Gestión del acceso a la API de aplicación

Editar en línea

Si un desarrollador compila una aplicación que utiliza una o varias de las funciones de Verify , la aplicación debe estar autorizada para llamar a las API de Verify adecuadas. Registre la aplicación interna como un cliente de API de aplicación en Acceso de API para asignarle un ID de cliente y un secreto exclusivos.

Antes de empezar

  • Debe tener permiso administrativo para realizar esta tarea.
  • Inicie sesión en la consola de administración de IBM® Verify como administrador.
Nota: Sólo los usuarios con los derechos adecuados pueden ver el secreto del cliente. Para obtener más información, consulte Actualizaciones de seguridad para derechos.

Acerca de esta tarea

Puede otorgar acceso de API a la aplicación al crearla o más tarde utilizando la opción de edición. Se pueden crear los clientes de API para la aplicación y cada cliente de API puede tener un conjunto distinto de titularidades de acceso de API.

También puede implementar un filtro de IP para que la emisión y el uso de señales se puedan limitar a, o excluir, determinados rangos de direcciones IP.

Para las aplicaciones OIDC, también se pueden configurar las titularidades de acceso de API para el cliente SSO. Estas señales están limitadas a realizar acciones que el usuario que inicia sesión en la aplicación está autorizado a realizar en Verify.

Procedimiento

  1. Seleccione Acceso de API.
  2. Cree el cliente API de aplicación.
    1. Seleccione Añadir cliente de API.
    2. Especifique la siguiente información para el cliente de API:
      Tabla 1. Cliente API de la aplicación
      Información Descripciones
      Nombre Especifique el nombre del cliente de API.
      Nota: Sólo se permiten caracteres alfanuméricos y los siguientes caracteres especiales:
      • -
      • .
      • _
      Habilitado

      Indica si el cliente de API está habilitado o inhabilitado.

      Un cliente de API habilitado para Habilitado puede llamar a las API a las que tiene derecho a acceder.

      Un Inhabilitado cliente API deshabilitado no puede llamar a ninguna API, incluidas aquellas a las que tiene derecho a acceder.
      Nota:
      • Se puede tardar hasta 1 minuto antes de que este valor entre en vigor.
      • Si el cliente de API tiene una señal de acceso válida existente, puede seguir llamando a las API. Las señales de acceso tienen un periodo de validez limitado. La señal caduca en 2 horas. Cuando la señal de acceso caduca, el cliente de API ya no podrá llamar a las API.
      ID de cliente

      Identificador exclusivo del cliente de API.

      Esta información se genera y visualiza automáticamente en la lista Clientes de API después de guardar el cliente de API.
      Secreto de cliente

      Se utiliza con el ID de cliente para verificar la identidad del cliente de API.

      Es un secreto que solo deben conocer la aplicación y el servidor de autorizaciones.

      Esta información se genera automáticamente después de guardar el cliente de API. Vea los detalles de cliente de API.
      Método de autenticación de cliente Indica el método de autenticación de cliente para el cliente de API:
      Verifique los métodos de autenticación de cliente siguientes:
      • Default(Selección predeterminada)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      • TLS mutuo
        Nota: TLS mutuo no está disponible para aplicaciones personalizadas
      Atributo de autenticación de cliente TLS Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.
      El atributo de certificado que se utilizará para la autenticación.
      • DN de asunto
      • DNS SAN
      • URI SAN
      • IP SAN
      • Dirección de correo electrónico SAN
      Valor de atributo de autenticación de cliente TLS Esta opción sólo se visualiza cuando se selecciona el método de autenticación de cliente TLS mutua.

