Anwendungs-API-Zugriff verwalten

Online bearbeiten

Wenn ein Entwickler eine Anwendung erstellt, die eine oder mehrere Verify -Funktionen verwendet, muss die Anwendung berechtigt sein, die entsprechenden Verify -APIs aufzurufen. Registrieren Sie die interne Anwendung als Anwendungs-API-Client in API-Zugriff , um ihr eine eindeutige Client-ID und einen geheimen Schlüssel zuzuweisen.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich an der IBM® Verify -Administrationskonsole als Administrator an.
Hinweis: Nur Benutzer mit den entsprechenden Berechtigungen können das Client-Geheimnis sehen. Weitere Informationen finden Sie unter Sicherheitsupdates für Berechtigungen.

Informationen zu dieser Task

Sie können API-Zugriff auf Ihre Anwendung erteilen, wenn Sie sie erstellen oder später mithilfe der Bearbeitungsoption. API-Clients können für die Anwendung erstellt werden und jeder API-Client kann über eine andere Gruppe von API-Zugriffsnutzungsrechten verfügen.

Sie können auch einen IP-Filter implementieren, sodass die Tokenausstellung und -verwendung auf einen bestimmten IP-Adressbereich begrenzt oder ein bestimmter IP-Adressbereich ausgeschlossen werden kann.

Für OIDC-Anwendungen können auch API-Zugriffsnutzungsrechte für den SSO-Client konfiguriert werden. Diese Tokens sind auf die Ausführung von Aktionen beschränkt, zu deren Ausführung der Benutzer, der sich bei der Anwendung anmeldet, in Verifyberechtigt ist.

Vorgehensweise

  1. Wählen Sie API-Zugriffaus.
  2. Erstellen Sie den Anwendungs-API-Client.
    1. Wählen Sie API-Client hinzufügenaus.
    2. Geben Sie die folgenden Informationen für den API-Client an:
      Tabelle 1. Anwendungs-API-Client
      Information Beschreibung
      Name Geben Sie den Namen des API-Clients an.
      Hinweis: Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig:
      • -
      • .
      • _
      Aktiviert

      Gibt an, ob der API-Client aktiviert oder inaktiviert ist.

      Ein von Aktiviert aktivierter API-Client kann die APIs aufrufen, auf die er zugreifen darf.

      Ein Inaktiviert deaktivierter API-Client kann keine APIs aufrufen, auch nicht diejenigen, auf die er Zugriffsberechtigung hat.
      Hinweis:
      • Es kann bis zu 1 Minute dauern, bevor diese Einstellung wirksam wird.
      • Wenn für den API-Client ein gültiges Zugriffstoken vorhanden ist, kann er weiterhin die APIs aufrufen. Zugriffstokens haben einen begrenzten Gültigkeitszeitraum. Das Token läuft nach 2 Stunden ab. Wenn das Zugriffstoken abgelaufen ist, kann der API-Client die APIs nicht mehr aufrufen.
      Client ID

      Die eindeutige ID des API-Clients.

      Diese Informationen werden nach dem Speichern des API-Clients automatisch generiert und in der Liste API-Clients angezeigt.
      Clientschlüssel

      Wird zusammen mit der Client-ID verwendet, um die Identität des API-Clients zu verifizieren.

      Der geheime Schlüssel darf nur der Anwendung und dem Berechtigungsserver bekannt sein.

      Diese Informationen werden nach dem Speichern des API-Clients automatisch generiert. Zeigen Sie die Details zum API-Client an.
      Clientauthentifizierungsmethode Gibt die Methode zur Clientauthentifizierung für den API-Client an:
      Verify unterstützt die folgenden Clientauthentifizierungsmethoden:
      • Default(Standardauswahl)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      • Gegenseitige TLS
        Hinweis: Gegenseitiges TLS ist für kundenspezifische Anwendungen nicht verfügbar
      TLS-Clientauthentifizierungsattribut Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode "Mutual TLS" ausgewählt ist.
      Das Zertifikatsattribut, das für die Authentifizierung verwendet wird.
      • Registrierter Name des Zertifikatsinhabers
      • SAN DNS
      • SAN-URI
      • SAN-IP
      • SAN-E-Mail-Adresse
      Attributwert für TLS-Clientauthentifizierung Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode "Mutual TLS" ausgewählt ist.

