Verwaltung des Zugriffs auf Anwendungs-APIs

Online bearbeiten

Wenn ein Entwickler eine Anwendung erstellt, die eine oder mehrere der Verify Funktionen nutzt, muss die Anwendung über die entsprechenden Verify API-Aufrufe verfügen. Registrieren Sie die interne Anwendung als API-Client im API-Zugang, um ihr eine eindeutige Client-ID und ein Geheimnis zuzuweisen.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.
Hinweis: Nur Benutzer mit den entsprechenden Berechtigungen können das Client-Geheimnis einsehen. Weitere Informationen finden Sie unter „Sicherheitsupdates für Berechtigungen “.

Informationen zu dieser Task

Sie können Ihrer Anwendung den API-Zugriff entweder bei der Erstellung oder später über die Bearbeitungsoption gewähren. API-Clients können für die Anwendung erstellt werden und jeder API-Client kann über eine andere Gruppe von API-Zugriffsnutzungsrechten verfügen.

Sie können auch einen IP-Filter implementieren, sodass die Tokenausstellung und -verwendung auf einen bestimmten IP-Adressbereich begrenzt oder ein bestimmter IP-Adressbereich ausgeschlossen werden kann.

Für OIDC-Anwendungen können auch API-Zugriffsnutzungsrechte für den SSO-Client konfiguriert werden. VerifyDiese Tokens sind darauf beschränkt, Aktionen auszuführen, zu denen der Benutzer, der sich bei der Anwendung anmeldet, berechtigt ist.

Vorgehensweise

  1. Wählen Sie „API-Zugriff“ aus.
  2. Erstellen Sie den Anwendungs-API-Client.
    1. Wählen Sie „API-Client hinzufügen “.
    2. Geben Sie die folgenden Informationen für den API-Client an:
      Tabelle 1. Anwendungs-API-Client
      Information Beschreibung
      Name Geben Sie den Namen des API-Clients an.
      Hinweis: Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig:
      • -
      • .
      • _
      Aktiviert

      Gibt an, ob der API-Client aktiviert oder inaktiviert ist.

      Ein von Aktiviert aktivierter API-Client kann die APIs aufrufen, auf die er zugreifen darf.

      Ein Inaktiviert deaktivierter API-Client kann keine APIs aufrufen, auch nicht diejenigen, auf die er eigentlich Zugriff hat.
      Hinweis:
      • Es kann bis zu 1 Minute dauern, bevor diese Einstellung wirksam wird.
      • Wenn für den API-Client ein gültiges Zugriffstoken vorhanden ist, kann er weiterhin die APIs aufrufen. Zugriffstokens haben einen begrenzten Gültigkeitszeitraum. Das Token läuft nach 2 Stunden ab. Wenn das Zugriffstoken abgelaufen ist, kann der API-Client die APIs nicht mehr aufrufen.
      Client ID

      Die eindeutige ID des API-Clients.

      Diese Informationen werden nach dem Speichern des API-Clients automatisch generiert und in der Liste API-Clients angezeigt.
      Clientschlüssel

      Wird zusammen mit der Client-ID verwendet, um die Identität des API-Clients zu verifizieren.

      Der geheime Schlüssel darf nur der Anwendung und dem Berechtigungsserver bekannt sein.

      Diese Informationen werden nach dem Speichern des API-Clients automatisch generiert. Zeigen Sie die Details zum API-Client an.
      Clientauthentifizierungsmethode Gibt die Methode zur Clientauthentifizierung für den API-Client an:
      Verify unterstützt die folgenden Clientauthentifizierungsmethoden:
      • Default(Standardauswahl)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      • Gegenseitiges TLS
        Hinweis: Die gegenseitige Protokollierung (Mutual TLS ) ist für benutzerdefinierte Anwendungen nicht verfügbar
      TLS-Clientauthentifizierungsattribut Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode "Mutual TLS" ausgewählt ist.
      Das Zertifikatsattribut, das für die Authentifizierung verwendet wird.
      • Registrierter Name des Zertifikatsinhabers
      • SAN DNS
      • SAN-URI
      • SAN-IP
      • SAN-E-Mail-Adresse
      Attributwert für TLS-Clientauthentifizierung Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode "Mutual TLS" ausgewählt ist.

