Erstellen einer Benutzerregistry mit Authentifizierungs-URL

Online bearbeiten

Eine Benutzerregistry mit Authentifizierungs-URL stellt einen einfachen Mechanismus zur Authentifizierung von Benutzern durch Referenzierung eines angepassten Identitätsproviders zur Verfügung.

Informationen zu dieser Task

In diesem Abschnitt wird beschrieben, wie Sie eine neue Benutzerregistry mit Authentifizierungs-URL als Ressource in Ihrer Organisation erstellen können. Nach dem Erstellen der Benutzerregistry muss die Benutzerregistry zum Sandbox-Katalog hinzugefügt werden.

Für die Konfiguration von Benutzerregistrys ist eine der folgenden Rollen erforderlich:
  • Administrator
  • Organisationseigner
  • Angepasste Rolle mit demSettings: ManageBerechtigungen
Hinweis:
API Connect sendet HTTP GET an URL und sendet die Anmeldedaten des Benutzers. Im folgenden Beispiel ist ein Aufruf an einen Authentifizierungs-URL-Identitätsprovider mit einem als https://myauthurl.example.com/user/authenticate definierten Endpunkt dargestellt:
GET /user/authenticate HTTP/1.1
 Host: myauthurl.example.com
 Authorization: Basic c3Bvb246Zm9yaw=
Wenn der Authentifizierungs-URL-Endpunkt einen HTTP-Statuscode 200 zurückgibt, hat sich der Benutzer erfolgreich authentifiziert. Ein anderer HTTP-Statuscode als 200 weist auf einen fehlgeschlagenen Anmeldeversuch hin. API Connect leitet jeden HTTP, der mit X- beginnt (mit Ausnahme von X-Client-Certificate ), und Cookie an URL weiter, um die Authentifizierungsentscheidung zu unterstützen; zum Beispiel:
GET /user/authenticate HTTP/1.1
 Host: myauthurl.example.com
 Authorization: Basic c3Bvb246Zm9yaw=
 X-Forwarded-For: 8.8.9.9
 X-Custom-Header-From-Customer: special
 Cookie: MyCookie=VGhpc0lzV2lja2VkQW1hemluZw==
Wenn einem Benutzer das Formular zur Registrierung API Connect angezeigt wird, hängt es davon ab, welche Felder in der Antwort des Identitätsanbieters von Authentication URL enthalten sind, welche Felder bereits ausgefüllt sind. Wenn eines der folgenden Felder zurückgegeben wird, wird es im Registrierungsformular vorab befüllt:
  • username
  • email
  • first_name
  • last_name
Wenn das Feld username nicht zurückgegeben wird, zeigt das Registrierungsformular den Benutzernamen an, der vom Benutzer angegeben wurde. Voraussetzung für die Funktion zum Vorabbefüllen ist, dass die Antwort des Identitätsproviders für die Authentifizierungs-URL die folgenden Bedingungen erfüllt:
  • Content-Type muss application/json sein.
  • Das Format des Antworthauptteils muss JSON sein.
Im Folgenden sehen Sie eine Beispielantwort:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "username":"myuser",
  "email":"myuser@example.com",
  "first_name":"My",
  "last_name":"User"
}

