Verwaltung von „ OpenID Connect“ und „ OpenID Connect“ für den API-Zugriff auf Open-Banking-Anwendungen

Online bearbeiten

Wenn ein Entwickler eine Anwendung erstellt, die eine oder mehrere der Verify Funktionen nutzt, muss die Anwendung über die entsprechenden Verify API-Aufrufe verfügen. Registrieren Sie die interne Anwendung als API-Client im API-Zugang, um ihr eine eindeutige Client-ID und ein Geheimnis zuzuweisen.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.
Hinweis: Nur Benutzer mit den entsprechenden Berechtigungen können das Client-Geheimnis einsehen. Weitere Informationen finden Sie unter „Sicherheitsupdates für Berechtigungen “.

Informationen zu dieser Task

Sie können API-Zugriff auf Ihre OpenID Connect for Open Banking-Anwendung erteilen, wenn Sie sie oder später mit der Bearbeitungsoption erstellen. API-Clients können für die Anwendung erstellt werden und jeder API-Client kann über eine andere Gruppe von API-Zugriffsnutzungsrechten verfügen.

Sie können auch einen IP-Filter implementieren, sodass die Tokenausstellung und -verwendung auf einen bestimmten IP-Adressbereich begrenzt oder ein bestimmter IP-Adressbereich ausgeschlossen werden kann.

Vorgehensweise

  1. Wählen Sie „Anwendungen “ > „Anwendungen “.
  2. Wählen Sie „Anwendung hinzufügen “.
  3. Wählen Sie für die Open-Banking-Anwendung „ OpenID Connect“ oder „ OpenID Connect“ aus und klicken Sie auf „Anwendung hinzufügen “.
  4. Wählen Sie „API-Zugriff“ aus.
  5. Erstellen Sie den Anwendungs-API-Client.
    1. Wählen Sie „API-Client hinzufügen “.
    2. Geben Sie die folgenden Informationen für den API-Client an:
      Tabelle 1. Anwendungs-API-Client
      Feld Einstellungen
      Name Namen des API-Clients angeben
      Hinweis: Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig:
      • -
      • .
      • _
      Aktiviert Gibt an, ob der API-Client aktiviert oder inaktiviert ist. Die Standardeinstellung ist 'Aktiviert'.

      Ein von aktiviertes Kontrollkästchen aktivierter API-Client kann die APIs aufrufen, auf die er zugreifen darf.

      Ein Aktiviertes Kontrollkästchen deaktivierter API-Client kann keine APIs aufrufen, auch nicht diejenigen, auf die er eigentlich Zugriff hat.
      Client ID

      Die eindeutige ID des API-Clients.

      Diese Informationen werden automatisch generiert und in der Liste der API-Clients angezeigt, nachdem Sie den API-Client gespeichert haben.
      Clientschlüssel

      Wird zusammen mit der Client-ID verwendet, um die Identität des API-Clients zu verifizieren.

      Der geheime Schlüssel darf nur der Anwendung und dem Berechtigungsserver bekannt sein.

      Diese Informationen werden nach dem Speichern des API-Clients automatisch generiert.
      Clientauthentifizierungsmethode Verify unterstützt die folgenden Methoden zur Clientauthentifizierung:
      • Standard
      • Geheimer Clientschlüssel - Basis
      • Geheimer Clientschlüssel - POST
      • Privater Schlüssel - JWT
      • Gegenseitiges TLS
      Hinweis: Die Standardmethode für die Client-Authentifizierung ist „default “.

      Wird 'Standard' übernommen, sind 'Geheimer Clientschlüssel - Basis' und 'Geheimer Clientschlüssel - POST' zulässig. Wenn die Relying Party dies unterstützt, verwenden Sie das JWT mit privatem Schlüssel oder Mutual TLS als Konfiguration. Weitere Informationen zur gegenseitigen TLS-Clientauthentifizierung finden Sie unter Gegenseitige OpenID Connect-TLS-Clientauthentifizierung und zertifikatgebundenes Zugriffstoken.
      Clientzusicherungs-JTI validieren Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.

      Gibt an, ob der JTI im Clientzusicherungs-JWT bezüglich einmaliger Verwendung validiert wird.
      Zulässige Signaturprüfungsschlüssel Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.

      Die Signaturprüfungsschlüssel-IDs, die verwendet werden können, um das Clientzusicherungs-JWT zu verifizieren.
      JWKS-URI Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.

