Configuración de un proveedor de OAuth nativo

Editar en línea

Tu nube configura y gestiona proveedores nativos de OAuth.

Acerca de esta tarea

Un objeto de proveedor de OAuth nativo proporciona valores para las operaciones de proceso de OAuth como por ejemplo generar y validar las señales de OAuth. Una definición de seguridad de « OAuth » hace referencia a un objeto proveedor de « OAuth » para proteger una API. API Connect ejecuta de forma nativa las operaciones de « OAuth » cuando se utiliza un proveedor nativo de « OAuth ».

Cada objeto de proveedor de OAuth tiene una API de respaldo. La configuración que realices aquí actualizará automáticamente el documento « OpenAPI » de la API. Puede editar el documento « OpenAPI » directamente accediendo a la página Icono Recursos «Recursos > Proveedores de OAuth », seleccionando su proveedor de « OAuth » y haciendo clic en «Editor de API ».

Nota: Tenga cuidado al modificar el código directamente en la pestaña Origen del Editor de API porque la validación está limitada. Por ejemplo:
  • Si cambia el nombre de las acciones de ensamblaje generadas automáticamente en el código fuente, se impedirá que el ensamblaje se actualice dinámicamente cuando se modifiquen los ajustes del proveedor de « OAuth ».
  • Debe asegurarse de que el nombre del proveedor de « OAuth » coincida con el valor especificado en el oauth-provider-settings-ref campo correspondiente de cada acción de ensamblaje de « OAuth ».

Cuando una API publicada hace referencia a un objeto de proveedor de OAuth, la API de respaldo queda automáticamente disponible en la pasarela.

Solicitudes de señal y comprobaciones de client_id:
Si estás llamando a un punto final de OAuth, la secuencia de client_id comprobaciones en la solicitud de token es la siguiente:
  1. Compruebe tanto el cuerpo como la consulta.
    • Si se encuentra sólo en el cuerpo, valide y devuelva un 200 o un código de retorno adecuado.
    • Si sólo se encuentra en la consulta, devuelva un error wrong location .
    • Si se encuentra tanto en el cuerpo como en la consulta, devuelva un error more than one location .
  2. Cuando no se encuentre en el cuerpo o la consulta, compruebe la cabecera Authorization .
    • Si se encuentra en esta cabecera, valide y devuelva un 200 o un código de retorno adecuado.
  3. No se ha encontrado, devuelva el error y el código adecuados.
La mejor ubicación para el client_id está en el cuerpo de la solicitud.

Para configurar un proveedor nativo de OAuth, es necesario disponer de uno de los siguientes roles:

  • Administrador de la organización
  • Propietario (Owner)
  • Rol personalizado con los permisos Valores > Gestionar
Nota:
  • El proveedor de OAuth registra datos de Análisis para casos de error, pero no registra los casos satisfactorios. Las políticas de registro de actividad que llaman a datos de Análisis cuando la actividad se ha realizado satisfactoriamente no se aplican al proveedor de OAuth.
  • Debe asegurarse de que el proveedor « OAuth » esté configurado en el catálogo Sandbox antes de utilizar el proveedor « OAuth » en un catálogo que no sea Sandbox.

Procedimiento

  1. En el Administrador de API, haz clic en Recursos «Recursos ».
  2. Haga clic en «Proveedores de OAuth » > «Añadir» > «Proveedor nativo de OAuth ».
    1. Complete los parámetros siguientes para la primera pantalla y, a continuación, pulse Siguiente.
      Campo Descripción
      Título Introduce un título para el proveedor nativo de « OAuth ».
      Nombre El sistema rellena automáticamente este campo.
      Descripción (opcional) Especifique una descripción breve.
      Vía de acceso base (opcional)

      La API comparte una ruta base, que es el segmento URL común a todas las operaciones.

      No incluye el nombre de host ni ningún segmento adicional para rutas u operaciones. La vía de acceso base no puede incluir caracteres especiales y debe empezar con un carácter "/" aunque esté vacío.
      Tipo de pasarela Seleccione el tipo de pasarela, DataPower® Gateway (v5 compatible) o DataPower API Gateway.

      Para obtener más información sobre los tipos de puertas de enlace, consulte «Tipos de puertas de enlace» en API Connect.

      OAuth Los proveedores se inscriben en un tipo de pasarela.
    2. En la pantalla siguiente, especifique los siguientes parámetros de configuración adicionales y, a continuación, pulse Siguiente.
      Campo Descripción
      Vía de acceso de autorización /oauth2/authorize/es el punto de acceso estándar OAuth para iniciar sesión en la cuenta
      Vía de acceso de señal /oauth2/token/es el punto final estándar de OAuth para canjear el código por un token de acceso.
      Tipos de concesiones admitidas
      • Implícito -Se devuelve una señal de acceso inmediatamente sin un paso de intercambio de código de autorización adicional.
      • Aplicación -Aplicación a aplicación. Corresponde al tipo de concesión «Credenciales de cliente» de OAuth no requiere autenticación de usuario.
      • Código de acceso - Se extrae un código de autorización de una URL y se intercambia por un código de acceso. Corresponde al tipo de subvención «Código de autorización» de la Oficina de Gestión de Proyectos y Contratos ( OAuth )
      • Propietario del recurso - Contraseña : el cliente canjea directamente el nombre de usuario y la contraseña del usuario por un token de acceso, y solo los clientes propios pueden utilizar este flujo.
      • Solo pasarela de API de DataPowerPropietario del recurso - JWT - Un token web JSON firmado y verificado se canjea directamente por un token de acceso.
        Nota: Para utilizar la opción Propietario de recurso-JWT , realice los pasos siguientes:
        1. En el campo Tipos de otorgamiento soportados , seleccione Propietario de recurso-Contraseña y Propietario de recurso-JWT.
        2. Edite la definición de API y añada un esquema de seguridad que especifique oauth2 como tipo de definición de seguridad y seleccione Propietario de recurso-Contraseña como tipo de flujo.

