API-Clients erstellen

Online bearbeiten

Wenn ein Entwickler eine Anwendung erstellt, die eine oder mehrere der Verify Funktionen nutzt, muss die Anwendung über die entsprechenden Verify API-Aufrufe verfügen. Registrieren Sie die interne Anwendung als API-Client im API-Zugang, um ihr eine eindeutige Client-ID und ein Geheimnis zuzuweisen.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.
Hinweis: Nur Benutzer mit den entsprechenden Berechtigungen können das Client-Geheimnis einsehen. Weitere Informationen finden Sie unter „Sicherheitsupdates für Berechtigungen “.

Informationen zu dieser Task

Jedem API-Client, den Sie unter „API-Zugriff“ hinzufügen, werden eine Client-ID und ein Client-Secret zugewiesen, die Sie dem Anwendungsentwickler mitteilen müssen. Der Entwickler muss diese Berechtigungsnachweise sicher aufbewahren.

Alle öffentlich zugänglichen Laufzeitschnittstellen der Verify Authentifizierungsdienste sind durch „ OAuth “-Zugriffstoken geschützt. Die aufrufenden Anwendungen müssen zur Laufzeit eine OAuth-Client-ID und einen geheimen OAuth-Schlüssel für den Austausch gegen ein OAuth-Zugriffstoken im Berechtigungsservice in Ihrem Tenant bereitstellen. Das Zugriffstoken wird dann verwendet, um die Ziel-API Verify aufzurufen. Das Token muss bei jedem API-Aufruf angegeben werden.

Sie können auch einen IP-Filter implementieren, sodass die Tokenausstellung und -verwendung auf einen bestimmten IP-Adressbereich begrenzt oder ein bestimmter IP-Adressbereich ausgeschlossen werden kann.

Weitere Informationen zu den API-Operationen, Antworten und Einschränkungen finden Sie in der API-Dokumentation unter https://docs.verify.ibm.com/verify/page/api-documentation.

Vorgehensweise

  1. Wählen Sie „Sicherheit“ > „API-Zugriff“ > „API-Clients“
  2. Fügen Sie einen API-Client hinzu.
    1. Wählen Sie „API-Client hinzufügen “.
    2. Wählen Sie die Kontrollkästchen für die Nutzungsrechte aus, die erteilt werden sollen.
      Das Kontrollkästchen „Berechtigungsname“ gewährt dem API-Client alle Berechtigungen.
    3. Wählen Sie „Weiter “.
    4. Beschränkungen festlegen.
      Hinweis: Die Beschränkung der API-Client-Verwaltung auf bestimmte Benutzergruppen ist eine Funktion, die angefragt werden kann: CI-102537. Um diese Funktion anzufordern, wenden Sie sich bitte an Ihren Vertriebsmitarbeiter bei IBM oder an IBM und teilen Sie uns mit, dass Sie diese Funktion nutzen möchten. Wenn Sie die Berechtigung zum Erstellen eines Support-Tickets haben, erstellen Sie es bitte unter Angabe der Zahlen aus der öffentlichen Vorschau. IBM Verify Mit Probeabonnements können keine Support-Tickets erstellt werden.
      Dieser Schritt ist verfügbar, wenn Sie eine der Berechtigungen mit einem einschränkbaren Typ ausgewählt haben.
      • manageGroupMembers
      • manageGroups
      • manageUsers
      • manageUserGroups
      • readGroups
      • readGroupMembers
      • readUserGroups
      • readUserGroupMembership
      • readUsers
      • resetPasswordAnyUser
      • updateAnyGroupMember
      Aktivieren Sie das Kontrollkästchen, um diese Berechtigungen auf bestimmte Gruppen zu beschränken.
      Hinweis: Gruppenbeschränkungen können nicht verwendet werden, wenn eine der folgenden Berechtigungen ausgewählt ist.
      • manageAllUserGroups
      • manageStandardGroupMembers
      • manageUsersInStandardGroups
      • manageStandardGroups
      • manageUsersStandardGroups
      • readStandardGroupMembers
      • readStandardGroupMembership
      • readStandardGroups
      • updateAnyUser