      El valor del atributo en el certificado que se utilizará para la autenticación.
      Señales de acceso con certificado enlazado
      Nota: Las señales de acceso enlazadas a certificados no están disponibles para las aplicaciones personalizadas
      		 Indica si las señales generadas estarán enlazadas a un certificado. Para obtener más información sobre las señales de acceso enlazadas a certificado, consulte Autenticación de cliente TLS mutuo de OpenID Connect y señal de acceso enlazada a certificado.
      Validar JTI de aserción de cliente Indica si la JTI en la JWT de aserción de cliente se valida para un solo uso. Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de secreto de cliente o JWT de clave privada.
      Claves de verificación de firma permitidas Los ID de clave de verificación de firma que se pueden utilizar para verificar la JWT de la aserción de cliente. Esta opción solo se visualiza cuando se selecciona el método de autenticación de cliente de JWT de clave privada.
      Nota: Puede especificar manualmente la clave de verificación de firma. Se puede especificar más de una clave de verificación de firma.
      URI JWKS El URI donde la entidad de confianza publica sus claves públicas en formato JWK (JSON Web Keys). Este URI se utiliza para la verificación de firmas JWT. El sistema puede rechazar un URI de JWKS no alcanzable o que no responde. El sistema también puede rechazar el URI de JWKS si el tamaño de JWKS es demasiado grande. Si la entidad de confianza no publica un URI de JWKS, se puede añadir una clave pública, en forma de un certificado X509, en el sistema. Consulte Gestión de certificados. El 'nombre descriptivo' asociado al certificado público es el valor de la cabecera de ID de clave (kid) de JWT.
  3. Configure la señal de acceso y caducidad de señal de renovación para limitar el tiempo de acceso no autorizado en caso de robo de estas señales.

    La señal de acceso se utiliza para autorizar el acceso al recurso protegido. Cuando la señal de acceso caduca, se revoca la autorización.

    Tabla 2. Configuración de tokens
    Campo Descripción
    Caducidad de señal de acceso (seg)

    Establece la longitud del tiempo en segundos transcurrido el cual la señal de acceso caduca.

    Establezca una caducidad de la señal de acceso de modo que limite el tiempo que un atacante pueda acceder al recurso con la señal robada cuando se compromete la aplicación cliente.

    Solo se permiten enteros positivos.

    El valor predeterminado es 7200 segundos. El valor mínimo permitido es 1 y el máximo es 2147483647 segundos.
    Formato de señal de acceso Indica si la señal de acceso se genera como una serie opaca, que es laDefaulto en formato JWT.
  4. Especifique la información siguiente si desea implementar un filtro de IP para asegurarse de que el ID de cliente y el secreto de API se distribuyen de forma segura.
    Tabla 3. Configuración del filtro IP
    Campo Descripción
    Habilitar filtrado de IP

    Indica si el filtro de IP está habilitado o inhabilitado.
    Lista de permitir. Lista de denegadas

    Indica el tipo de filtro, si la lista es una lista de permitidas o de denegadas.

    Es necesario si se ha habilitado Habilitar filtrado de IP.
    Filtros de IP

    Lista de filtros de IP.

    Es necesario si se ha habilitado Habilitar filtrado de IP.

    Los filtros de IP tienen el formato de una única dirección IP, rango de IP o máscara de subred de IP. Se da soporte a IPv4 e IPv6. Por ejemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48.
  5. Especifique los atributos de firma para la señal de ID y para las señales de acceso de formato JWT. parte dependiente utiliza la firma para verificar la integridad y autenticidad de las reclamaciones de usuario contenidas en la señal y el OpenID Conectar proveedor de identidad que ha firmado la señal.
    Nota:

    Las opciones de firma sólo están disponibles para aplicaciones personalizadas.

    Tabla 4. Opciones de firma
    Campo Descripción
    Algoritmo de firma

    El algoritmo que Verify utiliza para firmar la señal de ID y las señales de acceso con formato JWT. El algoritmo debe coincidir con el que la parte dependiente ha registrado con Verify.

    Elija uno para verificar la firma entre los siguientes algoritmos hash:
    • HS256
    • HS384
    • HS512
    • RS256 (valor predeterminado)
    • RS384
    • RS512
    Nota: Los algoritmos HS no se visualizan cuando se opta por no generar un secreto de cliente.
    Certificado de firma

    Esta opción solo se muestra si ha seleccionado uno de los algoritmos de firma RS.

    Utilice este certificado para firmar la señal de ID y las señales de acceso de formato JWT durante el inicio de sesión único.

