Registro de usuarios de URL de autenticación

Editar en línea

Puede utilizar un registro de usuarios de URL de autenticación para especificar un servicio de autenticación de REST para gestionar la autenticación de usuarios y, opcionalmente, para proporcionar metadatos adicionales para incorporarlos a la señal.

Esto soporte puede habilitar cualquiera de las posibilidades siguientes:
  • Envío de las credenciales autenticadas a IBM® API Connect. Por ejemplo, el usuario inicia sesión con el nombre de usuario: spoony la contraseña: fork. Cuando se autentica el usuario, la credencial se convierte en cn=spoon,o=eatery. La credencial se guarda en el OAuth access_token para representar al usuario.
  • Proporcionar soporte de metadatos. Permitir el almacenamiento de metadatos adicionales en access_token.
  • Alterar temporalmente el scope que la aplicación recibe después de un proceso de protocolo de OAuth satisfactorio. Al responder con una cabecera específica, el punto final de URL de autenticación puede sustituir el valor de scope que la aplicación recibe. Por ejemplo, puede proporcionar a un propietario de recurso específico un número de cuenta dentro de la respuesta de cabecera scope para utilizarlo en pasos de proceso futuros.

Al llamar al registro de usuarios de Authentication URL, la API Connect pasarela envía una solicitud GET con los encabezados HTTP y, a continuación, procesa cualquier respuesta HTTP procedente de URL. Para la autenticación, un servicio de autenticación de REST se espera en el URL de autenticación.

La siguiente respuesta del servicio de autenticación REST indica que la autenticación del usuario se ha realizado correctamente y que API Connect utiliza cn=spoon,o=eatery como identidad de usuario.
HTTP/1.1 200 OK
Server: example.org
X-API-Authenticated-Credential: cn=spoon,o=eatery

Para obtener información sobre cómo configurar una política de seguridad de usuario en un ensamblado de API para su uso con un registro de usuarios de Authentication URL, consulte Política de seguridad de usuario.

Para ver un ejemplo de configuración de un proveedor de OAuth que utiliza un registro de usuarios de URL, consulte «Ejemplo: uso de varias políticas de OAuth en un ensamblado de proveedor de OAuth ».

API Connect considera cualquier código de respuesta de non-200 HTTP como un intento fallido de autenticación de usuario.

Cuando se invoca un registro de usuarios de URL de autenticación, hay dos cabeceras de respuesta HTTP disponibles que incluyen metadatos en la señal de acceso o en la carga útil de respuesta que contiene la señal de acceso. Para obtener más información, consulte OAuth, URL y URL. Las dos cabeceras de respuesta de metadatos son:
API-OAUTH-METADATA-FOR-ACCESSTOKEN
API-OAUTH-METADATA-FOR-PAYLOAD
Cuando se invoca un URL de autenticación, hay una cabecera de respuesta HTTP disponible para alterar temporalmente el scope solicitado desde la aplicación. Para obtener más información, consulte «Ámbito de aplicación ». La cabecera de respuesta es:
x-selected-scope

Diagrama que ilustra el funcionamiento del protocolo de autenticación URL