      Der Wert des Attributs im Zertifikat, das für die Authentifizierung verwendet wird.
      Zertifikatgebundene Zugriffstoken
      Hinweis: Zertifikatsgebundene Zugriffstoken stehen für benutzerdefinierte Anwendungen nicht zur Verfügung
      		 Gibt an, ob die generierten Tokens zertifikatgebunden sind. Weitere Informationen zu zertifikatgebundenen Zugriffstoken finden Sie unter Gegenseitige OpenID Connect-TLS-Clientauthentifizierung und zertifikatgebundenes Zugriffstoken.
      Clientzusicherungs-JTI validieren Gibt an, ob der JTI im Clientzusicherungs-JWT bezüglich einmaliger Verwendung validiert wird. Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Geheimer Clientschlüssel - JWT' oder 'Privater Schlüssel - JWT' ausgewählt ist.
      Zulässige Signaturprüfungsschlüssel Die Signaturprüfungsschlüssel-IDs, die verwendet werden können, um das Clientzusicherungs-JWT zu verifizieren. Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.
      Hinweis: Sie können den Schlüssel zur Signaturprüfung manuell angeben. Es können mehrere Schlüssel zur Signaturprüfung angegeben werden.
      JWKS-URI Der URI, an dem die Relying Party ihren öffentlichen Schlüssel im JSON Web Key-Format (JWKS-Format) publiziert. Dieser URI wird für die JWT-Signaturprüfung verwendet. Das System kann einen JWKS-URI, der nicht erreichbar ist oder nicht reagiert, zurückweisen. Das System kann den JWKS-URI auch zurückweisen, wenn die JWKS-Größe zu groß ist. Wenn die Relying Party keinen JWKS-URI publiziert, kann dem System ein öffentlicher Schlüssel in Form eines X509-Zertifikats hinzugefügt werden. Siehe „Zertifikate verwalten “. Der Anzeigename, der dem öffentlichen Zertifikat zugeordnet ist, ist der Wert des Headers für die Schlüssel-ID (kid = key id) des JWT.
  3. Konfigurieren Sie den Ablauf des Zugriffstokens und des Aktualisierungstokens, um die Dauer des unbefugten Zugriffs zu begrenzen, wenn diese Tokens gestohlen werden.

    Das Zugriffstoken wird verwendet, um die Berechtigung zum Zugriff auf die geschützte Ressource zu erteilen. Nachdem das Zugriffstoken abgelaufen ist, wird die Berechtigung entzogen.

    Tabelle 2. Token-Einstellungen
    Feld Beschreibung
    Ablauf des Zugriffstokens (Sek.)

    Legt die Dauer (angegeben in Sekunden) fest, nach der das Zugriffstoken abläuft.

    Legen Sie den Ablauf des Zugriffstokens fest, um die Zeit zu begrenzen, die ein Angreifer mit dem gestohlenen Token auf die Ressource zugreifen kann, wenn die Sicherheit der Clientanwendung beeinträchtigt ist.

    Es sind nur positive ganze Zahlen zulässig.

    Der Standardwert ist 7200 Sekunden. Der zulässige Mindestwert ist 1 Sekunde und der Maximalwert 2147483647 Sekunden.
    Format des Zugriffstokens Gibt an, ob das Zugriffstoken als undurchsichtige Zeichenfolge generiert wird, wasDefaultEinstellung oder im JWT-Format.
  4. Geben Sie die folgenden Informationen an, wenn ein IP-Filter implementiert werden soll, um sicherzustellen, dass die API-Client-ID und der geheime Schlüssel sicher verteilt werden.
    Tabelle 3. IP-Filtereinstellungen
    Feld Beschreibung
    IP-Filterung aktivieren

    Gibt an, ob der IP-Filter aktiviert oder inaktiviert ist.
    Whitelist. Verweigerungsliste

    Gibt den Typ des Filters an; gibt an, ob es sich um eine Zulassungs- oder Zurückweisungsliste handelt.

    Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.
    IP-Filter

    Liste der IP-Filter.

    Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.

