fb
WSO2 Identity Server 5 min

Werken met MyAccount in Identity Server 5.11.0

Rob Blaauboer
Rob Blaauboer
Integration Consultant & WSO2 Trainer
id
Scroll

WSO2 Identity Server is de Customer Identity and Access Management-oplossing die deel uitmaakt van de grote drie van WSO2, naast de API Manager en Enterprise Integrator.

In deze blog ga ik kijken naar de functionaliteit van Mijn Account van Identity Server. Hier kan de gebruiker (niet de beheerder) zijn eigen inloggegevens wijzigen en onderhouden.

Laten we beginnen met MyAccount in Identity Server 5.11.0

In de laatste versie is er veel veranderd, om nog maar te zwijgen van de look en feel! Ik zal je door de opties leiden die je nu hebt en het soort informatie dat je kunt behouden.

Start het product met het .sh-script (mac / Linux) of het .bat-bestand (Windows). Zoals je kunt zien ben ik op Windows. Nadat het opstarten is voltooid, worden drie URL’s weergegeven:

  1. Mgt console url: https://localhost:9443/carbon/
  2. Mijn account url https://localhost:9443/myaccount
  3. Console url: https://localhost:9443/console
Working with My Account in identity server001

De eerste is de reguliere Management UI-console die wordt gebruikt om het product (deels) te configureren. Ik zeg gedeeltelijk omdat er veel wordt gedaan via het bestand deployment.toml dat de configuratiebestanden regelt. Voor de (eind)gebruiker dient deze URL niet toegankelijk te zijn. De derde optie is de console-URL. Dit is nauw verbonden met de beheer-URL en bevindt zich momenteel in de bètafase. Het maakt configuratie mogelijk zoals de traditionele beheer-UI en kan in aankomende versies de beheer-UI helemaal vervangen.

Working with My Account in identity server002

Dat laat natuurlijk de Mijn Account-URL over. Daar kunnen we onze gegevens bijhouden en wijzigen.

Inloggen is een kwestie van gebruikersnaam en wachtwoord invoeren. Aangezien dit een nieuwe installatie is, heb ik alleen de beheerdersreferenties. Maar er is een optie om een account aan te maken,

Working with My Account in identity server003
Working with My Account in identity server004
Working with My Account in identity server005

Maar helaas, dit is niet standaard ingeschakeld. Als ik me zelf wil registreren, moet ik de instelling in de beheerinterface of console wijzigen. Als je de schakelaar op Zelfregistratie door gebruiker zet (naar Ingeschakeld) en de instellingen bijwerkt (knop niet weergegeven in schermafbeelding), kan je jezelf registreren.

Working with My Account in identity server006

Maar voordat je inspringt, werkt de zelfregistratie met een e-mail die wordt verzonden naar het e-mailadres dat je opgeeft. Standaard wordt de configuratie van e-mail in Identity Server gedaan met behulp van het bestand deployment.toml. Deze is te vinden op [IS-HOME]/repository/conf/deployment.toml. Breng wijzigingen aan om een e-mailadres, e-mailgateway en wachtwoord te gebruiken. Start de Identity Server opnieuw, aangezien het bestand alleen bij het opstarten wordt gelezen en geparseerd. Ik gebruik mailtrap.io, vervang alsjeblieft je eigen e-mailgegevens.

Working with My Account in identity server007

Vul de gegevens in. Al deze velden zijn zogenaamde claims en kunnen zo worden geconfigureerd dat ze verplicht zijn.

Working with My Account in identity server008

En Prest. Ik heb een e-mail ontvangen en kan nu inloggen

Working with My Account in identity server009
Working with My Account in identity server010
Working with My Account in identity server011

Het overzicht toont de elementen/gegevens die we kunnen wijzigen of onderhouden. We kunnen zien dat we een aantal dingen hebben die we niet hebben ingevuld en die optioneel zijn. Laten we dat oplossen.

We beginnen met het beeld van de gebruiker. Ik gebruik een site genaamd thispersondoesnotexist.com die je een foto van onze tester zal geven. We kunnen geen foto’s uploaden, alleen linken naar hen. Alternatieven zijn om initialen te behouden of een gravatar te hebben.

Working with My Account in identity server012

Ik zit nu op 100% voor zover het profiel gaat.

Working with My Account in identity server013

Maar er is meer

Er zijn nog drie dingen die we kunnen zien als we naar de persoonlijke informatie kijken. Export Profile downloadt de details in JSON. Je krijgt een JSON-bestand met de informatie over de gebruiker.