      Wenn Ihr primärer API-Client über die manageAPIClients entsprechende Berechtigung verfügt, können Sie für sekundäre API-Clients, die mithilfe der Backend-APIs APIClients erstellt wurden, Operationen zum Erstellen, Abrufen, Aktualisieren und Löschen durchführen. Falls Sie weitere Berechtigungen ausgewählt haben, können Sie die Berechtigungen einschränken, die an die API-Clients weitergegeben werden. Wählen Sie „Auswahl aus vorherigem Schritt übernehmen“, um alle ausgewählten Ansprüche mit Ausnahme von manageAPIClients… zu übernehmen. W ählen Sie eine Teilmenge der Berechtigungen aus, um festzulegen, welche der ausgewählten Berechtigungen Sie an die Backend-API-Clients weitergeben möchten.

    5. Wählen Sie „Weiter “.
    6. Geben Sie im Abschnitt „API-Anmeldedaten“ die folgenden Informationen an, damit die Anwendung über die API eine Verbindung zum Mandanten herstellen kann:
      Tabelle 1. Einstellungen für API-Anmeldedaten
      Feld Beschreibung
      Client ID Die eindeutige ID des API-Clients.

      Diese Informationen werden automatisch generiert und in der Liste der API-Clients angezeigt, nachdem Sie den API-Client gespeichert haben.
      Clientschlüssel Wird zusammen mit der Client-ID verwendet, um die Identität des API-Clients zu verifizieren.

      Der geheime Schlüssel darf nur der Anwendung und dem Berechtigungsserver bekannt sein.

      Diese Informationen werden nach dem Speichern des API-Clients automatisch generiert.
      Clientauthentifizierungsmethode Verify unterstützt die folgenden Methoden zur Clientauthentifizierung:
      • Default(Standardauswahl)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      Für die JWT-Authentifizierung mit privatem Schlüssel stehen diese Felder zur Verfügung.
      Clientzusicherungs-JTI validieren Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.

      Gibt an, ob der JTI im Clientzusicherungs-JWT bezüglich einmaliger Verwendung validiert wird.
      Zulässige Signaturprüfungsschlüssel Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.

      Die Signaturprüfungsschlüssel-IDs, die verwendet werden können, um das Clientzusicherungs-JWT zu verifizieren.
      JWKS-URI Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.

      Der URI, unter dem die Relying Party ihre öffentlichen Schlüssel im JWKS-Format (JWKS = JSON Web Keys Set) veröffentlicht. Dieser URI wird für die JWT-Signaturprüfung oder -Verschlüsselung verwendet. Das System kann einen JWKS-URI, der nicht erreichbar ist oder nicht reagiert, zurückweisen. Das System kann den JWKS-URI auch zurückweisen, wenn die JWKS-Größe zu groß ist. Wenn die Relying Party keinen JWKS-URI publiziert, kann dem System ein öffentlicher Schlüssel in Form eines X509-Zertifikats hinzugefügt werden. Siehe „Zertifikate verwalten “. Der 'Anzeigename', der dem öffentlichen Zertifikat zugeordnet ist, ist der Wert des Headers der Schlüssel-ID (kid) des JWT.
    7. Wählen Sie „Weiter“.
    8. Optional: Aktivieren Sie das Kontrollkästchen, um nur konfigurierte Bereiche zuzulassen.
      Die Geltungsbereiche, die dem Client am Ende des Ablaufs zugeordnet werden, werden auf die in diesem Abschnitt angegebenen Geltungsbereiche beschränkt. Geben Sie den Namen des Geltungsbereichs, der erteilt werden soll, und eine Beschreibung ein. Der Geltungsbereichsname bezieht sich auf den OAuth2-/OIDC-Geltungsbereich, der von einer Relying Party/einem Relying Client angefordert wird. Wählen Sie diese Option aus, um weitere Bereiche zu gewähren.
    9. Wählen Sie „Weiter “.
    10. Optional: Geben Sie im Abschnitt „IP-Filter“ die folgenden Informationen an, wenn Sie einen IP-Filter implementieren möchten, um sicherzustellen, dass die API-Client-ID und der API-Secret sicher verteilt werden:
      Tabelle 2. IP-Filtereinstellungen
      Feld Beschreibung
      IP-Filterung aktivieren

