Gestión de clientes STS

Editar en línea

Utiliza el cliente del Servicio de tokens de seguridad (STS) para intercambiar tokens. Sigue las especificaciones para el intercambio de tokens de OAuth al crear y gestionar tus clientes STS en IBM® Verify. Puedes validar tus aplicaciones de terceros utilizando el servicio de autenticación de Google ( OAuth ) como recurso protegido.

Antes de empezar

Nota: Solo los usuarios con los permisos adecuados pueden ver el secreto del cliente. Para obtener más información, consulte las actualizaciones de seguridad para los derechos.

Acerca de esta tarea

Configurar un cliente STS para el intercambio de tokens. Un cliente solicita un token de seguridad al punto final de tokens del servidor de autorización mediante el mecanismo de tipo de concesión de token de extensión. Las aplicaciones externas creadas utilizando Verify como proveedor de identidad pueden aceptar solicitudes REST de la API autenticadas con un token de acceso de OAuth 2.0 y diferentes métodos de autenticación. Para obtener más información, consulte https://www.rfc-editor.org/rfc/rfc8693.html.

Procedimiento

  1. Selecciona Aplicaciones > Clientes STS.
  2. Selecciona «Añadir cliente STS ».
  3. Facilita la información general.
    1. Opcional: Indique un ID de cliente.
      Si no introduces un ID de cliente, se creará uno al finalizar la configuración.
    2. Introduzca un nombre único para el cliente STS.
    3. Mantenga marcada la casilla «Habilitado ».
      Puedes activar o desactivar este cliente STS.
    4. Permitir el intercambio de tokens de acceso para la sesión de SSO. Si se selecciona «Predeterminado», la configuración general de la aplicación OIDC determina si los tokens de acceso pueden intercambiarse para una sesión de SSO.
  4. Selecciona «Siguiente ».
  5. Selecciona el método de autenticación del cliente.
    Esta configuración determina cómo se autentica el cliente.
    • En los métodos «Predeterminado», «Secreto de cliente (básico)» y «Secreto de cliente (POST)», el secreto de cliente se genera automáticamente al completar la configuración.
    • En el método JWT con clave privada, debes seleccionar un algoritmo de firma de la aserción del cliente y las claves de verificación de firmas permitidas. También puede seleccionar la JTI «Validar la aserción del cliente» para validar la aserción del cliente.
    • En el caso del método « TLS », debe especificar el atributo de autenticación de cliente « TLS » y el valor del atributo de autenticación de cliente « TLS ».
    • Si estás editando un cliente STS ya existente, puedes utilizar las siguientes opciones de secreto de cliente:
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
      • Selecciona Copiar esta opción para copiar el ID de cliente o el secreto en el portapapeles.
      • Selecciona Lista esta opción para ver los secretos de cliente rotados.
        • Selecciona uno o varios secretos de cliente renovados de la lista y haz clic en «Eliminar» para borrarlos.
      • Seleccione Volver a generar para generar un nuevo secreto de cliente. Utilice esta opción si piensa que el secreto de cliente está comprometido. Si vuelve a generar el secreto de cliente, debe actualizar el secreto de cliente en todos los clientes OAuth de la aplicación.
        • Marca la casilla «Conservar el secreto actual » para añadir el secreto de cliente actual a la lista de secretos de cliente rotados.
        • Si la casilla «Conservar el secreto actual» está marcada, selecciona la descripción del secreto del cliente y la fecha de caducidad (en la hora local del navegador). Si no se selecciona ningún plazo de caducidad, se aplicará el «Plazo de vigencia del secreto rotado» del inquilino establecido en la configuración de la aplicación.
        • Los secretos de cliente rotados se someten a un proceso de hash y ya no se pueden recuperar en texto sin cifrar, pero pueden seguir utilizándose hasta la fecha de caducidad seleccionada.
        • Tras la confirmación, el secreto de cliente se renueva inmediatamente. El nuevo secreto de cliente aparece en pantalla.
    Nota: El método de autenticación predeterminado del cliente es default.

    Si se deja como valor predeterminado, se permiten tanto el secreto de cliente básico como POST. Si este cliente es un cliente público, el secreto de cliente básico y POST no están permitidos. Si la parte dependiente la soporta, utilice JWT de clave privada o TLS mutuo como configuración. Para obtener más información sobre la autenticación TLS mutuo de cliente, consulte Autenticación de cliente TLS mutuo de OpenID Connect y señal de acceso enlazada a certificado.

