Creación de clientes de API

Editar en línea

Si un desarrollador crea una aplicación que utiliza una o varias de estas Verify funciones, la aplicación debe tener autorización para llamar a las API correspondientes Verify . Registra la aplicación interna como cliente de la API en «Acceso a la API» para asignarle un ID de cliente y un secreto únicos.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM® Verify consola de administración como administrador.
Nota: Solo los usuarios con los permisos adecuados pueden ver el secreto del cliente. Para obtener más información, consulte las actualizaciones de seguridad para los derechos.

Acerca de esta tarea

A cada cliente de API que añadas en «Acceso a la API » se le asigna un ID de cliente y un secreto de cliente que deberás facilitar al desarrollador de la aplicación. El desarrollador debe almacenar estas credenciales de forma segura.

Todas las interfaces de tiempo de ejecución expuestas de los Verify servicios de autenticación están protegidas por tokens de acceso de OAuth. Las aplicaciones de llamada deben proporcionar un secreto y un ID de cliente OAuth en el tiempo de ejecución para intercambiar para una señal de acceso OAuth en el servicio de autorización dentro del arrendatario. A continuación, el token de acceso se utiliza para llamar a la API de destino Verify . La señal debe proporcionarse en cada llamada de API.

También puede implementar un filtro de IP para que la emisión y el uso de señales se puedan limitar a, o excluir, determinados rangos de direcciones IP.

Consulte la documentación de la API en https://docs.verify.ibm.com/verify/page/api-documentation para obtener más información sobre las operaciones, las respuestas y las restricciones de la API.

Procedimiento

  1. Selecciona Seguridad > Acceso a la API > Clientes de la API
  2. Añada un cliente de API.
    1. Selecciona «Añadir cliente API ».
    2. Seleccione los recuadros de selección de las titularidades que desea otorgar.
      La casilla de verificación «Nombre del permiso» concede todos los derechos al cliente de la API.
    3. Selecciona «Siguiente ».
    4. Establece restricciones.
      Nota: La posibilidad de restringir la gestión de clientes de la API a grupos específicos de usuarios es una función que se puede solicitar; CI-102537. Para solicitar esta función, póngase en contacto con su representante de ventas de IBM o con IBM e indique su interés en habilitar esta función. Si tienes permiso para crear un ticket de asistencia, créalo con los números de la versión preliminar pública. IBM Verify Los usuarios con suscripciones de prueba no pueden crear tickets de asistencia.
      Este paso estará disponible si ha seleccionado alguno de los derechos de tipo restringible.
      • manageGroupMembers
      • manageGroups
      • manageUsers
      • manageUserGroups
      • readGroups
      • readGroupMembers
      • readUserGroups
      • readUserGroupMembership
      • readUsers
      • resetPasswordAnyUser
      • updateAnyGroupMember
      Marque la casilla de verificación para limitar estos derechos a determinados grupos.
      Nota: Las restricciones de grupo no se pueden utilizar si se ha seleccionado alguna de las siguientes autorizaciones.
      • manageAllUserGroups
      • manageStandardGroupMembers
      • manageUsersInStandardGroups
      • manageStandardGroups
      • manageUsersStandardGroups
      • readStandardGroupMembers
      • readStandardGroupMembership
      • readStandardGroups
      • updateAnyUser

      Si tu cliente de API principal dispone del manageAPIClients permiso correspondiente, podrás realizar operaciones de creación, recuperación, actualización y eliminación en los clientes de API secundarios creados mediante las API de back-end APIClients . Si has seleccionado otros derechos, puedes limitar los derechos que se transfieren a los clientes de la API. Selecciona «Usar selecciones del paso anterior» para mantener todos los derechos seleccionados, excepto manageAPIClients. Sel ecciona un subconjunto de derechos para especificar cuáles de los derechos seleccionados deseas transmitir a los clientes de la API de fondo.

    5. Selecciona «Siguiente ».
    6. En la sección de credenciales de la API, introduce la siguiente información para que la aplicación pueda conectarse al inquilino a través de la API:
      Tabla 1. Configuración de las credenciales de la API
      Campo Descripción
      ID de cliente Identificador exclusivo del cliente de API.

      Esta información se genera automáticamente y se visualiza en la lista Clientes de API después de guardar el cliente de API.
      Secreto de cliente Se utiliza con el ID de cliente para verificar la identidad del cliente de API.

      Es un secreto que solo deben conocer la aplicación y el servidor de autorizaciones.

      Esta información se genera automáticamente después de guardar el cliente de API.
      Método de autenticación de cliente Verify da soporte a los siguientes métodos de autenticación de cliente:
      • Default(Selección predeterminada)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      Para la autenticación JWT con clave privada, están disponibles estos campos.
      Validar JTI de aserción de cliente Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.