Working with My Account in identity server014

Gelinkte accounts

WSO2 IS maakt het mogelijk om meerdere accounts van een gebruiker te koppelen en tussen accounts te schakelen zodra de gebruiker zijn accounts heeft gekoppeld. WSO2 IS maakt het ook mogelijk om de federatieve gebruikersreferenties van een gebruiker te verbinden met hun WSO2 Identity Server-account.

Working with My Account in identity server015

Hier heb ik tester en admin gecombineerd. Ik kan nu schakelen tussen de twee accounts.

Working with My Account in identity server016

Beveiliging

Laten we eens kijken naar de beveiligingsmogelijkheden als de derde optie die we zien. Houd er rekening mee dat de afbeelding van onze tester verandert, omdat deze wordt opgehaald telkens wanneer een vernieuwing wordt uitgevoerd. De site die we gebruiken genereert een nieuwe afbeelding wanneer deze wordt geopend.

Working with My Account in identity server017

Wij hebben de mogelijkheid om een wachtwoord te wijzigen. Wat een beetje vreemd is, is de vereiste om het huidige wachtwoord in te voeren. We zijn al ingelogd! Aan de andere kant, als u de pc onbeheerd achterlaat, kan iemand zonder het wachtwoord het wachtwoord wijzigen.

Working with My Account in identity server018
Bij een vergeten wachtwoord kan de beheerder van IS dit uiteraard resetten maar er zijn ook nog twee andere mogelijkheden:

1.     Veiligheidsvragen
2.     E-mailherstel
Working with My Account in identity server019
Working with My Account in identity server020

Het herstel is echter niet standaard ingeschakeld.

Working with My Account in identity server021

Om het in te schakelen, moet je de instellingen inschakelen in de beheerinterface of in de console. Hier vind je een groot aantal instellingen met betrekking tot accountherstel. Ik laat alleen de eerste drie zien.

Working with My Account in identity server022
Working with My Account in identity server023

Nu kunnen we herstellen. Wanneer beide beveiligingsvragen zijn beantwoord, kunnen we resetten.

Working with My Account in identity server024

Als je e-mail gebruikt, wordt er een e-mail naar de gebruiker verzonden.

Working with My Account in identity server025
Working with My Account in identity server026
Working with My Account in identity server025

Multifactor-authenticatie

Om een extra beveiligingsniveau toe te voegen, kan je multifactor-authenticatie toevoegen aan de Identity Server. In dit geval moet je een waarde opgeven of invoeren die is gekoppeld aan je mobiele apparaat of bijvoorbeeld een fido-sleutel zoals de Yubico-sleutels . Dit vereist enige configuratie door de beheerder in het geval van de SMS-service (je moet een SMS-gateway / provider configureren) evenals de Authenticator-app (ook configureren van degene die je wilt gebruiken). De Fido-ondersteuning is uit de doos, je plaatst en registreert eenvoudig een fido-sleutel met je account.

Working with My Account in identity server027

Natuurlijk moet je de serviceproviders die je wilt inschakelen configureren met behulp van de fido-sleutels, net als SMS en Authenticator.

Working with My Account in identity server028

Actieve IPD-sessies tonen de sessies met de IDP op je account. Op de pagina voor toestemmingsbeheer wordt de toestemming weergegeven die je hebt gegeven om informatie te delen. Dit als integraal onderdeel van de AVG- ondersteuning. Toestemming kan worden gegeven en ingetrokken.

Beheerder versus gewone gebruiker

Is er een verschil tussen wat een admin-gebruiker ziet en wat een gewone gebruiker ziet? In eerdere versies was er een verschil omdat de admin-gebruiker de menselijke taken zou zien (indien ingeschakeld). In deze versie bevinden goedkeuringen / menselijke taken zich in de consoletoepassing die beschikbaar is op https://localhost:9443/(in het geval van een OOTB-implementatie. De toepassing Mijn account toont dus alleen de informatie die betrekking heeft op de persoonlijke informatie van de gebruiker.

Conclusie

De nieuwe functionaliteit Mijn Account biedt een frisse kijk op de gegevens van de gebruiker en de mogelijkheid deze te onderhouden. De vernieuwde interface geeft het een moderne uitstraling en het feit dat het alleen de gebruikersgegevens toont, is heel logisch.