    Das Format der IP-Filter besteht aus einer einzelnen IP-Adresse, einem IP-Bereich oder einer IP-Teilnetzmaske. Sowohl IPv4 als auch IPv6 werden unterstützt. Beispiel: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48.
  5. Geben Sie die Signaturattribute für das ID-Token und die Zugriffstokens im JWT-Format an. Die vertrauende Partei nutzt die Signatur, um die Integrität und Authentizität der im Token enthaltenen Benutzerangaben sowie des Identitätsanbieters „ OpenID Connect“, der das Token signiert hat, zu überprüfen.
    Hinweis:

    Die Signaturoptionen stehen nur für benutzerdefinierte Anwendungen zur Verfügung.

    Tabelle 4. Signaturoptionen
    Feld Beschreibung
    Signaturalgorithmus

    Der Algorithmus, der Verify zum Signieren des ID-Tokens und der Zugriffstoken im JWT-Format verwendet wird. VerifyDer Algorithmus muss mit dem übereinstimmen, den die vertrauende Partei registriert hat.

    Wählen Sie einen der folgende Hashalgorithmen aus, um die Signatur zu verifizieren:
    • HS256
    • HS384
    • HS512
    • RS256 (Standardwert)
    • RS384
    • RS512
    Hinweis: Die HS-Algorithmen werden nicht angezeigt, wenn Sie sich dafür entschieden haben, keinen Client-Secret zu generieren.
    Signaturzertifikat

    Diese Option wird nur angezeigt, wenn Sie einen der RS-Signaturalgorithmen ausgewählt hatten.

    Verwenden Sie dieses Zertifikat, um das ID-Token und die Zugriffstokens im JWT-Format während der einmaligen Anmeldung zu signieren.