      Gibt an, ob der IP-Filter aktiviert oder inaktiviert ist.
      • Zulassungsliste
      • Zurückweisungsliste

      Gibt den Typ des Filters an; gibt an, ob es sich um eine Zulassungs- oder Zurückweisungsliste handelt.

      Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.
      IP-Filter

      Liste der IP-Filter.

      Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.

      Das Format der IP-Filter besteht aus einer einzelnen IP-Adresse, einem IP-Bereich oder einer IP-Teilnetzmaske. Sowohl IPv4 als auch IPv6 werden unterstützt. Beispiel: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
    11. Wählen Sie „Weiter “.
    12. Optional: Fügen Sie Eigenschaften und Werte hinzu, die dem API-Client zugeordnet werden sollen.
    13. Wählen Sie „Weiter “.
    14. Geben Sie die folgenden Informationen für den API-Client an, um die Konfiguration auszuführen.
      Ihren Namen
      Hinweis: Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig:
      • - Bindestrich
      • . Punkt
      • _ Unterstrich
      Beschreibung
      Eine Erläuterung, um den Zweck des API-Clients auf einfache Weise zu identifizieren.
      Aktiviert

      Gibt an, ob der API-Client aktiviert oder inaktiviert ist. Die Standardeinstellung ist 'Aktiviert'.

      Ein freigeschalteter API-Client kann die APIs aufrufen, auf die er Zugriff hat.

      Wenn das Kontrollkästchen abgewählt wird, kann der inaktivierte API-Client keine APIs aufrufen; dies umfasst auch die APIs, für die er für den Zugriff berechtigt ist.
      Hinweis:
      • Es kann bis zu 1 Minute dauern, bevor diese Einstellung wirksam wird.
      • Wenn für den API-Client ein gültiges Zugriffstoken vorhanden ist, kann er weiterhin die APIs aufrufen. Zugriffstokens haben einen begrenzten Gültigkeitszeitraum. Das Token läuft nach 2 Stunden ab. Wenn das Zugriffstoken abgelaufen ist, kann der API-Client die APIs nicht mehr aufrufen.
      Tags
      Sie können bis zu 20 Tags hinzufügen, um die Auffindbarkeit Ihres API-Clients zu verbessern. Die Tags dürfen maximal 100 Zeichen ohne Leerzeichen umfassen und können Zahlen, Kleinbuchstaben sowie die folgenden Sonderzeichen enthalten.
      • : (Doppelpunkt)
      • - (Bindestrich)
      • _ (Unterstreichungszeichen)
      • . (Punkt)
      • = (Gleichheitszeichen)
      • @ (kommerzielles A)
      • / (Schrägstrich)
    15. Wählen Sie „API-Client erstellen “.
      Client-ID und Geheimer Clientschlüssel und der geheime Kubernetes-Schlüssel werden generiert.

Nächste Schritte

Fügen Sie die Domänen hinzu, von denen aus Ihr API-Client die Verify APIs aufrufen kann. Siehe „Domains verwalten “.

Verbindungsdetails anzeigen

Online bearbeiten

Sie können Ihre Client-Anmeldedaten kopieren und Ihren „ Kubernetes “-Schlüssel herunterladen.

Vorgehensweise

  1. Wählen Sie den API-Client aus, dessen API-Berechtigungsnachweise Sie anzeigen möchten.
  2. Wählen Sie das Menü Symbol aus.
  3. Wählen Sie „Verbindungsdetails“ aus.
  4. Kopieren Sie abhängig von Ihren Verbindungsanforderungen die Client-ID und den geheimen Schlüssel und laden Sie die YAML-Datei für den geheimen Kubernetes-Schlüssel herunter.