      Der Wert des Attributs im Zertifikat, das für die Authentifizierung verwendet wird.
      Zertifikatgebundene Zugriffstoken
      Hinweis: Zertifikatgebundene Zugriffstoken sind für angepasste Anwendungen nicht verfügbar.
      		 Gibt an, ob die generierten Tokens zertifikatgebunden sind. Weitere Informationen zu zertifikatgebundenen Zugriffstoken finden Sie unter Gegenseitige OpenID Connect-TLS-Clientauthentifizierung und zertifikatgebundenes Zugriffstoken.
      Clientzusicherungs-JTI validieren Gibt an, ob der JTI im Clientzusicherungs-JWT bezüglich einmaliger Verwendung validiert wird. Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Geheimer Clientschlüssel - JWT' oder 'Privater Schlüssel - JWT' ausgewählt ist.
      Zulässige Signaturprüfungsschlüssel Die Signaturprüfungsschlüssel-IDs, die verwendet werden können, um das Clientzusicherungs-JWT zu verifizieren. Diese Option wird nur angezeigt, wenn die Clientauthentifizierungsmethode 'Privater Schlüssel - JWT' ausgewählt ist.
      Anmerkung: Sie können den Signaturprüfschlüssel manuell angeben. Es können mehrere Schlüssel zur Signaturprüfung angegeben werden.
      JWKS-URI Der URI, an dem die Relying Party ihren öffentlichen Schlüssel im JSON Web Key-Format (JWKS-Format) publiziert. Dieser URI wird für die JWT-Signaturprüfung verwendet. Das System kann einen JWKS-URI, der nicht erreichbar ist oder nicht reagiert, zurückweisen. Das System kann den JWKS-URI auch zurückweisen, wenn die JWKS-Größe zu groß ist. Wenn die Relying Party keinen JWKS-URI publiziert, kann dem System ein öffentlicher Schlüssel in Form eines X509-Zertifikats hinzugefügt werden. Siehe Zertifikate verwalten. Der Anzeigename, der dem öffentlichen Zertifikat zugeordnet ist, ist der Wert des Headers für die Schlüssel-ID (kid = key id) des JWT.
  3. Konfigurieren Sie den Ablauf des Zugriffstokens und des Aktualisierungstokens, um die Dauer des unbefugten Zugriffs zu begrenzen, wenn diese Tokens gestohlen werden.

    Das Zugriffstoken wird verwendet, um die Berechtigung zum Zugriff auf die geschützte Ressource zu erteilen. Nachdem das Zugriffstoken abgelaufen ist, wird die Berechtigung entzogen.

    Tabelle 2. Token-Einstellungen
    Feld Beschreibung
    Ablauf des Zugriffstokens (Sek.)

    Legt die Dauer (angegeben in Sekunden) fest, nach der das Zugriffstoken abläuft.

    Legen Sie den Ablauf des Zugriffstokens fest, um die Zeit zu begrenzen, die ein Angreifer mit dem gestohlenen Token auf die Ressource zugreifen kann, wenn die Sicherheit der Clientanwendung beeinträchtigt ist.

    Es sind nur positive ganze Zahlen zulässig.

    Der Standardwert ist 7200 Sekunden. Der zulässige Mindestwert ist 1 Sekunde und der Maximalwert 2147483647 Sekunden.
    Format des Zugriffstokens Gibt an, ob das Zugriffstoken als nicht transparente Zeichenfolge erzeugt wird. Dies ist dieDefaultoder im JWT-Format.
  4. Geben Sie die folgenden Informationen an, wenn ein IP-Filter implementiert werden soll, um sicherzustellen, dass die API-Client-ID und der geheime Schlüssel sicher verteilt werden.
    Tabelle 3. IP-Filtereinstellungen
    Feld Beschreibung
    IP-Filterung aktivieren

    Gibt an, ob der IP-Filter aktiviert oder inaktiviert ist.
    Liste zulassen. Verweigerungsliste

    Gibt den Typ des Filters an; gibt an, ob es sich um eine Zulassungs- oder Zurückweisungsliste handelt.

    Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.
    IP-Filter

    Liste der IP-Filter.

