Création de clients API

Si un développeur crée une application qui utilise une ou plusieurs de ces Verify fonctions, celle-ci doit disposer des droits nécessaires pour appeler les API correspondantes Verify . Enregistrez l'application interne en tant que client API dans l'accès API afin de lui attribuer un identifiant client et un secret uniques.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
Remarque : seuls les utilisateurs disposant des autorisations nécessaires peuvent voir le secret client. Pour plus d'informations, consultez la section « Mises à jour de sécurité pour les droits d'accès ».

A propos de cette tâche

Chaque client API que vous ajoutez dans « Accès API » se voit attribuer un identifiant client et une clé secrète que vous devez communiquer au développeur de l'application. Ce dernier doit stocker ces données d'identification en toute sécurité.

Toutes les interfaces d'exécution exposées des services Verify d'authentification sont protégées par des jetons d'accès OAuth. Les applications appelantes doivent fournir un ID et un secret client OAuth lors de l'exécution pour échanger un jeton d'accès OAuth au niveau du service d'autorisation dans votre titulaire. Le jeton d'accès est ensuite utilisé pour appeler l'API cible Verify . Le jeton doit être fourni à chaque appel d'API.

Vous pouvez également implémenter un filtre IP afin que l'émission et l'utilisation des jetons puissent être limitées à une certaine plage d'adresses IP ou en être exclues.

Consultez la documentation de l'API à l'adresse https://docs.verify.ibm.com/verify/page/api-documentation pour en savoir plus sur les opérations, les réponses et les contraintes de l'API.

Procédure

  1. Sélectionnez Sécurité > Accès API > Clients API
  2. Ajoutez un client API.
    1. Sélectionnez « Ajouter un client API ».
    2. Cochez les cases correspondant aux droits que vous souhaitez accorder.
      La case à cocher « Nom de l'autorisation » accorde tous les droits au client API.
    3. Cliquez sur Suivant.
    4. Définissez des restrictions.
      Remarque : la possibilité de limiter la gestion des clients API à des groupes d'utilisateurs spécifiques est une fonctionnalité disponible sur demande, CI-102537. Pour demander cette fonctionnalité, veuillez contacter votre représentant commercial IBM ou votre interlocuteur IBM et lui faire part de votre souhait de bénéficier de cette fonctionnalité. Si vous êtes autorisé à créer un ticket d'assistance, créez-le en indiquant les numéros de la préversion publique. IBM Verify Les abonnements d'essai ne permettent pas de créer des tickets d'assistance.
      Cette étape est disponible si vous avez sélectionné l'un des droits de type « restreignable ».
      • manageGroupMembers
      • manageGroups
      • manageUsers
      • manageUserGroups
      • readGroups
      • readGroupMembers
      • readUserGroups
      • readUserGroupMembership
      • readUsers
      • resetPasswordAnyUser
      • updateAnyGroupMember
      Cochez la case pour limiter ces droits à certains groupes.
      Remarque : les restrictions de groupe ne peuvent pas être utilisées si l'un des droits suivants est sélectionné.
      • manageAllUserGroups
      • manageStandardGroupMembers
      • manageUsersInStandardGroups
      • manageStandardGroups
      • manageUsersStandardGroups
      • readStandardGroupMembers
      • readStandardGroupMembership
      • readStandardGroups
      • updateAnyUser

      Si votre client API principal dispose de manageAPIClients l'autorisation requise, vous pouvez effectuer des opérations de création, de récupération, de mise à jour et de suppression sur les clients API secondaires créés à l'aide des API back-end APIClients . Si vous avez sélectionné d'autres autorisations, vous pouvez limiter celles qui sont transmises aux clients API. Sélectionnez « Utiliser les sélections de l'étape précédente » pour conserver tous les droits sélectionnés, à l'exception de manageAPIClients. S électionnez un sous-ensemble de droits afin de préciser lesquels, parmi les droits sélectionnés, vous souhaitez transmettre aux clients de l'API back-end.

    5. Cliquez sur Suivant.
    6. Dans la section « Identifiants API », indiquez les informations suivantes pour permettre à l'application de se connecter au tenant via l'API :
      Tableau 1. Paramètres des identifiants API
      Zone Descriptif
      ID de client Identificateur unique du client API.

      Ces informations sont automatiquement générées et affichées dans la liste Clients API une fois que vous avez sauvegardé le client API.

      Secret client Utilisé avec l'ID client pour vérifier l'identité du client API.

      Il s'agit d'un secret qui ne doit être connu que de l'application et du serveur d'autorisation.

      Ces informations sont automatiquement générées après la sauvegarde du client API.

