwischen den beiden Konten wechseln.
Sicherheit
Betrachten wir nun die Sicherheitsoptionen als dritte Möglichkeit. Beachten Sie, dass sich das Profil unseres Testers ändert, da es bei jedem Aktualisierungsvorgang neu abgerufen wird. Die von uns verwendete Website generiert bei jedem Zugriff das Profil neu.
Wir haben die Möglichkeit, ein Passwort zu ändern. Die Aufforderung, das aktuelle Kennwort einzugeben, klingt etwas seltsam. Wir sind bereits eingeloggt! Wenn Sie den PC jedoch unbeaufsichtigt lassen, könnte jemand das Kennwort ändern, wenn es nicht automatisch abgefragt wird.
Im Falle eines vergessenen Passworts kann es der Administrator von IS natürlich zurücksetzen, aber es gibt auch zwei andere Möglichkeiten:
- Sicherheitsabfragen
- E-Mail-Wiederherstellung
Diese Fragen können vom Administrator geändert werden (sowohl die Sprache als auch die derzeit gültige Frage). Die vorgefertigten Antworten erscheinen zu diesem Zeitpunkt als Klartext. Wenn Sie die E-Mail-Adresse ändern, wird Ihr Datensatz aktualisiert.
Die Wiederherstellung ist jedoch nicht standardmässig aktiviert.
Um sie zu aktivieren, müssen Sie die Einstellungen entweder auf der Verwaltungsoberfläche oder in der Konsole freischalten. Hier finden Sie eine Vielzahl von Einstellungen für die Wiederherstellung von Konten. Ich zeige nur die ersten drei.
Jetzt kann die Wiederherstellung durchgeführt werden. Nach Beantwortung der beiden Sicherheitsabfragen, können wir den Neustart durchführen.
Bei der E-Mail-Methode wird eine E-Mail an den Benutzer gesendet.
Multifaktor-Authentifizierung
Um eine zusätzliche Sicherheitsebene hinzuzufügen, können Sie auf dem Identitätsserver eine mehrstufige Authentifizierung hinzufügen. In diesem Fall müssen Sie einen Wert eingeben, den Sie über Ihr Mobil-Gerät erhalten haben, oder beispielsweise einen Fido -Schlüssel wie diejenigen von YubiKey . Im Falle des SMS-Dienstes muss der Administrator die Konfiguration vornehmen (Sie müssen einen SMS-Gateway/einen SMS-Provider konfigurieren) und auch die Authenticator App anpassen (Die App, die Sie verwenden möchten, muss ebenfalls konfiguriert werden). Die Fido-Funktion ist sofort einsatzbereit, Sie müssen lediglich einen Fido-Schlüssel in Ihr Konto eingeben und ihn registrieren.
Natürlich müssen Sie die Dienstleistungsanbieter konfigurieren, die Sie mit den Fido-Schlüsseln aktivieren möchten, wie Sie es auch mit SMS und Authenticator tun würden.
Aktive IPD-Sitzungen enthalten die IDP-Sitzungen für Ihr Konto. Auf der Seite für die Einverständniserklärung wird die von Ihnen erteilte Zustimmung zur Weitergabe von Informationen angezeigt. Dies ist ein wesentlicher Bestandteil der DSGVO Information. Einwilligungen können erteilt und widerrufen werden.
Admin vs. normaler Benutzer
Gibt es einen Unterschied zwischen dem, was ein Admin-Benutzer sieht, und dem, was ein normaler Benutzer sieht? In früheren Versionen gab es einen Unterschied, weil der Admin-Benutzer die Benutzeraufgaben sehen konnte (wenn sie aktiviert waren). In dieser Version befinden sich Genehmigungen/Benutzertasks in der Konsolenanwendung, die unter https://localhost:9443/console erfügbar ist (im Falle einer OOTB-Bereitstellung. Die Anwendung “ My Account“ zeigt also nur die Informationen an, die sich auf die persönlichen Daten des Nutzers beziehen.
Fazit
Die neue Funktion „MyAccount“ ermöglicht einen neuen Blick auf die Daten des Nutzers sowie die Möglichkeit, diese zu pflegen. Die neue Oberfläche wirkt modern und der Umstand, dass sie nur die Daten der Nutzer anzeigt, ist sehr sinnvoll.