    Erforderlich, wenn IP-Filterung aktivieren aktiviert ist.

    Das Format der IP-Filter besteht aus einer einzelnen IP-Adresse, einem IP-Bereich oder einer IP-Teilnetzmaske. Sowohl IPv4 als auch IPv6 werden unterstützt. Beispiel: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48.
  5. Geben Sie die Signaturattribute für das ID-Token und die Zugriffstokens im JWT-Format an. Die Relying Party verwendet die Signatur, um die Integrität und Authentizität der Benutzeranforderungen zu überprüfen, die im Token enthalten sind, und den OpenID Connect -Identitätsprovider , der das Token signiert hat.
    Hinweis:

    Die Berechtigungsoptionen sind nur für angepasste Anwendungen verfügbar.

    Tabelle 4. Signatur-Optionen
    Feld Beschreibung
    Signaturalgorithmus

    Der Algorithmus, den Verify zum Signieren des ID-Tokens und der Zugriffstoken im JWT-Format verwendet. Der Algorithmus muss mit dem übereinstimmen, den die Relying Party bei Verifyregistriert hat.

    Wählen Sie einen der folgende Hashalgorithmen aus, um die Signatur zu verifizieren:
    • HS256
    • HS384
    • HS512
    • RS256 (Standardwert)
    • RS384
    • RS512
    Hinweis: Die HS-Algorithmen werden nicht angezeigt, wenn Sie ausgewählt haben, dass kein geheimer Clientschlüssel erstellt werden soll.
    Signaturzertifikat

    Diese Option wird nur angezeigt, wenn Sie einen der RS-Signaturalgorithmen ausgewählt hatten.

    Verwenden Sie dieses Zertifikat, um das ID-Token und die Zugriffstokens im JWT-Format während der einmaligen Anmeldung zu signieren.