      Der URI, unter dem die Relying Party ihre öffentlichen Schlüssel im JWKS-Format (JWKS = JSON Web Keys Set) veröffentlicht. Dieser URI wird für die JWT-Signaturprüfung oder -Verschlüsselung verwendet. Das System kann einen JWKS-URI, der nicht erreichbar ist oder nicht reagiert, zurückweisen. Das System kann den JWKS-URI auch zurückweisen, wenn die JWKS-Größe zu groß ist. Wenn die Relying Party keinen JWKS-URI publiziert, kann dem System ein öffentlicher Schlüssel in Form eines X509-Zertifikats hinzugefügt werden. Siehe „Zertifikate verwalten “. Der 'Anzeigename', der dem öffentlichen Zertifikat zugeordnet ist, ist der Wert des Headers der Schlüssel-ID (kid) des JWT.
      TLS-Clientauthentifizierungsattribut Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode "Mutual TLS" ausgewählt ist.
      Das Zertifikatsattribut, das für die Authentifizierung verwendet wird.
      • Registrierter Name des Zertifikatsinhabers
      • SAN DNS
      • SAN-URI
      • SAN-IP
      • SAN-E-Mail-Adresse
      Attributwert für TLS-Clientauthentifizierung Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode "Mutual TLS" ausgewählt ist.

      Der Wert des Attributs im Zertifikat, das für die Authentifizierung verwendet wird.
      Zertifikatgebundene Zugriffstoken Gibt an, ob die generierten Tokens zertifikatgebunden sind. Weitere Informationen zu zertifikatgebundenen Zugriffstoken finden Sie unter Gegenseitige OpenID Connect-TLS-Clientauthentifizierung und zertifikatgebundenes Zugriffstoken.
  6. Konfigurieren Sie den Ablauf des Zugriffstokens und des Aktualisierungstokens, um die Dauer des unbefugten Zugriffs zu begrenzen, wenn diese Tokens gestohlen werden.
    Das Zugriffstoken wird verwendet, um die Berechtigung zum Zugriff auf die geschützte Ressource zu erteilen. Nachdem das Zugriffstoken abgelaufen ist, wird die Berechtigung entzogen.
    Tabelle 2. Token-Einstellungen
    Feld Beschreibung
    Ablauf des Zugriffstokens (Sek.)

    Legt die Dauer (angegeben in Sekunden) fest, nach der das Zugriffstoken abläuft.

    Legen Sie einen Ablaufzeitpunkt für das Zugriffstoken fest, um die Zeit zu begrenzen, in der ein Angreifer mit dem gestohlenen Token auf die Ressource zugreifen kann, wenn die Clientanwendung beeinträchtigt ist.

    Es sind nur positive ganze Zahlen zulässig.

    Der Standardwert ist 7200 Sekunden. Der zulässige Mindestwert ist 1 und der Maximalwert 2147483647 Sekunden.
    Format des Zugriffstokens Gibt das Format des Zugriffstokens an. Die folgenden Optionen sind verfügbar:
    • Standard
    • JWT
  7. Geben Sie die folgenden Informationen an, wenn ein IP-Filter implementiert werden soll, um sicherzustellen, dass die API-Client-ID und der geheime Schlüssel sicher verteilt werden.
    Tabelle 3. IP-Filtereinstellungen
    Feld Beschreibung
    IP-Filterung aktivieren

    Gibt an, ob der IP-Filter aktiviert oder inaktiviert ist.
    Zulassungsliste/Sperrliste

    Gibt den Typ des Filters an; gibt an, ob es sich um eine Zulassungs- oder Zurückweisungsliste handelt.

    Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.
    IP-Filter

    Liste der IP-Filter.

    Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.

    Das Format der IP-Filter besteht aus einer einzelnen IP-Adresse, einem IP-Bereich oder einer IP-Teilnetzmaske. Sowohl IPv4 als auch IPv6 werden unterstützt. Beispiel: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
  8. Aktivieren Sie das Kontrollkästchen „Benutzerdefinierte Bereiche einschränken “.

    Wenn Sie Angepasste Geltungsbereiche einschränken auswählen, werden die Geltungsbereiche, die dem Client am Ende des Ablaufs zugeordnet werden, auf die in diesem Abschnitt angegebenen Geltungsbereiche beschränkt. Geben Sie den Namen des angepassten Geltungsbereichs, der erteilt werden soll, und eine Beschreibung ein. Der Bereichsname bezieht sich auf den OAuth2/OIDC-Bereich, der von einer Relying Party oder einem Client angefordert wird. Die Beschreibung ist eine aussagefähige Erläuterung für den Geltungsbereich. Wählen Sie Bereich hinzufügen aus, um weitere Bereiche zu erteilen.

  9. Wählen Sie die APIs aus, denen Zugriff erteilt werden soll.
    Weitere Informationen finden Sie in Zugriffsberechtigungen.