  6. Selecciona «Siguiente ».
  7. Seleccione los tipos de token permitidos para el token de sujeto y el token solicitado.
    1. Opcional: Selecciona los tipos de token permitidos para el token de actor.
    Tabla 1. Intercambio de tokens
    Campo Descripción
    Señal de asunto El tipo de token del token en cuestión, que representa la identidad de la parte en cuyo nombre se solicita el token.
    Señal de actor El tipo de token del token de actor, que representa la identidad de la parte a la que se delegan los derechos de acceso del token emitido.
    Señal solicitada

    El tipo de tokens cuya generación se puede solicitar como parte del intercambio de tokens.

    Token de transacción : este token de seguridad de un solo uso contiene información contextual sobre una transacción, acción, recurso o solicitud concretos, lo que permite una autorización detallada para esa operación en particular. Al seleccionar el token, se muestra el mosaico «Contexto de la transacción», desde donde se puede configurar el contexto mediante una expresión CELx. Consulta «Token de transacción» para obtener más detalles.
    Nota: El token de transacción es una función que se puede solicitar; VDEV-186514: «Securing AI Agents». Para solicitar esta función, ponte en contacto con tu representante de ventas de IBM o con IBM e indica tu interés en activar esta función. También puedes crear un ticket de asistencia indicando el número de la función, si tienes permiso para ello. IBM Verify Las suscripciones de prueba no permiten crear tickets de asistencia.
    Grupos de clientes La lista de grupos de clientes de OpenID Connect. Los tokens generados por este cliente pueden utilizarse como token de referencia para el intercambio de tokens dentro del mismo grupo. Si esta lista está vacía, cualquier cliente puede utilizar los tokens generados por este cliente como token de sujeto para el intercambio de tokens.
    Se requiere un token de actor Se requiere un token de actor como parte de la solicitud de intercambio de tokens. Esta acción aplica el escenario de delegación y deshabilita el escenario de suplantación de identidad.
    Contexto de la transacción El campo «Contexto de la transacción» solo es visible cuando el «Tóken solicitado» está configurado como «Tóken de transacción ». Este campo no es aplicable a otros tipos de tokens. Consulta «Token de transacción» para obtener más detalles.
    Para crear un tipo de token personalizado que se vaya a utilizar en el cliente, consulta la sección «Gestión de tipos de token personalizados ».
  8. Selecciona «Siguiente ».
  9. Seleccione o especifique la configuración del token solicitada.
    Tabla 2. Configuración del token solicitada
    Campo Descripción
    Formato de la señal de acceso: Especifica el formato de la señal de acceso. Las siguientes opciones están disponibles:

    • Valor predeterminado

    • JWT
    Caducidad del token de acceso (segundos)

    Establece la longitud del tiempo en segundos transcurrido el cual la señal de acceso caduca.

    Establezca una caducidad de señal de acceso para limitar el tiempo en que un atacante puede acceder al recurso con la señal robada cuando la aplicación cliente está comprometida.

    Solo se permiten enteros positivos.

    El valor predeterminado es 3600 segundos. El valor mínimo permitido es 1 y el máximo es 2147483647 segundos.
    Algoritmo de firma El algoritmo queVerify se utiliza para firmar el token de identificación. El algoritmo debe coincidir con el que la parte que Verifyconfía haya registrado. Elija uno para verificar la firma entre los siguientes algoritmos hash:
    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
    Nota:
    • Si se selecciona el algoritmo de firma ES256, el certificado debe ser ECDSA con P-256.
    • Si se selecciona el algoritmo de firma ES384, el certificado debe ser ECDSA con P-384.
    • Si se selecciona el algoritmo de firma ES512, el certificado debe ser ECDSA con P-521.
    Certificado de firma Selecciona el certificado que se utiliza para firmar el token de identificación.

    La selección predeterminada hace referencia a la configuración predeterminada que has establecido en «Seguridad > Certificados ».

