Gestión de « OpenID Connect» y « OpenID Connect» para el acceso a la API de aplicaciones de banca abierta

Editar en línea

Si un desarrollador crea una aplicación que utiliza una o varias de estas Verify funciones, la aplicación debe estar autorizada para llamar a las API correspondientes Verify . Registra la aplicación interna como cliente de la API en «Acceso a la API» para asignarle un ID de cliente y un secreto únicos.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la IBM® Verify consola de administración como administrador.
Nota: Solo los usuarios con los permisos adecuados pueden ver el secreto de cliente. Para obtener más información, consulte las actualizaciones de seguridad para los derechos.

Acerca de esta tarea

Puede otorgar acceso a la API a su aplicación OpenID Connect for Open Banking al crearla o posteriormente utilizando la opción de edición. Se pueden crear los clientes de API para la aplicación y cada cliente de API puede tener un conjunto distinto de titularidades de acceso de API.

También puede implementar un filtro de IP para que la emisión y el uso de señales se puedan limitar a, o excluir, determinados rangos de direcciones IP.

Procedimiento

  1. Selecciona Aplicaciones > Aplicaciones.
  2. Selecciona «Añadir aplicación ».
  3. Selecciona « OpenID Connect» o « OpenID Connect» para la aplicación de banca abierta y selecciona «Añadir aplicación ».
  4. Selecciona «Acceso a la API ».
  5. Cree el cliente de API de la aplicación.
    1. Selecciona «Añadir cliente API ».
    2. Especifique la siguiente información para el cliente de API:
      Tabla 1. Cliente de la API de la aplicación
      Campo Valores
      Nombre Especifique el nombre del cliente de API
      Nota: Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales:
      • -
      • .
      • _
      Habilitado Indica si el cliente de API está habilitado o inhabilitado. El valor predeterminado está habilitado.

      Un cliente de API habilitado para casilla marcada puede llamar a las API a las que tiene derecho a acceder.

      Un Casilla desmarcada cliente de API desactivado no puede llamar a ninguna API, incluidas aquellas a las que tiene derecho de acceso.
      ID de cliente

      Identificador exclusivo del cliente de API.

      Esta información se genera automáticamente y se visualiza en la lista Clientes de API después de guardar el cliente de API.
      Secreto de cliente

      Se utiliza con el ID de cliente para verificar la identidad del cliente de API.

      Es un secreto que solo deben conocer la aplicación y el servidor de autorizaciones.

      Esta información se genera automáticamente después de guardar el cliente de API.
      Método de autenticación de cliente Verify da soporte a los siguientes métodos de autenticación de cliente:
      • Valor predeterminado
      • Secreto de cliente básico
      • POST de secreto de cliente
      • JWT de clave privada
      • TLS mutuo
      Nota: El método de autenticación de cliente predeterminado es «default ».

      Si se deja como valor predeterminado, se permiten tanto el secreto de cliente básico como POST. Si la parte dependiente la soporta, utilice JWT de clave privada o TLS mutuo como configuración. Para obtener más información sobre la autenticación TLS mutuo de cliente, consulte Autenticación de cliente TLS mutuo de OpenID Connect y señal de acceso enlazada a certificado.
      Validar JTI de aserción de cliente Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.

      Indica si la JTI en la JWT de aserción de cliente se valida para un solo uso.
      Claves de verificación de firma permitidas Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.

      Los ID de clave de verificación de firma que se pueden utilizar para verificar la JWT de la aserción de cliente.
      URI JWKS Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.

      El URI donde la entidad de confianza publica sus claves públicas en formato JWKS (JSON Web Keys Set). Este URI se utiliza para la verificación de firmas JWT o el cifrado. El sistema puede rechazar un URI de JWKS no alcanzable o que no responde. El sistema también puede rechazar el URI de JWKS si el tamaño de JWKS es demasiado grande. Si la entidad de confianza no publica un URI de JWKS, se puede añadir una clave pública, en forma de un certificado X509, en el sistema. Consulte la sección «Gestión de certificados ». El 'Nombre descriptivo' que está asociado con el certificado público es el valor de la cabecera de ID de clave (kid) de JWT.
      Atributo de autenticación de cliente TLS Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.
      El atributo de certificado que se utiliza para la autenticación.
      • DN de asunto
      • DNS SAN
      • URI SAN
      • IP SAN
      • Dirección de correo electrónico SAN
      Valor de atributo de autenticación de cliente TLS Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.

      El valor del atributo en el certificado que se utilizará para la autenticación.
      Señales de acceso con certificado enlazado Indica si las señales generadas estarán enlazadas a un certificado. Para obtener más información sobre las señales de acceso enlazadas a certificado, consulte Autenticación de cliente TLS mutuo de OpenID Connect y señal de acceso enlazada a certificado.
  6. Configure la señal de acceso y caducidad de señal de renovación para limitar el tiempo de acceso no autorizado en caso de robo de estas señales.
    La señal de acceso se utiliza para autorizar el acceso al recurso protegido. Cuando la señal de acceso caduca, se revoca la autorización.
    Tabla 2. Configuración de tokens
    Campo Descripción
    Caducidad de señal de acceso (seg)

    Establece la longitud del tiempo en segundos transcurrido el cual la señal de acceso caduca.

    Establezca una caducidad de señal de acceso para limitar el tiempo en que un atacante puede acceder al recurso con la señal robada cuando la aplicación cliente está comprometida.