Vorgehensweise

  1. Klicken Sie im API-Manager auf Ressourcen „Ressourcen “.
  2. Wählen Sie Benutzerregistrys aus, um die Liste der aktuellen Benutzerregistrys in Ihrer Organisation anzuzeigen.
  3. Draft comment: felbin.james@ibm.com
    As part of the iPass documentation update, we're adding the audience tag. Once the portal becomes available in iPass, we can delete the Consumer Catalog and remove the audience filter from the Developer Portal. https://jsw.ibm.com/browse/APICON-10493
    Klicken Sie im Abschnitt „Benutzerregistrierungen“ auf „Erstellen “.
    Wichtig: Verwenden Sie keine gemeinsamen Benutzerregister zwischen dem API-Manager und dem Consumer-Katalog oder zwischen Standorten des Consumer-Katalogs, wenn die Selbstbedienungs-Onboarding-Funktion aktiviert ist oder wenn an einem der Standorte die Löschung von Konten zu erwarten ist. Sie sollten für sie separate Benutzerregister anlegen, auch wenn diese separaten Register auf denselben Backend-Authentifizierungsanbieter verweisen (zum Beispiel einen LDAP -Server). Durch diese Trennung kann der Consumer-Katalog im gesamten Katalog eindeutige E-Mail-Adressen gewährleisten, ohne dass der API-Manager dieselbe Anforderung erfüllen muss. Außerdem werden dadurch Probleme vermieden, die entstehen, wenn Benutzer ihre Konten aus dem Consumer Catalog löschen und dies sich anschließend auf ihren Zugriff auf den API Manager auswirkt.
  4. Wählen Sie URL "Benutzerregister" und geben Sie die folgenden Parameter ein:
    Feld Beschreibung
    Titel (erforderlich) Geben Sie einen beschreibenden Namen zur Verwendung in der Anzeige ein.
    Name (erforderlich) Der Name, der in CLI-Befehlen verwendet wird. Der Name wird automatisch generiert. Einzelheiten zu den CLI-Befehlen für die Verwaltung von Benutzerregistern finden Sie in der Referenzdokumentation zur Toolkit-CLI.
    Zusammenfassung (optional) Geben Sie eine kurze Beschreibung ein.
    Anzeigename (erforderlich) Der Name, der für die Auswahl durch den Benutzer angezeigt wird, wenn er sich bei einer Benutzerschnittstelle anmelden oder seinen API Manager -Account aktiviert.
    Hinweis: Der Verbraucherkatalog verwendet bei der Darstellung auf der Anmeldeseite die Title der Benutzerregister anstelle der Display Name.
    URL (erforderlich) Geben Sie die URL für den Authentifizierungsservice ein. Beim Aufbau der Authentifizierung wird ein GET-Aufruf an URL gesendet API Connect . Der Aufruf enthält den Benutzernamen und das Kennwort, die er vom Benutzer in seinem Berechtigungsheader erfasst hat. Entweder200 OKoder401 Unauthorizedwird zurückgegeben.
    TLS-Clientprofil (optional) Wählen Sie ein TLS-Clientprofil aus, um die sichere Authentifizierung mit einem bestimmten Web-Server zu ermöglichen.
    Groß-/Kleinschreibung Um eine ordnungsgemäße Handhabung der Großschreibung von Benutzernamen zu gewährleisten, müssen Sie sicherstellen, dass die Einstellung für die Groß-/Kleinschreibung hier mit der Einstellung auf Ihrem Back-End-Server mit Authentifizierungs-URL übereinstimmt:
    • Wählen Sie nur dann Groß-/Kleinschreibung muss beachtet werden aus, wenn Ihr Back-End-Server mit Authentifizierungs-URL die Unterscheidung von Groß-/Kleinschreibung unterstützt.
    • Wählen Sie nichtGroß-/Kleinschreibung muss beachtet werden aus, wenn Ihr Back-End-Server mit Authentifizierungs-URL die Unterscheidung von Groß-/Kleinschreibung nicht unterstützt.
    Hinweis: Der Consumer-Katalog unterscheidet bei Benutzernamen nicht zwischen Groß- und Kleinschreibung.
    Hinweis: Nachdem mindestens ein Benutzer in die Registry integriert wurde, können Sie diese Einstellung nicht ändern.
    E-Mail erforderlich Aktivieren Sie dieses Kontrollkästchen, wenn eine E-Mail-Adresse im Rahmen des Onboarding-Prozesses für Benutzer erforderlich ist. Bei Auswahl dieser Option muss der Quellenidentitätsprovider die E-Mail-Adresse im Rahmen des Authentifizierungsprozesses beim Onboarding angeben.
    Hinweis: Für die Registrierung beim Cloud Manager oder beim API Manager ist standardmäßig keine E-Mail-Adresse erforderlich, für die Registrierung beim Consumer Catalog ist sie jedoch erforderlich.
    Eindeutige E-Mail-Adresse Wählen Sie dieses Kontrollkästchen aus, wenn E-Mail-Adressen innerhalb der Benutzerregistry eindeutig sein müssen.
    Hinweis: Jedes Konto im Consumer-Katalog, auch über verschiedene Benutzerregister derselben Website hinweg, muss über eine eindeutige E-Mail-Adresse verfügen, einschließlich des Website-Administratorkontos.
  5. Klicken Sie auf Speichern.
  6. Fügen Sie die Benutzerregistry zum Sandbox-Katalog hinzu. Siehe Erstellen und Konfigurieren von Katalogen.

Ergebnisse

Die Benutzerregistry kann für die Basisauthentifizierung in der Sicherheitsdefinition für eine API verwendet werden. Weitere Informationen finden Sie unter „Sicherheitsschemata für die Basisauthentifizierung definieren“.