Gestión del acceso a la API de la aplicación

Editar en línea

Si un desarrollador crea una aplicación que utiliza una o varias de estas Verify funciones, la aplicación debe tener autorización para llamar a las API correspondientes Verify . Registra la aplicación interna como cliente de la API de aplicaciones en el acceso a la API para asignarle un ID de cliente y un secreto únicos.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM® Verify consola de administración como administrador.
Nota: Solo los usuarios con los permisos adecuados pueden ver el secreto del cliente. Para obtener más información, consulte las actualizaciones de seguridad para los derechos.

Acerca de esta tarea

Puedes conceder acceso a la API a tu aplicación al crearla o más adelante mediante la opción de edición. Se pueden crear los clientes de API para la aplicación y cada cliente de API puede tener un conjunto distinto de titularidades de acceso de API.

También puede implementar un filtro de IP para que la emisión y el uso de señales se puedan limitar a, o excluir, determinados rangos de direcciones IP.

Para las aplicaciones OIDC, también se pueden configurar las titularidades de acceso de API para el cliente SSO. Esos tokens están limitados a realizar aquellas acciones que el usuario que inicia sesión en la aplicación está autorizado a realizar en Verify.

Procedimiento

  1. Selecciona «Acceso a la API ».
  2. Cree el cliente API de aplicación.
    1. Selecciona «Añadir cliente API ».
    2. Especifique la siguiente información para el cliente de API:
      Tabla 1. Cliente de la API de la aplicación
      Información Descripciones
      Nombre Especifique el nombre del cliente de API.
      Nota: Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales:
      • -
      • .
      • _
      Habilitado

      Indica si el cliente de API está habilitado o inhabilitado.

      Un cliente de API habilitado para Habilitado puede llamar a las API a las que tiene derecho a acceder.

      Un Inhabilitado cliente de API desactivado no puede llamar a ninguna API, incluidas aquellas a las que tiene derecho de acceso.
      Nota:
      • Se puede tardar hasta 1 minuto antes de que este valor entre en vigor.
      • Si el cliente de API tiene una señal de acceso válida existente, puede seguir llamando a las API. Las señales de acceso tienen un periodo de validez limitado. La señal caduca en 2 horas. Cuando la señal de acceso caduca, el cliente de API ya no podrá llamar a las API.
      ID de cliente

      Identificador exclusivo del cliente de API.

      Esta información se genera y visualiza automáticamente en la lista Clientes de API después de guardar el cliente de API.
      Secreto de cliente

      Se utiliza con el ID de cliente para verificar la identidad del cliente de API.

      Es un secreto que solo deben conocer la aplicación y el servidor de autorizaciones.

      Esta información se genera automáticamente después de guardar el cliente de API. Vea los detalles de cliente de API.
      Método de autenticación de cliente Indica el método de autenticación de cliente para el cliente de API:
      Verifique los métodos de autenticación de cliente siguientes:
      • Default(Selección predeterminada)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      • TLS mutuo
        Nota: La función « TLS » no está disponible para aplicaciones personalizadas
      Atributo de autenticación de cliente TLS Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.
      El atributo de certificado que se utilizará para la autenticación.
      • DN de asunto
      • DNS SAN
      • URI SAN
      • IP SAN
      • Dirección de correo electrónico SAN
      Valor de atributo de autenticación de cliente TLS Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.

      El valor del atributo en el certificado que se utilizará para la autenticación.
      Señales de acceso con certificado enlazado
      Nota: Los tokens de acceso vinculados a certificados no están disponibles para aplicaciones personalizadas
      		 Indica si las señales generadas estarán enlazadas a un certificado. Para obtener más información sobre las señales de acceso enlazadas a certificado, consulte Autenticación de cliente TLS mutuo de OpenID Connect y señal de acceso enlazada a certificado.
      Validar JTI de aserción de cliente Indica si la JTI en la JWT de aserción de cliente se valida para un solo uso. Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de secreto de cliente o JWT de clave privada.
      Claves de verificación de firma permitidas Los ID de clave de verificación de firma que se pueden utilizar para verificar la JWT de la aserción de cliente. Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.
      Nota: Puedes especificar manualmente la clave de verificación de la firma. Se puede especificar más de una clave de verificación de firma.
      URI JWKS El URI donde la entidad de confianza publica sus claves públicas en formato JWK (JSON Web Keys). Este URI se utiliza para la verificación de firmas JWT. El sistema puede rechazar un URI de JWKS no alcanzable o que no responde. El sistema también puede rechazar el URI de JWKS si el tamaño de JWKS es demasiado grande. Si la entidad de confianza no publica un URI de JWKS, se puede añadir una clave pública, en forma de un certificado X509, en el sistema. Consulte la sección «Gestión de certificados ». El 'nombre descriptivo' asociado al certificado público es el valor de la cabecera de ID de clave (kid) de JWT.
  3. Configure la señal de acceso y caducidad de señal de renovación para limitar el tiempo de acceso no autorizado en caso de robo de estas señales.