    La selección predeterminada hace referencia al certificado personal predeterminado que ha configurado en Configuración > Certificados > Certificados personales.
  6. Seleccione el recuadro de selección Restringir ámbitos personalizados .
    Si selecciona Restringir ámbitos personalizados, los ámbitos que se conceden al cliente al final del flujo se restringen a los ámbitos especificados en esta sección. Escriba el nombre del ámbito personalizado que desea otorgar y una descripción. El nombre de ámbito es el ámbito OAuth2/OIDC solicitado por una entidad de confianza/cliente. La descripción es una explicación descriptiva del ámbito. Seleccione esta opción para otorgar más ámbitos.
  7. Seleccione las API a las que desea otorgar acceso. Consulte Derechos de acceso para obtener más información.
    Si Seleccionar todo se ha establecido en Desactivado, seleccione las API a las que desea que el cliente tenga acceso. Si Seleccionar todo se ha establecido en Activado, el cliente podrá acceder a todas las API. No obstante, puede desmarcar los recuadros de selección de las API a las que no desee que el cliente tenga acceso.
    Nota:
    • Puede crear un cliente de API que no tenga permiso inicial para llamar a ninguna API. Puede editarlo más adelante para otorgar el acceso a la API específica.
    • Solo las API que son relevantes a su plan de suscripción están disponibles para seleccionarlas.
    • Para las aplicaciones OIDC, un cliente predeterminado con un nombre de cliente que sea el mismo que el nombre de aplicación se encuentra en la lista de clientes de API para esa aplicación. No se puede suprimir a menos que se suprima la aplicación o conmute a un método de inicio de sesión distinto.
  8. Seleccione Guardar.
    Se generan el ID de cliente y el Secreto de cliente y se crea el cliente de API de aplicación.
  9. Vea los detalles de cliente de API.
    • Desplácese o utilice el campo de búsqueda para buscar el cliente de API. Se mostrarán todos los clientes que coincidan con la entrada de búsqueda.
    • Seleccione el cliente de API cuya información desea ver. Se muestran los Detalles de cliente de API .
    • Pasa el cursor sobre el cliente API y selecciona el Editar icono cuando aparezca. Se visualiza el recuadro de diálogo Editar cliente de API.
      Utilice las siguientes opciones:
      • Seleccione Copiar en el portapapeles para copiar el ID del cliente o el secreto al portapapeles.
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
  10. Edite el cliente de API.
    1. Desplace la pantalla para encontrar el cliente de API.
    2. Pase el cursor sobre el cliente API y seleccione el Editar icono cuando aparezca.
      Se visualiza el recuadro de diálogo Editar cliente de API.
    3. Edite la información.
      Si está editando la aplicación existente, puede utilizar las siguientes opciones de secreto de cliente:
      • Seleccione Mostrar para ver el secreto de cliente.
      • Seleccione Ocultar para ocultar el secreto de cliente.
      • Seleccione Copiar para copiar el ID del cliente o el secreto al portapapeles.
      • Seleccione Lista para ver los secretos de cliente rotados.
        • Seleccione uno o más secretos de cliente rotados de la lista y haga clic en Eliminar para borrarlos.
      • Seleccione Volver a generar para generar un nuevo secreto de cliente. Utilice esta opción si piensa que el secreto de cliente está comprometido. Si vuelve a generar el secreto de cliente, debe actualizar el secreto de cliente en todos los clientes OAuth de la aplicación.
        • Seleccione la casilla de verificación Conservar secreto actual para añadir el secreto de cliente actual a la lista de secretos de cliente rotados.
        • Si la casilla Conservar secreto actual está seleccionada, elija la descripción del secreto del cliente y la hora de caducidad (en la hora local del navegador). Si no se selecciona ningún tiempo de expiración, se aplicará el tiempo de vida del secreto rotado del inquilino establecido en la configuración de la aplicación.
        • Los secretos de cliente rotados se codifican con hash y ya no pueden recuperarse en texto plano, pero pueden seguir utilizándose hasta la fecha de caducidad seleccionada.
        • Tras la confirmación, el secreto del cliente se rota inmediatamente. El nuevo secreto de cliente se muestra en la pantalla.
    4. Seleccione Guardar.
  11. Suprima el cliente de API.
    1. Desplace la pantalla para encontrar el cliente de API.
    2. Elija una de las siguientes opciones:
      • Seleccione un cliente de API. Cuando se visualice el panel Detalles , seleccione Suprimir.
      • Para suprimir varios clientes de API, marque los recuadros de selección situados junto a los clientes de API y, a continuación, seleccione suprimir.
    3. Seleccione Suprimir.
    4. Confirme que desea suprimir los clientes de API seleccionados. Los clientes de API se suprimen permanentemente al guardar la aplicación.