      Indica si la JTI en la JWT de aserción de cliente se valida para un solo uso.
      Claves de verificación de firma permitidas Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.

      Los ID de clave de verificación de firma que se pueden utilizar para verificar la JWT de la aserción de cliente.
      URI JWKS Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.

      El URI donde la entidad de confianza publica sus claves públicas en formato JWKS (JSON Web Keys Set). Este URI se utiliza para la verificación de firmas JWT o el cifrado. El sistema puede rechazar un URI de JWKS no alcanzable o que no responde. El sistema también puede rechazar el URI de JWKS si el tamaño de JWKS es demasiado grande. Si la entidad de confianza no publica un URI de JWKS, se puede añadir una clave pública, en forma de un certificado X509, en el sistema. Consulte la sección «Gestión de certificados ». El 'Nombre descriptivo' que está asociado con el certificado público es el valor de la cabecera de ID de clave (kid) de JWT.
    7. Selecciona «Siguiente».
    8. Opcional: Marca la casilla de verificación para permitir únicamente los ámbitos configurados.
      Los ámbitos que se otorgan al cliente al final del flujo están restringidos a los ámbitos especificados en esta sección. Escriba el nombre del ámbito que desea otorgar y una descripción. El nombre de ámbito es el ámbito OAuth2/OIDC solicitado por una entidad de confianza/cliente. Selecciona esta opción para conceder más permisos.
    9. Selecciona «Siguiente ».
    10. Opcional: En la sección «Filtro de IP», especifica la siguiente información si deseas implementar un filtro de IP para garantizar que el ID y el secreto del cliente de la API se distribuyan de forma segura:
      Tabla 2. Configuración del filtro de IP
      Campo Descripción
      Habilitar filtrado de IP

      Indica si el filtro de IP está habilitado o inhabilitado.
      • Lista de permitidas
      • Lista de denegadas

      Indica el tipo de filtro, si la lista es una lista de permitidas o de denegadas.

      Es necesario si se ha habilitado Habilitar filtrado de IP.
      Filtros de IP

      Lista de filtros de IP.

      Es necesario si se ha habilitado Habilitar filtrado de IP.

      Los filtros de IP tienen el formato de una única dirección IP, rango de IP o máscara de subred de IP. Se da soporte a IPv4 e IPv6. Por ejemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
    11. Selecciona «Siguiente ».
    12. Opcional: Añade propiedades y valores para asociarlos al cliente de la API.
    13. Selecciona «Siguiente ».
    14. Especifique la siguiente información para que el cliente de API complete la configuración.
      Nombre
      Nota: Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales:
      • - guión
      • . punto
      • _ guión bajo
      Descripción
      Una explicación para identificar fácilmente el propósito del cliente de API.
      Habilitado

      Indica si el cliente de API está habilitado o inhabilitado. El valor predeterminado está habilitado.

      Un cliente de API habilitado puede llamar a las API a las que tiene derecho a acceder.

      Si el recuadro no está seleccionado, un cliente de API inhabilitado no puede llamar a ninguna API, ni tan solo a las API a las que tiene autorización de acceso.
      Nota:
      • Se puede tardar hasta 1 minuto antes de que este valor entre en vigor.
      • Si el cliente de API tiene una señal de acceso válida existente, puede seguir llamando a las API. Las señales de acceso tienen un periodo de validez limitado. La señal caduca en 2 horas. Cuando la señal de acceso caduca, el cliente de API ya no podrá llamar a las API.
      Etiquetas
      Puedes añadir hasta 20 etiquetas para mejorar la visibilidad de tu cliente API en las búsquedas. Las etiquetas deben tener menos de 100 caracteres sin espacios y pueden contener números, letras minúsculas y los siguientes caracteres especiales.
      • : (dos puntos)
      • - (guión)
      • _ (subrayado)
      • . (punto)
      • = (signo de igualdad)
      • @ (arroba)
      • / (barra inclinada)
    15. Selecciona «Crear cliente API ».
      Se generan ID de cliente y Secreto de cliente y Secreto de Kubernetes.

Qué hacer a continuación

Añade los dominios desde los que tu cliente API puede acceder a las Verify API. Consulte la sección «Gestión de dominios ».

Ver los detalles de la conexión

Editar en línea

Puedes copiar tus credenciales de cliente y descargar tu clave secreta de Kubernetes.

Procedimiento

  1. Seleccione el cliente de API cuyas credenciales de API desea ver.
  2. Selecciona el Menú icono.
  3. Selecciona «Detalles de la conexión ».
  4. En función de los requisitos de conexión, copie el ID de cliente y el secreto y descargue el archivo YAML de secreto de Kubernetes.