WSO2 Identity Server is de Customer Identity and Access Management-oplossing die deel uitmaakt van de grote drie van WSO2, naast de API Manager en Enterprise Integrator.
In deze blog ga ik kijken naar de functionaliteit van Mijn Account van Identity Server. Hier kan de gebruiker (niet de beheerder) zijn eigen inloggegevens wijzigen en onderhouden.
Laten we beginnen met MyAccount in Identity Server 5.11.0
In de laatste versie is er veel veranderd, om nog maar te zwijgen van de look en feel! Ik zal je door de opties leiden die je nu hebt en het soort informatie dat je kunt behouden.
Start het product met het .sh-script (mac / Linux) of het .bat-bestand (Windows). Zoals je kunt zien ben ik op Windows. Nadat het opstarten is voltooid, worden drie URL’s weergegeven:
- Mgt console url: https://localhost:9443/carbon/
- Mijn account url https://localhost:9443/myaccount
- Console url: https://localhost:9443/console
De eerste is de reguliere Management UI-console die wordt gebruikt om het product (deels) te configureren. Ik zeg gedeeltelijk omdat er veel wordt gedaan via het bestand deployment.toml dat de configuratiebestanden regelt. Voor de (eind)gebruiker dient deze URL niet toegankelijk te zijn. De derde optie is de console-URL. Dit is nauw verbonden met de beheer-URL en bevindt zich momenteel in de bètafase. Het maakt configuratie mogelijk zoals de traditionele beheer-UI en kan in aankomende versies de beheer-UI helemaal vervangen.
Dat laat natuurlijk de Mijn Account-URL over. Daar kunnen we onze gegevens bijhouden en wijzigen.
Inloggen is een kwestie van gebruikersnaam en wachtwoord invoeren. Aangezien dit een nieuwe installatie is, heb ik alleen de beheerdersreferenties. Maar er is een optie om een account aan te maken,
Maar helaas, dit is niet standaard ingeschakeld. Als ik me zelf wil registreren, moet ik de instelling in de beheerinterface of console wijzigen. Als je de schakelaar op Zelfregistratie door gebruiker zet (naar Ingeschakeld) en de instellingen bijwerkt (knop niet weergegeven in schermafbeelding), kan je jezelf registreren.
Maar voordat je inspringt, werkt de zelfregistratie met een e-mail die wordt verzonden naar het e-mailadres dat je opgeeft. Standaard wordt de configuratie van e-mail in Identity Server gedaan met behulp van het bestand deployment.toml. Deze is te vinden op [IS-HOME]/repository/conf/deployment.toml. Breng wijzigingen aan om een e-mailadres, e-mailgateway en wachtwoord te gebruiken. Start de Identity Server opnieuw, aangezien het bestand alleen bij het opstarten wordt gelezen en geparseerd. Ik gebruik mailtrap.io, vervang alsjeblieft je eigen e-mailgegevens.
Vul de gegevens in. Al deze velden zijn zogenaamde claims en kunnen zo worden geconfigureerd dat ze verplicht zijn.
En Prest. Ik heb een e-mail ontvangen en kan nu inloggen
Het overzicht toont de elementen/gegevens die we kunnen wijzigen of onderhouden. We kunnen zien dat we een aantal dingen hebben die we niet hebben ingevuld en die optioneel zijn. Laten we dat oplossen.
We beginnen met het beeld van de gebruiker. Ik gebruik een site genaamd thispersondoesnotexist.com die je een foto van onze tester zal geven. We kunnen geen foto’s uploaden, alleen linken naar hen. Alternatieven zijn om initialen te behouden of een gravatar te hebben.
Ik zit nu op 100% voor zover het profiel gaat.
Maar er is meer
Er zijn nog drie dingen die we kunnen zien als we naar de persoonlijke informatie kijken. Export Profile downloadt de details in JSON. Je krijgt een JSON-bestand met de informatie over de gebruiker.
Gelinkte accounts
WSO2 IS maakt het mogelijk om meerdere accounts van een gebruiker te koppelen en tussen accounts te schakelen zodra de gebruiker zijn accounts heeft gekoppeld. WSO2 IS maakt het ook mogelijk om de federatieve gebruikersreferenties van een gebruiker te verbinden met hun WSO2 Identity Server-account.
Hier heb ik tester en admin gecombineerd. Ik kan nu schakelen tussen de twee accounts.
Beveiliging
Laten we eens kijken naar de beveiligingsmogelijkheden als de derde optie die we zien. Houd er rekening mee dat de afbeelding van onze tester verandert, omdat deze wordt opgehaald telkens wanneer een vernieuwing wordt uitgevoerd. De site die we gebruiken genereert een nieuwe afbeelding wanneer deze wordt geopend.
Wij hebben de mogelijkheid om een wachtwoord te wijzigen. Wat een beetje vreemd is, is de vereiste om het huidige wachtwoord in te voeren. We zijn al ingelogd! Aan de andere kant, als u de pc onbeheerd achterlaat, kan iemand zonder het wachtwoord het wachtwoord wijzigen.
Het herstel is echter niet standaard ingeschakeld.
Om het in te schakelen, moet je de instellingen inschakelen in de beheerinterface of in de console. Hier vind je een groot aantal instellingen met betrekking tot accountherstel. Ik laat alleen de eerste drie zien.
Nu kunnen we herstellen. Wanneer beide beveiligingsvragen zijn beantwoord, kunnen we resetten.
Als je e-mail gebruikt, wordt er een e-mail naar de gebruiker verzonden.
Multifactor-authenticatie
Om een extra beveiligingsniveau toe te voegen, kan je multifactor-authenticatie toevoegen aan de Identity Server. In dit geval moet je een waarde opgeven of invoeren die is gekoppeld aan je mobiele apparaat of bijvoorbeeld een fido-sleutel zoals de Yubico-sleutels . Dit vereist enige configuratie door de beheerder in het geval van de SMS-service (je moet een SMS-gateway / provider configureren) evenals de Authenticator-app (ook configureren van degene die je wilt gebruiken). De Fido-ondersteuning is uit de doos, je plaatst en registreert eenvoudig een fido-sleutel met je account.
Natuurlijk moet je de serviceproviders die je wilt inschakelen configureren met behulp van de fido-sleutels, net als SMS en Authenticator.
Actieve IPD-sessies tonen de sessies met de IDP op je account. Op de pagina voor toestemmingsbeheer wordt de toestemming weergegeven die je hebt gegeven om informatie te delen. Dit als integraal onderdeel van de AVG- ondersteuning. Toestemming kan worden gegeven en ingetrokken.
Beheerder versus gewone gebruiker
Is er een verschil tussen wat een admin-gebruiker ziet en wat een gewone gebruiker ziet? In eerdere versies was er een verschil omdat de admin-gebruiker de menselijke taken zou zien (indien ingeschakeld). In deze versie bevinden goedkeuringen / menselijke taken zich in de consoletoepassing die beschikbaar is op https://localhost:9443/(in het geval van een OOTB-implementatie. De toepassing Mijn account toont dus alleen de informatie die betrekking heeft op de persoonlijke informatie van de gebruiker.
Conclusie
De nieuwe functionaliteit Mijn Account biedt een frisse kijk op de gegevens van de gebruiker en de mogelijkheid deze te onderhouden. De vernieuwde interface geeft het een moderne uitstraling en het feit dat het alleen de gebruikersgegevens toont, is heel logisch.