Разрешения (scopes)#
Настройки разрешений (scope) по умолчанию управляются через вкладку OAuth 2.0 в веб-консоли администрирования.
По умолчанию разрешения хранятся в конфигурационном файле /usr/share/identityblitz/blitz-config/blitz.conf. При необходимости их можно хранить в отдельном файле, это упрощает управление конфигурацией - изменения в разрешениях не затрагивают основную конфигурацию, есть возможность быстрого обновления и восстановления настроек. Для того чтобы хранить разрешения в отдельном файле, добавьте раздел blitz.prod.local.idp.scopes-source в конфигурационный файл blitz.conf. При этом необходимо указать значение file в параметре type. Путь к файлу указывается в параметре file. Если путь не указан, используется путь по умолчанию: $app-data-path/scope.json, где $app-data-path — это путь, заданный в конфигурационном файле boot.conf.
Пример настройки для хранения отдельным файлом:
"scopes-source" : {
"file" : "/home/test/work/blitz-idp/conf/scopes.json",
"type" : "file"
}
Если нужно обратно переключиться на основную конфигурацию, используйте значение config для параметра type в разделе конфигурационного файла blitz.prod.local.idp.scopes-source.
Пример настройки для хранения в основном конфигурационном файле:
"scopes-source" : {
"file" : "/usr/share/identityblitz/blitz-config/blitz.conf",
"type" : "config"
}
Настройки хранилища отдельным файлом:
{
"scope_1" : {
"sysname" : "scope_1",
"names" : {
"default" : "scope_1"
},
"descriptions" : {
"default" : "desc_1"
},
"client-level" : false,
"enabled" : true,
"depricated" : false,
"allowedResponseTypes" : [ "code", "token", "id_token", "device_code" ],
"allowedGrantTypes" : [ "client_credentials", "password", "authorization_code", "implicit", "refresh_token", "urn:ietf:params:oauth:grant-type:token-exchange", "urn:ietf:params:oauth:grant-type:device_code" ],
"attrs" : [ "org_id" ]
},
"scope_2" : {
"sysname" : "scope_2",
"names" : {
"default" : "scope_2"
},
"descriptions" : {
"default" : "desc_2"
},
"client-level" : false,
"enabled" : true,
"depricated" : false,
"allowedResponseTypes" : [ "code", "token", "id_token", "device_code" ],
"allowedGrantTypes" : [ "password", "urn:ietf:params:oauth:grant-type:device_code", "urn:ietf:params:oauth:grant-type:token-exchange", "refresh_token", "implicit", "client_credentials", "authorization_code" ],
"attrs" : [ "testClaim" ]
}
}
Свойства разрешений (scopes):
- Базовые:
sysname- системное имяscope;names- названиеscope. Если имя не задано, то используется sysname. На данный момент используется только значениеdefault.desc- описание scope на разных языках. На данный момент используется только значениеdefault.
- Для OAuth:
clientLevel- является ли scope системным (true/false);allowedResponseTypes- по умолчанию разрешено все:code,token,id_token,device_code;allowedGrantTypes- по умолчанию разрешено все:authorization_code,implicit,password,client_credentials,refresh_token,urn:ietf:params:oauth:grant-type:token-exchange,urn:ietf:params:oauth:grant-type:device_code.
- По доступу к данным:
attrs- атрибуты пользователя доступные дляscope.
- По жизненному циклу:
enbaled- активирован лиscope. Еслиfalse, то даже по ранее выданным токенам будет отказ. По умолчаниюtrue;deprecated- параметр указывает, что запросscopeбольше недоступен, однако токены, полученные ранее с этим параметром, продолжают работать. По умолчаниюfalse.
Примечание
Для настройки разрешений (scope) для доступа к сервисам REST API см. раздел REST API. В данном разделе описывается процесс изменения набора разрешений по умолчанию, а также настройка доступа к атрибутам, связанными с этими разрешениями.