    La señal de acceso se utiliza para autorizar el acceso al recurso protegido. Cuando la señal de acceso caduca, se revoca la autorización.

    Tabla 2. Configuración de tokens
    Campo Descripción
    Caducidad de señal de acceso (seg)

    Establece la longitud del tiempo en segundos transcurrido el cual la señal de acceso caduca.

    Establezca una caducidad de la señal de acceso de modo que limite el tiempo que un atacante pueda acceder al recurso con la señal robada cuando se compromete la aplicación cliente.

    Solo se permiten enteros positivos.

    El valor predeterminado es 7200 segundos. El valor mínimo permitido es 1 y el máximo es 2147483647 segundos.
    Formato de señal de acceso Indica si el token de acceso se genera como una cadena opaca, que es laDefaultconfiguración, o en formato JWT.
  4. Especifique la información siguiente si desea implementar un filtro de IP para asegurarse de que el ID de cliente y el secreto de API se distribuyen de forma segura.
    Tabla 3. Configuración del filtro de IP
    Campo Descripción
    Habilitar filtrado de IP

    Indica si el filtro de IP está habilitado o inhabilitado.
    Lista de permitidos. Lista de denegadas

    Indica el tipo de filtro, si la lista es una lista de permitidas o de denegadas.

    Es necesario si se ha habilitado Habilitar filtrado de IP.
    Filtros de IP

    Lista de filtros de IP.

    Es necesario si se ha habilitado Habilitar filtrado de IP.

    Los filtros de IP tienen el formato de una única dirección IP, rango de IP o máscara de subred de IP. Se da soporte a IPv4 e IPv6. Por ejemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48.
  5. Especifique los atributos de firma para la señal de ID y para las señales de acceso de formato JWT. La parte que confía utiliza la firma para verificar la integridad y la autenticidad de las afirmaciones del usuario que figuran en el token, así como la del proveedor de identidad OpenID Connect que firmó el token.
    Nota:

    Las opciones de firma solo están disponibles para aplicaciones personalizadas.

    Tabla 4. Opciones de firma
    Campo Descripción
    Algoritmo de firma

    El algoritmo que Verify se utiliza para firmar el token de identificación y los tokens de acceso en formato JWT. VerifyEl algoritmo debe coincidir con el que la parte que confía haya registrado.

    Elija uno para verificar la firma entre los siguientes algoritmos hash:
    • HS256
    • HS384
    • HS512
    • RS256 (valor predeterminado)
    • RS384
    • RS512
    Nota: Los algoritmos HS no se muestran si se opta por no generar un secreto de cliente.
    Certificado de firma

    Esta opción solo se muestra si ha seleccionado uno de los algoritmos de firma RS.

    Utilice este certificado para firmar la señal de ID y las señales de acceso de formato JWT durante el inicio de sesión único.