    .
    Algoritmo de cifrado El algoritmo criptográfico que se utiliza para cifrar o determinar el valor de la clave de cifrado de contenido (CEK). Se admiten los siguientes algoritmos.
    • Ninguna
    • RSA-OAEP
    • RSA-OAEP-256
    Algoritmo de contenido El algoritmo de cifrado de contenido que se utiliza para aplicar el cifrado autenticado al texto en claro con el fin de generar el texto cifrado y la etiqueta de autenticación. Se admiten los siguientes algoritmos:
    • Ninguna
    • A128GCM
    • A192GCM
    • A256GCM
    Certificado de cifrado Introduce un valor o selecciona uno de la lista de certificados de firmante que ya hayas subido al inquilino.
    Nota: Para obtener instrucciones sobre cómo cargar certificados de firmante, consulta la sección «Gestión de certificados ».
    URI JWKS La URI en la que el emisor del token o la parte que confía publica sus claves públicas en formato JSON Web Keys Set (JWKS). Este URI se utiliza para la verificación de firmas JWT o el cifrado. El sistema puede rechazar un URI de JWKS no alcanzable o que no responde. El sistema también puede rechazar el URI de JWKS si el tamaño de JWKS es demasiado grande. Si el emisor del token no publica un URI JWKS, se puede añadir una clave pública al sistema en forma de certificado « X509 ». Cons ulta «Gestión de certificados». El 'Nombre descriptivo' que está asociado con el certificado público es el valor de la cabecera de ID de clave (kid) de JWT. Por ejemplo:
    https://{yourDomain}/.well-known/jwks.json
  10. Selecciona «Siguiente ».
  11. Marca las casillas de verificación correspondientes a la configuración de la prueba de posesión.
    Tabla 3. Configuración de la prueba de posesión
    Campo Descripción
    Señales de acceso con certificado enlazado Indica si los tokens generados están vinculados a un certificado. Para obtener más información sobre los tokens de acceso vinculados a certificados, consulta «Autenticación mutua del cliente en OpenID Connect TLS y token de acceso vinculado a certificados ».
    Aplicar los tokens de acceso de DPoP-bound. Indica si se requiere el encabezado « DPoP » para las solicitudes de token.
    Validar JTI de JWT de DPoP Indica si el JTI incluido en el JWT de DPoP está validado para un solo uso.
    Algoritmo de firma para JWT de DPoP

    El algoritmo de firma previsto para el JWT de DPoP.

    Elige uno de los siguientes algoritmos.

    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
  12. Selecciona «Siguiente ».
  13. Configure las correlaciones de solicitud y respuesta para cada uno de los puntos finales.
    1. Configura la asignación de introspect para añadir y modificar los atributos que devuelve el punto final de introspect.
      Consulta OpenID para obtener información sobre la introspección de Connect, el token de identificación y la asignación de datos de usuario.
    2. Configura la información del usuario y la asignación de atributos del token de identificación para añadir y modificar los atributos que devuelve el userinfo punto final y que figuran en el token de identificación.
      Consulta « OpenID : Connect introspect, token de identificación y asignación de información del usuario ».
  14. Selecciona «Siguiente ».
  15. Restringir ámbitos personalizados.
    Un cliente OIDC / OAuth puede solicitar ámbitos personalizados en los flujos de concesión OIDC / OAuth compatibles. Si Restringir ámbitos personalizados está habilitado, que es el valor predeterminado, los ámbitos otorgados al cliente al final del flujo se limitan a los ámbitos especificados en esta sección. Si la opción «Restringir ámbitos personalizados» no está disponible, los ámbitos personalizados solicitados se concederán una vez que finalice el flujo.
    openidNota: Los ámbitos estándar, profile, email, phone, y address no pueden restringirse.
    1. Asegúrese de que la casilla «Restringir ámbitos personalizados» esté marcada.
    2. Escriba el nombre del ámbito personalizado que desea otorgar y una descripción.
      El nombre de ámbito es el ámbito OAuth2/OIDC solicitado por una entidad de confianza/cliente. La descripción es una explicación descriptiva del ámbito.
      Se muestra otro conjunto de campos de ámbito.
    3. Repita el paso anterior para cada ámbito personalizado que desee otorgar.
  16. Restringir los datos de autorización
    Un cliente OIDC/ OAuth puede solicitar los datos de autorización en los flujos de concesión OIDC/ OAuth compatibles. Si se activa la opción «Restringir detalles de autorización », los detalles de autorización concedidos al final del flujo se limitarán a aquellos que se especifiquen en esta sección. Si la opción «Restringir detalles de autorización» está desactivada, cualquier detalle de autorización solicitado se concede una vez finalizado el flujo.
    1. Asegúrese de que la casilla «Restringir detalles de autorización» esté marcada.
    2. Comprueba si la opción «Ignorar datos de autorización desconocidos» está activada.
    3. Introduzca o seleccione el nombre del tipo de detalle de autorización que desea conceder. Puedes editar y definir una regla personalizada adicional para filtrar las solicitudes en función de una propiedad del JSON de los detalles de autorización. Por ejemplo, si el tipo de detalle de autorización es resource_access e incluye una location propiedad, la solicitud solo se podrá autorizar cuando la ubicación sea Japón. En ese caso, la regla sería: requestContext.ad.location == 'Japan'.
    4. Haga clic en «Añadir» y repita el paso anterior para cada tipo de detalle de autorización que desee conceder.
  17. Selecciona los permisos de usuario y de no usuario que deseas conceder al token de acceso.
    El acceso restringido a la API es la configuración predeterminada. Para conceder permisos de acceso a la API, siga estos pasos. Si desmarca el recuadro Restringir acceso de API, se otorga a la señal un conjunto predeterminado de titularidades. Consulta los derechos de la API de tokens de inicio de sesión predeterminados.
  18. Selecciona «Finalizar la configuración ».