    Die Standardauswahl bezieht sich auf das standardmäßige persönliche Zertifikat, das Sie unter „Konfiguration > Zertifikate > Persönliche Zertifikate“ konfiguriert haben.
  6. Aktivieren Sie das Kontrollkästchen „Benutzerdefinierte Bereiche einschränken “.
    Wenn Sie Angepasste Geltungsbereiche einschränken auswählen, werden die Geltungsbereiche, die dem Client am Ende des Ablaufs zugeordnet werden, auf die in diesem Abschnitt angegebenen Geltungsbereiche beschränkt. Geben Sie den Namen des angepassten Geltungsbereichs, der erteilt werden soll, und eine Beschreibung ein. Der Geltungsbereichsname bezieht sich auf den OAuth2-/OIDC-Geltungsbereich, der von einer Relying Party/einem Relying Client angefordert wird. Die Beschreibung ist eine aussagefähige Erläuterung für den Geltungsbereich. Wählen Sie diese Option aus, um weitere Bereiche zu gewähren.
  7. Wählen Sie die APIs aus, denen Zugriff erteilt werden soll. Weitere Informationen finden Sie unter „Zugriffsrechte “.
    Wenn Alles auswählen auf Aus gesetzt wird, wählen Sie die APIs aus, auf die dem Client Zugriff erteilt werden soll. Wenn Alles auswählen auf Ein gesetzt wird, wird dem Client Zugriff auf alle APIs erteilt. Sie können jedoch die Kontrollkästchen für alle APIs abwählen, auf die der Client keinen Zugriff haben soll.
    Hinweis:
    • Sie können einen API-Client ohne anfängliche Berechtigung zum Aufrufen von APIs erstellen. Sie können ihn später bearbeiten, um den spezifischen API-Zugriff zu erteilen.
    • Es sind nur die für Ihren Subskriptionsplan relevanten APIs für die Auswahl verfügbar.
    • Für OIDC-Anwendungen ist ein Standardclient mit einem Clientnamen, der mit dem Anwendungsnamen übereinstimmt, in der Liste der API-Clients für diese Anwendung vorhanden. Er kann nicht gelöscht werden, es sei denn, die Anwendung wird gelöscht oder es wird zu einer anderen Anmeldemethode gewechselt.
  8. Wählen Sie „Speichern “.
    Die Client-ID und der geheime Clientschlüssel werden generiert und der Anwendungs-API-Client wird erstellt.
  9. Zeigen Sie die Details zum API-Client an.
    • Blättern Sie oder verwenden Sie das Suchfeld, um den API-Client zu finden. Alle Clients, die mit Ihrem Sucheintrag übereinstimmen, werden angezeigt.
    • Wählen Sie den API-Client aus, dessen Informationen angezeigt werden sollen. Die Details zum API-Client werden angezeigt.
    • Bewegen Sie den Mauszeiger über den API-Client und wählen Sie das Bearbeiten Symbol aus, sobald es angezeigt wird. Das Dialogfenster API-Client bearbeiten wird angezeigt.
      Verwenden Sie die folgenden Optionen:
      • Wählen In Zwischenablage kopieren Sie diese Option, um die Client-ID oder den geheimen Schlüssel in die Zwischenablage zu kopieren.
      • Wählen Sie Anzeigen aus, um den geheimen Clientschlüssel anzuzeigen.
      • Wählen Sie Ausblenden aus, um den geheimen Clientschlüssel auszublenden.
  10. Bearbeiten Sie den API-Client.
    1. Blättern Sie, um den API-Client zu finden.
    2. Bewegen Sie den Mauszeiger über den API-Client und wählen Sie das Bearbeiten Symbol aus, sobald es angezeigt wird.
      Das Dialogfenster API-Client bearbeiten wird angezeigt.
    3. Bearbeiten Sie die Informationen.
      Wenn Sie eine vorhandene Anwendung bearbeiten, können Sie die folgenden Optionen für den geheimen Clientschlüssel verwenden:
      • Wählen Sie Anzeigen aus, um den geheimen Clientschlüssel anzuzeigen.
      • Wählen Sie Ausblenden aus, um den geheimen Clientschlüssel auszublenden.
      • Wählen Kopieren Sie diese Option, um die Client-ID oder den geheimen Schlüssel in die Zwischenablage zu kopieren.
      • Wählen Liste Sie diese Option aus, um die geänderten Client-Geheimnisse anzuzeigen.
        • Wählen Sie ein oder mehrere aktualisierte Client-Geheimnisse aus der Liste aus und klicken Sie auf „Löschen“, um sie zu löschen.
      • Wählen Sie Neu generieren aus, um einen neuen geheimen Clientschlüssel zu generieren. Verwenden Sie diese Option, wenn Sie vermuten, dass die Geheimhaltung des geheimen Clientschlüssels nicht mehr gewährleistet ist. Wenn Sie den geheimen Clientschlüssel nicht neu generieren, müssen Sie den geheimen Clientschlüssel in allen OAuth-Clients für die Anwendung aktualisieren.
        • Aktivieren Sie das Kontrollkästchen „Aktuelles Geheimnis beibehalten “, um das aktuelle Client-Geheimnis zur Liste der rotierten Client-Geheimnisse hinzuzufügen.
        • Wenn das Kontrollkästchen „Aktuellen geheimen Schlüssel beibehalten“ aktiviert ist, wählen Sie die Beschreibung des geheimen Schlüssels und die Ablaufzeit (in der lokalen Zeit des Browsers) aus. Wenn keine Ablaufzeit ausgewählt wird, gilt die in den Anwendungseinstellungen festgelegte Lebensdauer des rotierten Geheimnisses des Mandanten.
        • Rotierte Client-Geheimnisse werden gehasht und können nicht mehr im Klartext abgerufen werden, können jedoch bis zum gewählten Ablaufdatum weiterhin verwendet werden.
        • Nach der Bestätigung wird das Client-Geheimnis sofort aktualisiert. Das neue Client-Geheimnis wird auf dem Bildschirm angezeigt.
    4. Wählen Sie „Speichern “.
  11. Löschen Sie den API-Client.
    1. Blättern Sie, um den API-Client zu finden.
    2. Treffen Sie eine Auswahl aus den folgenden Optionen:
      • Wählen Sie einen API-Client aus. Wenn der Detail bereich angezeigt wird, wählen Sie „Löschen “.
      • Um mehrere API-Clients zu löschen, wählen Sie die Kontrollkästchen neben den API-Clients aus und wählen Sie dann 'Löschen' aus.
    3. Wählen Sie „Löschen “.
    4. Bestätigen Sie, dass die ausgewählten API-Clients gelöscht werden sollen. Die API-Clients werden endgültig gelöscht, wenn die Anwendung gespeichert wird.