12.7. 客户端策略
为了便于保护客户端应用程序,以统一的方式实现以下点:
- 根据配置客户端可以有什么策略
- 客户端配置验证
- 遵守所需的安全标准和配置文件,如财务级 API (FAPI)
为了实现这些点,引进了 Client Policies 概念。
12.7.1. 使用案例
客户端策略实现以下要点,如下所示:
- 根据配置客户端可以有什么策略
- 客户端策略可以在客户端创建/更新期间强制实施客户端的配置设置,但也在与特定客户端相关的 Red Hat Single Sign-On 服务器进行 OpenID Connect 请求期间。Red Hat Single Sign-On 支持类似的事情,也可以通过 保护应用程序和服务指南中的客户端注册 政策支持。但是,客户端注册策略只能涵盖 OIDC Dynamic Client Registration。客户端策略不仅包括客户端注册策略可以做什么,但其他客户端注册和配置方法。当前计划被客户端注册策略替代。
- 客户端配置验证
- Red Hat Single Sign-On 支持验证客户端是否遵循代码交换的概念验证、请求对象签名算法、Holder-of-Key Token 等一些端点,等等。它们可由每个设置项(在管理控制台中、交换机、下拉菜单等)指定。要使客户端应用程序安全,管理员需要以适当方式设置许多设置,因此管理员很难保护客户端应用程序。客户端策略可以对上述客户端配置进行这些验证,也可用于自动配置一些客户端配置开关来满足高级安全要求。以后,单个客户端配置设置可能会被客户端策略直接执行所需的验证替代。
- 遵守所需的安全标准和配置集,如 FAPI
- Global 客户端配置集 是 Red Hat Single Sign-On 中预先配置的客户端配置集。它们被预先配置为符合 FAPI 等标准安全配置集,使得管理员可以轻松地确保其客户端应用程序符合特定的安全配置集。目前,Red Hat Single Sign-On 具有支持 FAPI 1 规格的全局配置集。管理员只需要配置客户端策略,以指定哪些客户端应与 FAPI 兼容。管理员可以配置客户端配置文件和客户端策略,以便可轻松地遵循 Red Hat Single Sign-On 客户端,如 SPA、Native App、Open Banking 等。
