Beispielablauf für nicht authentifizierte Aufrufer

Das folgende Diagramm stellt den Austausch von Authentifizierungs- und Autorisierungsinformationen bei nicht authentifizierten Aufrufern dar. Die Farben stehen für Folgendes:

  • Orange: Anmeldeinformationen
  • Blau: Endpunktzugriffsinformationen
  • Grün: Ressourcenzugriffsinformationen
  • Rot: Proxy-Benutzer- und Sitzungsinformationen

Einige Werte werden verwendet, um mehrere Zugriffsarten zu bestimmen. Diese Werte erscheinen zunächst in schwarz (wenn sie nicht für einen speziellen Zugriffstyp gelten) und dann später in einer oder mehreren bestimmten Farben (als Identifizierung des Werts, der zu diesem Zeitpunkt im Prozess für eine bestimmte Zugriffsart verwendet wird).

Im folgenden Beispiel wird ein API-Aufruf von einem nicht authentifizierten Aufrufer ausgelöst.


Authentifizierungsablauf für nicht authentifizierte Aufrufer
  1. Die aufrufende Anwendung sendet die API-Anforderung an ClaimCenter. Der Aufruf enthält kein JWT und keine Authentifizierungsinformationen im Header.
  2. Da der Aufruf keinen Authentifizierungsheader hat, gewährt ClaimCenter den Endpunktzugriff gemäß der Definition in der API-Rollendatei Unauthenticated.role.yaml. (Dies ermöglicht nur den Zugriff auf Metadatenendpunkte.)
  3. Da der Aufruf keinen Authentifizierungsheader hat, gewährt ClaimCenter den Ressourcenzugriff gemäß der Definition in der API-Rollendatei unauthenticatedUser.role.yaml. (Dies ermöglicht keinen Zugriff auf Geschäftsressourcen.)
  4. Um zu bestimmen, welcher Proxy-Benutzer der Sitzung zugewiesen werden soll, greift ClaimCenter auf das RestAuthenticationSourceCreator-Plugin zu. Der Aufruf hat keinen Authentifizierungsheader. Das Plugin gibt somit den Proxy-Benutzer für nicht authentifizierte Benutzer zurück: uauser.
  5. ClaimCenter verarbeitet die Anforderung.
    1. Der Sitzungsbenutzer ist der nicht authentifizierte Proxy-Benutzer: uauser.
    2. Der Endpunktzugriff wird durch die Datei Unauthenticated.role.yaml definiert.
    3. Der Endpunktzugriff wird durch die Datei unauthenticatedUser access.yaml definiert.
  6. ClaimCenter stellt die Antwort auf den ersten Aufruf bereit.