    Solo se permiten enteros positivos.

    El valor predeterminado es 7200 segundos. El valor mínimo permitido es 1 y el máximo es 2147483647 segundos.
    Formato de la señal de acceso: Especifica el formato de la señal de acceso. Las siguientes opciones están disponibles:
    • valor predeterminado
    • JWT
  7. Especifique la información siguiente si desea implementar un filtro de IP para asegurarse de que el ID de cliente y el secreto de API se distribuyen de forma segura.
    Tabla 3. Configuración del filtro de IP
    Campo Descripción
    Habilitar filtrado de IP

    Indica si el filtro de IP está habilitado o inhabilitado.
    Lista de permitidos/Lista de bloqueados

    Indica el tipo de filtro, si la lista es una lista de permitidas o de denegadas.

    Es necesario si se ha habilitado Habilitar filtrado de IP.
    Filtros de IP

    Lista de filtros de IP.

    Es necesario si se ha habilitado Habilitar filtrado de IP.

    Los filtros de IP tienen el formato de una única dirección IP, rango de IP o máscara de subred de IP. Se da soporte a IPv4 e IPv6. Por ejemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
  8. Marca la casilla «Restringir ámbitos personalizados ».

    Si selecciona Restringir ámbitos personalizados, los ámbitos que se conceden al cliente al final del flujo se restringen a los ámbitos especificados en esta sección. Escriba el nombre del ámbito personalizado que desea otorgar y una descripción. El nombre de ámbito hace referencia al ámbito de OAuth2/OIDC solicitado por una parte dependiente o cliente. La descripción es una explicación descriptiva del ámbito. Seleccione Añadir ámbito para otorgar más ámbitos.

  9. Seleccione las API a las que desea otorgar acceso.
    Consulte Derechos de acceso para obtener más información.

    Si Seleccionar todo se establece en Desactivado, seleccione las API a las que desea otorgar acceso para el cliente. Si Seleccionar todo se ha establecido en Activado, el cliente podrá acceder a todas las API. Sin embargo, puede borrar los recuadros de selección de las API a las que no desea que el cliente tenga acceso.

    Nota:
    • Puede crear un cliente de API que no tenga permiso inicial para llamar a ninguna API. Puede editarlo más adelante para otorgar el acceso a la API específica.
    • Solo las API que son relevantes a su plan de suscripción están disponibles para seleccionarlas.
    • Para las aplicaciones OIDC, un cliente predeterminado con un nombre de cliente que sea el mismo que el nombre de aplicación se encuentra en la lista de clientes de API para esa aplicación. No se puede suprimir a menos que se suprima la aplicación o conmute a un método de inicio de sesión distinto.
  10. Pulsa en «Hecho ».
  11. Asegúrate de haber rellenado los campos obligatorios en las pestañas «General» y «Inicio de sesión ».
  12. Selecciona «Guardar ».

    Se generan el ID de cliente y el Secreto de cliente, y se crean la aplicación y el cliente de API.

  13. Ver y editar el cliente de API
    1. Desplace la pantalla para encontrar el cliente de API.
    2. Pasa el cursor por encima del cliente de la API y selecciona el Editar icono.

      Se muestra el recuadro de diálogo Editar cliente de API.

    3. Utilice las siguientes opciones:
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
      • Selecciona Copiar esta opción para copiar el ID de cliente o el secreto en el portapapeles.
      • Selecciona Lista esta opción para ver los secretos de cliente rotados.
        • Selecciona uno o varios secretos de cliente renovados de la lista y haz clic en «Eliminar» para borrarlos.
      • Seleccione Volver a generar para generar un nuevo secreto de cliente. Utilice esta opción si piensa que el secreto de cliente está comprometido. Si vuelve a generar el secreto de cliente, debe actualizar el secreto de cliente en todos los clientes OAuth de la aplicación.
        • Marca la casilla «Conservar el secreto actual » para añadir el secreto de cliente actual a la lista de secretos de cliente rotados.
        • Si la casilla «Conservar el secreto actual» está marcada, selecciona la descripción del secreto del cliente y la fecha de caducidad (en la hora local del navegador). Si no se selecciona ningún plazo de caducidad, se aplicará el «Plazo de vigencia del secreto rotado» del inquilino establecido en la configuración de la aplicación.
        • Los secretos de cliente rotados se someten a un proceso de hash y ya no se pueden recuperar en texto sin cifrar, pero pueden seguir utilizándose hasta la fecha de caducidad seleccionada.
        • Tras la confirmación, el secreto de cliente se renueva inmediatamente. El nuevo secreto de cliente aparece en pantalla.
    4. Edite cualquier información que desee cambiar.
    5. Pulsa en «Hecho ».
  14. Suprima el cliente de API.
    1. Desplace la pantalla para encontrar el cliente de API.
    2. Seleccione el recuadro de selección para el cliente.
      Para suprimir varios clientes de API, seleccione el recuadro de selección para cada cliente que desee suprimir.
    3. Selecciona Suprimir «Eliminar» en la barra de herramientas «Elementos seleccionados ».
      Nota: El botón «Eliminar» situado en la esquina inferior izquierda de la ventana elimina la aplicación, no el cliente de la API.
      También puede suprimir un cliente de API seleccionándolo y seleccionando el icono de supresión en el panel de detalles.
    4. Confirme que desea suprimir el cliente de API.
    5. Cuando hayas terminado, selecciona «Guardar ».