      Méthode d'authentification client Verify prend en charge les méthodes d'authentification client suivantes :
      • Default(Sélection par défaut)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      Pour l'authentification JWT par clé privée, ces champs sont disponibles.
      Valider le JTI d'assertion client Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

      Indique si l'élément JTI dans le jeton JWT d'assertion client est validé pour un usage unique.

      Clés de vérification de signature autorisées Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

      ID de clé de vérification de signature permettant de vérifier le jeton JWT d'assertion client.

      URI JWKS Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

      URI dans lequel la partie utilisatrice publie ses clés publiques au format JWKS (Web Keys Set) JSON. Cet URI est utilisé pour la vérification de signature ou le chiffrement JWT. Le système peut rejeter un URI JWKS inaccessible ou qui n'a pas répondu. Le système peut également rejeter l'URI JWKS si la taille JWKS est trop grande. Si la partie utilisatrice ne publie pas d'URI JWKS, une clé publique peut être ajoutée dans le système, sous la forme d'un certificat X509. Voir la section « Gestion des certificats ». Le « nom ami » qui est associé au certificat public est la valeur de l'en-tête de clé (enfant) de JWT.

    7. Cliquez sur Suivant.
    8. Facultatif : cochez cette case pour n'autoriser que les champs d'application configurés.
      Les portées octroyées au client à la fin du flux se limitent à celles qui figurent dans cette section. Entrez le nom de la portée à octroyer ainsi qu'une description. Le nom de la portée référence la portée OAuth2/OIDC qui est demandée par une partie utilisatrice/un client. Sélectionnez cette option pour accorder davantage de droits d'accès.
    9. Cliquez sur Suivant.
    10. Facultatif : dans la section « Filtre IP », indiquez les informations suivantes si vous souhaitez mettre en place un filtre IP afin de garantir la sécurité de la distribution de l'identifiant et de la clé secrète du client API :
      Tableau 2. Paramètres du filtre IP
      Zone Descriptif
      Activer le filtrage des adresses IP

      Indique si le filtre IP est activé ou désactivé.

      • Liste des adresses autorisées
      • Liste de refus

      Indique le type de filtre et s'il s'agit d'une liste blanche ou d'une liste noire.

      Requise si l'option Activer le filtrage IP est activée.

      Filtres d'adresse IP

      Liste des filtres IP.

      Requise si l'option Activer le filtrage IP est activée.

      Les filtres IP se présentent sous la forme d'une seule adresse IP, d'une plage IP ou d'un masque de sous-réseau IP. Les formats IPv4 et IPv6 sont tous deux pris en charge. Par exemple : 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48

    11. Cliquez sur Suivant.
    12. Facultatif : ajoutez des propriétés et des valeurs à associer au client API.
    13. Cliquez sur Suivant.
    14. Spécifiez les informations suivantes relatives au client API afin de terminer la configuration.
      Nom
      Remarque : seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés :
      • - trait d'union
      • . point
      • _ trait de soulignement
      Descriptif
      Explication permettant de définir facilement l'objectif du client API.
      Activé

      Indique si le client API est activé ou désactivé. Par défaut, il est activé.

      Un client API autorisé peut appeler les API auxquelles il a le droit d'accéder.

      Si la case n'est pas cochée, un client API désactivé ne peut appeler aucune API, y compris les API auxquelles il a le droit d'accéder.
      Remarque :
      • Cela peut prendre jusqu'à 1 minute pour que ce paramètre prenne effet.
      • Si le client API possède un jeton d'accès valide, il peut continuer à appeler les API. Les jetons d'accès ont une période de validité limitée. Le jeton expire dans 2 heures. Lorsque le jeton d'accès a expiré, le client API ne peut plus appeler les API.
      Balises
      Vous pouvez ajouter jusqu'à 20 balises pour améliorer la visibilité de votre client API dans les résultats de recherche. Les balises doivent comporter moins de 100 caractères, espaces non compris, et peuvent contenir des chiffres, des lettres minuscules ainsi que les caractères spéciaux suivants.
      • : (deux-points)
      • - (trait d'union)
      • _ (trait de soulignement)
      • . (point)
      • = (signe égal)
      • @ (arobase)
      • / (barre oblique)
    15. Sélectionnez « Créer un client API ».
      L'ID client, le secret client et le secret Kubernetes sont générés.

Que faire ensuite

Ajoutez les domaines à partir desquels votre client API peut appeler les Verify API. Voir la section « Gestion des domaines ».

Afficher les détails de la connexion

Vous pouvez copier vos identifiants de client et télécharger votre clé secrète d' Kubernetes.

Procédure

  1. Sélectionnez le client API dont vous souhaitez afficher les données d'identification de l'API.
  2. Cliquez sur Menu l'icône.
  3. Sélectionnez « Détails de la connexion ».
  4. En fonction de vos exigences de connexion, copiez l'ID client et le secret et téléchargez le fichier YAML secret de Kubernetes.