          Para obtener instrucciones sobre cómo definir un esquema de seguridad OAuth2 para una API, consulte Definición de componentes de esquema de seguridad OAuth2 (OpenAPI 3) o Definición de esquemas de seguridad OAuth2 (OpenAPI 2).
      Tipos de cliente admitidos
      • Confidencial -El cliente puede mantener credenciales seguras en un servidor seguro
      • Público -Las credenciales de cliente no son seguras.
    3. Especifique los ámbitos en la pantalla siguiente. Un ámbito se convierte en una opción en la solicitud y respuesta para una señal de acceso. Pulse Añadir para añadir campos adicionales para ámbitos. Pulse Siguiente cuando haya terminado.
      Campo Descripción
      sample_scope_1 Ámbito de la señal
      ámbitos adicionales Ámbito de la señal
    4. Introduzca los parámetros de seguridad del usuario en la siguiente pantalla. Defina los valores a utilizar para extraer las credenciales de los usuarios de la aplicación, autenticar sus identidades y otorgar autorización. No se requiere la seguridad del usuario para el tipo de autorización «Aplicación ». Pulse Siguiente cuando haya terminado.
      Campo Descripción
      Extracción de identidad Determina cómo se extrae la credencial de usuario:
      • Autenticación básica - Autenticación básica HTTP (no requiere configuración adicional)
      • Formulario HTML predeterminado : utiliza el formulario de inicio de sesión predeterminado para introducir el nombre de usuario y la contraseña
      • Solo pasarela de API de DataPowerVariable de contexto : especifica qué variable contiene el nombre de usuario y la contraseña. API Connect OAuth variables de contexto, tal y como se enumeran aquí variables API Connect de contexto

        Nota: Sólo DataPower API Gateway . No disponible para DataPower Gateway (v5 compatible).

      • Formulario HTML personalizado : introduce el punto final y selecciona un perfil de TLS (opcional) para un formulario HTML personalizado. Para obtener instrucciones sobre cómo crear un formulario personalizado, consulte Creación de un formulario de inicio de sesión HTML personalizado para la seguridad del usuario.
      • Redirigir : si selecciona «Redirigir», introduzca los siguientes parámetros:
        • Punto final : introduce un punto final para redirigir a un proveedor de identidad externo. Para obtener más información, consulte «Autenticación y autorización mediante redireccionamiento» en URL
        • Opcional: Parámetros de consulta : introduce los parámetros de consulta. Los parámetros de consulta forman parte de la cadena de consulta ( URL ) y aparecen después del signo de interrogación (?), y suelen consistir en pares clave-valor separados por el símbolo «&».
          Nota: Para asegurarte de que el parámetro de consulta que has introducido se aplique a la puerta de enlace, vuelve a publicar tu proveedor OAuth.
        • Plazo de redireccionamiento : el usuario debe verificar su identidad y volver al proceso de autorización principal dentro del plazo de redireccionamiento especificado. Si el usuario supera este límite de tiempo, es posible que el proceso falle o se reinicie. El tiempo de espera predeterminado para la redirección es de 300. Puedes ajustar esta duración según tus necesidades.
      • Solo pasarela de API de DataPowerDesactivado : no se recopilan las credenciales del usuario
      Nota: Si utiliza los métodos de extracción de identidad Formulario HTML predeterminado o Redirigir , la respuesta del punto final de redirección debe mantener el orden de los parámetros de consulta antes del parámetro de consulta state_nonce ; de lo contrario, la autorización fallará.
      Autenticación Autentique los usuarios de la aplicación con un registro de usuarios. Seleccione un registro de usuarios de LDAP o de Authentication URL, o cree el registro de usuarios de SampleAuthURL. Para un DataPower API Gateway, tiene la opción de inhabilitar la autenticación con un registro de usuarios.
      Autorización Están disponibles los métodos siguientes para extraer la credencial de usuario:
      • Autenticado -Autorizar automáticamente a los usuarios autenticados.
      • Formulario HTML predeterminado : utiliza el formulario HTML predeterminado para autorizar.
      • Formulario HTML personalizado : introduce el punto final y selecciona un perfil de TLS (opcional) para un formulario HTML personalizado. Para obtener instrucciones sobre cómo crear un formulario personalizado, consulte Creación de un formulario de autorización HTML personalizado para la seguridad del usuario.
      • Solo pasarela de API de DataPowerDesactivado : desactivar la autorización.
  3. Consulte el resumen de la configuración del proveedor nativo de « OAuth ».
  4. Haga clic en Atrás para realizar cambios.
  5. Haga clic en «Finalizar» para guardar la configuración básica y pasar a los parámetros avanzados del proveedor nativo de « OAuth ».

    Si desea especificar el proveedor nativo de « OAuth » en su catálogo, consulte la sección «Especificación de los proveedores de OAuth ».

Resultados

Puede utilizar el proveedor « OAuth » para proteger las API del catálogo.