    La selección predeterminada hace referencia al certificado personal predeterminado que has configurado en «Configuración > Certificados > Certificados personales ».
  6. Marca la casilla «Restringir ámbitos personalizados ».
    Si selecciona Restringir ámbitos personalizados, los ámbitos que se conceden al cliente al final del flujo se restringen a los ámbitos especificados en esta sección. Escriba el nombre del ámbito personalizado que desea otorgar y una descripción. El nombre de ámbito es el ámbito OAuth2/OIDC solicitado por una entidad de confianza/cliente. La descripción es una explicación descriptiva del ámbito. Selecciona esta opción para conceder más permisos.
  7. Seleccione las API a las que desea otorgar acceso. Consulte los derechos de acceso para obtener más información.
    Si Seleccionar todo se ha establecido en Desactivado, seleccione las API a las que desea que el cliente tenga acceso. Si Seleccionar todo se ha establecido en Activado, el cliente podrá acceder a todas las API. No obstante, puede desmarcar los recuadros de selección de las API a las que no desee que el cliente tenga acceso.
    Nota:
    • Puede crear un cliente de API que no tenga permiso inicial para llamar a ninguna API. Puede editarlo más adelante para otorgar el acceso a la API específica.
    • Solo las API que son relevantes a su plan de suscripción están disponibles para seleccionarlas.
    • Para las aplicaciones OIDC, un cliente predeterminado con un nombre de cliente que sea el mismo que el nombre de aplicación se encuentra en la lista de clientes de API para esa aplicación. No se puede suprimir a menos que se suprima la aplicación o conmute a un método de inicio de sesión distinto.
  8. Selecciona «Guardar ».
    Se generan el ID de cliente y el Secreto de cliente y se crea el cliente de API de aplicación.
  9. Vea los detalles de cliente de API.
    • Desplácese o utilice el campo de búsqueda para buscar el cliente de API. Se mostrarán todos los clientes que coincidan con la entrada de búsqueda.
    • Seleccione el cliente de API cuya información desea ver. Se muestran los detalles del cliente de la API.
    • Pasa el cursor por encima del cliente de la API y selecciona el Editar icono cuando aparezca. Se visualiza el recuadro de diálogo Editar cliente de API.
      Utilice las siguientes opciones:
      • Selecciona Copiar en el portapapeles esta opción para copiar el ID de cliente o el secreto en el portapapeles.
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
  10. Edite el cliente de API.
    1. Desplace la pantalla para encontrar el cliente de API.
    2. Pasa el cursor por encima del cliente de la API y selecciona el Editar icono cuando aparezca.
      Se visualiza el recuadro de diálogo Editar cliente de API.
    3. Edite la información.
      Si está editando la aplicación existente, puede utilizar las siguientes opciones de secreto de cliente:
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
      • Selecciona Copiar esta opción para copiar el ID de cliente o el secreto en el portapapeles.
      • Selecciona Lista esta opción para ver los secretos de cliente rotados.
        • Selecciona uno o varios secretos de cliente rotados de la lista y haz clic en «Eliminar» para borrarlos.
      • Seleccione Volver a generar para generar un nuevo secreto de cliente. Utilice esta opción si piensa que el secreto de cliente está comprometido. Si vuelve a generar el secreto de cliente, debe actualizar el secreto de cliente en todos los clientes OAuth de la aplicación.
        • Marca la casilla «Conservar el secreto actual » para añadir el secreto de cliente actual a la lista de secretos de cliente rotados.
        • Si la casilla «Conservar el secreto actual» está marcada, selecciona la descripción del secreto del cliente y la fecha de caducidad (en la hora local del navegador). Si no se selecciona ningún plazo de caducidad, se aplicará el «Plazo de vigencia del secreto rotado» del inquilino establecido en la configuración de la aplicación.
        • Los secretos de cliente rotados se someten a un proceso de hash y ya no se pueden recuperar en texto sin cifrar, pero pueden seguir utilizándose hasta la fecha de caducidad seleccionada.
        • Tras la confirmación, el secreto de cliente se renueva inmediatamente. El nuevo secreto de cliente aparece en pantalla.
    4. Selecciona «Guardar ».
  11. Suprima el cliente de API.
    1. Desplace la pantalla para encontrar el cliente de API.
    2. Elija una de las siguientes opciones:
      • Seleccione un cliente de API. Cuando aparezca el panel «Detalles», selecciona «Eliminar ».
      • Para suprimir varios clientes de API, marque los recuadros de selección situados junto a los clientes de API y, a continuación, seleccione suprimir.
    3. Selecciona «Eliminar ».
    4. Confirme que desea suprimir los clientes de API seleccionados. Los clientes de API se suprimen permanentemente al guardar la aplicación.