    Die Standardauswahl bezieht sich auf das Standard-Personalzertifikat, das Sie unter „Konfiguration > Zertifikate > Personalzertifikate“ konfiguriert haben.
  6. Wählen Sie das Kontrollkästchen Angepasste Bereiche beschränken aus.
    Wenn Sie Angepasste Geltungsbereiche einschränken auswählen, werden die Geltungsbereiche, die dem Client am Ende des Ablaufs zugeordnet werden, auf die in diesem Abschnitt angegebenen Geltungsbereiche beschränkt. Geben Sie den Namen des angepassten Geltungsbereichs, der erteilt werden soll, und eine Beschreibung ein. Der Geltungsbereichsname bezieht sich auf den OAuth2-/OIDC-Geltungsbereich, der von einer Relying Party/einem Relying Client angefordert wird. Die Beschreibung ist eine aussagefähige Erläuterung für den Geltungsbereich. Wählen Sie diese Option aus, um weitere Bereiche zu erteilen.
  7. Wählen Sie die APIs aus, denen Zugriff erteilt werden soll. Weitere Informationen finden Sie unter Zugriffsberechtigungen.
    Wenn Alles auswählen auf Aus gesetzt wird, wählen Sie die APIs aus, auf die dem Client Zugriff erteilt werden soll. Wenn Alles auswählen auf Ein gesetzt wird, wird dem Client Zugriff auf alle APIs erteilt. Sie können jedoch die Kontrollkästchen für alle APIs abwählen, auf die der Client keinen Zugriff haben soll.
    Hinweis:
    • Sie können einen API-Client ohne anfängliche Berechtigung zum Aufrufen von APIs erstellen. Sie können ihn später bearbeiten, um den spezifischen API-Zugriff zu erteilen.
    • Es sind nur die für Ihren Subskriptionsplan relevanten APIs für die Auswahl verfügbar.
    • Für OIDC-Anwendungen ist ein Standardclient mit einem Clientnamen, der mit dem Anwendungsnamen übereinstimmt, in der Liste der API-Clients für diese Anwendung vorhanden. Er kann nicht gelöscht werden, es sei denn, die Anwendung wird gelöscht oder es wird zu einer anderen Anmeldemethode gewechselt.
  8. Wählen Sie Speichern.
    Die Client-ID und der geheime Clientschlüssel werden generiert und der Anwendungs-API-Client wird erstellt.
  9. Zeigen Sie die Details zum API-Client an.
    • Blättern Sie oder verwenden Sie das Suchfeld, um den API-Client zu finden. Alle Clients, die mit Ihrem Sucheintrag übereinstimmen, werden angezeigt.
    • Wählen Sie den API-Client aus, dessen Informationen angezeigt werden sollen. Die API-Clientdetails werden angezeigt.
    • Bewegen Sie den Mauszeiger über den API-Client und wählen Sie das Bearbeiten Symbol aus, sobald es angezeigt wird. Das Dialogfenster API-Client bearbeiten wird angezeigt.
      Verwenden Sie die folgenden Optionen:
      • Wählen Sie, um die Client-ID oder den In Zwischenablage kopieren geheimen Schlüssel in die Zwischenablage zu kopieren.
      • Wählen Sie Anzeigen aus, um den geheimen Clientschlüssel anzuzeigen.
      • Wählen Sie Ausblenden aus, um den geheimen Clientschlüssel auszublenden.
  10. Bearbeiten Sie den API-Client.
    1. Blättern Sie, um den API-Client zu finden.
    2. Bewegen Sie den Mauszeiger über den API-Client und wählen Sie das Bearbeiten Symbol aus, sobald es angezeigt wird.
      Das Dialogfenster API-Client bearbeiten wird angezeigt.
    3. Bearbeiten Sie die Informationen.
      Wenn Sie eine vorhandene Anwendung bearbeiten, können Sie die folgenden Optionen für den geheimen Clientschlüssel verwenden:
      • Wählen Sie Anzeigen aus, um den geheimen Clientschlüssel anzuzeigen.
      • Wählen Sie Ausblenden aus, um den geheimen Clientschlüssel auszublenden.
      • Wählen Sie, um die Client-ID oder den Kopieren geheimen Schlüssel in die Zwischenablage zu kopieren.
      • Wählen Sie Liste aus, um gedrehte Client-Geheimnisse anzuzeigen.
        • Wählen Sie ein oder mehrere rotierte Client-Geheimnisse aus der Liste aus, und klicken Sie auf Löschen, um sie zu löschen.
      • Wählen Sie Neu generieren aus, um einen neuen geheimen Clientschlüssel zu generieren. Verwenden Sie diese Option, wenn Sie vermuten, dass die Geheimhaltung des geheimen Clientschlüssels nicht mehr gewährleistet ist. Wenn Sie den geheimen Clientschlüssel nicht neu generieren, müssen Sie den geheimen Clientschlüssel in allen OAuth-Clients für die Anwendung aktualisieren.
        • Aktivieren Sie das Kontrollkästchen für Aktuelles Geheimnis beibehalten, um das aktuelle Client-Geheimnis in die Liste der rotierenden Client-Geheimnisse aufzunehmen.
        • Wenn das Kontrollkästchen Aktuelles Geheimnis beibehalten aktiviert ist, wählen Sie die Beschreibung des Client-Geheimnisses und die Ablaufzeit (in Browser-Lokalzeit). Wenn keine Ablaufzeit ausgewählt wird, gilt die in den Anwendungseinstellungen festgelegte Lebensdauer des rotierenden Geheimnisses des Mandanten.
        • Rotierte Client-Geheimnisse werden gehasht und können nicht mehr im Klartext abgerufen werden, aber sie können noch bis zum gewählten Ablaufdatum verwendet werden.
        • Nach der Bestätigung wird das Kundengeheimnis sofort gedreht. Das neue Kundengeheimnis wird auf dem Bildschirm angezeigt.
    4. Wählen Sie Speichern.
  11. Löschen Sie den API-Client.
    1. Blättern Sie, um den API-Client zu finden.
    2. Treffen Sie eine Auswahl aus den folgenden Optionen:
      • Wählen Sie einen API-Client aus. Wenn das Teilfenster Details angezeigt wird, wählen Sie Löschenaus.
      • Um mehrere API-Clients zu löschen, wählen Sie die Kontrollkästchen neben den API-Clients aus und wählen Sie dann 'Löschen' aus.
    3. Wählen Sie Löschenaus.
    4. Bestätigen Sie, dass die ausgewählten API-Clients gelöscht werden sollen. Die API-Clients werden endgültig gelöscht, wenn die Anwendung gespeichert wird.