    Wenn Alle auswählen auf Aus gesetzt ist, wählen Sie die APIs aus, auf die Sie Zugriff für den Client erteilen möchten. Wenn Alles auswählen auf Ein gesetzt wird, wird dem Client Zugriff auf alle APIs erteilt. Sie können jedoch die Kontrollkästchen aller APIs abwählen, auf die der Client keinen Zugriff haben soll.

    Hinweis:
    • Sie können einen API-Client ohne anfängliche Berechtigung zum Aufrufen von APIs erstellen. Sie können ihn später bearbeiten, um den spezifischen API-Zugriff zu erteilen.
    • Es sind nur die für Ihren Subskriptionsplan relevanten APIs für die Auswahl verfügbar.
    • Für OIDC-Anwendungen ist ein Standardclient mit einem Clientnamen, der mit dem Anwendungsnamen übereinstimmt, in der Liste der API-Clients für diese Anwendung vorhanden. Er kann nicht gelöscht werden, es sei denn, die Anwendung wird gelöscht oder es wird zu einer anderen Anmeldemethode gewechselt.
  10. Wählen Sie „Fertig “.
  11. Stellen Sie sicher, dass Sie die Pflichtfelder auf den Registerkarten „Allgemein“ und „Anmeldung“ ausgefüllt haben.
  12. Wählen Sie „Speichern “.

    Die Client-ID und geheime Clientschlüssel werden generiert und die Anwendung und der API-Client werden erstellt.

  13. API-Client anzeigen und bearbeiten
    1. Blättern Sie, um den API-Client zu finden.
    2. Bewegen Sie den Mauszeiger über den API-Client und wählen Sie das Bearbeiten Symbol aus.

      Das Dialogfenster "API-Client bearbeiten" wird angezeigt.

    3. Verwenden Sie die folgenden Optionen:
      • Wählen Sie Anzeigen aus, um den geheimen Clientschlüssel anzuzeigen.
      • Wählen Sie Ausblenden aus, um den geheimen Clientschlüssel auszublenden.
      • Wählen Kopieren Sie diese Option, um die Client-ID oder den geheimen Schlüssel in die Zwischenablage zu kopieren.
      • Wählen Liste Sie diese Option aus, um die geänderten Client-Geheimnisse anzuzeigen.
        • Wählen Sie ein oder mehrere aktualisierte Client-Geheimnisse aus der Liste aus und klicken Sie auf „Löschen“, um sie zu löschen.
      • Wählen Sie Neu generieren aus, um einen neuen geheimen Clientschlüssel zu generieren. Verwenden Sie diese Option, wenn Sie vermuten, dass die Geheimhaltung des geheimen Clientschlüssels nicht mehr gewährleistet ist. Wenn Sie den geheimen Clientschlüssel nicht neu generieren, müssen Sie den geheimen Clientschlüssel in allen OAuth-Clients für die Anwendung aktualisieren.
        • Aktivieren Sie das Kontrollkästchen „Aktuelles Geheimnis beibehalten “, um das aktuelle Client-Geheimnis zur Liste der rotierten Client-Geheimnisse hinzuzufügen.
        • Wenn das Kontrollkästchen „Aktuelles Geheimnis beibehalten“ aktiviert ist, wählen Sie die Beschreibung des Client-Geheimnisses und die Ablaufzeit (in der lokalen Zeit des Browsers) aus. Wenn keine Ablaufzeit ausgewählt wird, gilt die in den Anwendungseinstellungen festgelegte Lebensdauer des rotierten Geheimnisses des Mandanten.
        • Rotierte Client-Geheimnisse werden gehasht und können nicht mehr im Klartext abgerufen werden, können aber bis zum gewählten Ablaufdatum weiterhin verwendet werden.
        • Nach der Bestätigung wird das Client-Geheimnis sofort aktualisiert. Das neue Client-Geheimnis wird auf dem Bildschirm angezeigt.
    4. Bearbeiten Sie alle Informationen, die Sie ändern wollen.
    5. Wählen Sie „Fertig “.
  14. Löschen Sie den API-Client.
    1. Blättern Sie, um den API-Client zu finden.
    2. Wählen Sie das Kontrollkästchen für den Client aus.
      Um mehrere API-Clients zu löschen, wählen Sie das Kontrollkästchen für jeden Client aus, den Sie löschen wollen.
    3. Wählen Sie in der Symbolleiste „Ausgewählte Elemente“ die Option „Löschen“Löschen aus.
      Hinweis: Über die Schaltfläche „Löschen“ in der unteren linken Ecke des Fensters wird die Anwendung gelöscht, nicht der API-Client.
      Sie können einen API-Client auch löschen, indem Sie ihn auswählen und das Löschsymbol im Detailfenster auswählen.
    4. Bestätigen Sie, dass Sie den API-Client löschen wollen.
    5. Wenn Sie fertig sind, klicken Sie auf „Speichern “.