Gestion de l'accès aux API des applications « OpenID Connect » et « OpenID Connect » pour l'Open Banking

Si un développeur crée une application qui utilise une ou plusieurs de ces Verify fonctions, celle-ci doit disposer des droits nécessaires pour appeler les API correspondantes Verify . Enregistrez l'application interne en tant que client API dans l'accès API afin de lui attribuer un identifiant client et un secret uniques.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
Remarque : seuls les utilisateurs disposant des autorisations nécessaires peuvent voir le secret client. Pour plus d'informations, consultez la section « Mises à jour de sécurité pour les droits d'accès ».

A propos de cette tâche

Vous pouvez accorder un accès API à votre application OpenID Connect for Open Banking lorsque vous le créez ou ultérieurement à l'aide de l'option d'édition. Les clients d'API peuvent être créés pour l'application et chaque client d'API peut avoir un ensemble différent d'habilitations d'accès d'API.

Vous pouvez également implémenter un filtre IP afin que l'émission et l'utilisation des jetons puissent être limitées à une certaine plage d'adresses IP ou en être exclues.

Procédure

  1. Sélectionnez Applications > Applications.
  2. Sélectionnez « Ajouter une application ».
  3. Sélectionnez « OpenID Connect » ou « OpenID Connect » pour l'application Open Banking, puis sélectionnez « Ajouter une application ».
  4. Sélectionnez « Accès à l'API ».
  5. Créez le client de l'API d'application.
    1. Sélectionnez « Ajouter un client API ».
    2. Spécifiez les informations suivantes pour le client API :
      Tableau 1. API client
      Zone Paramètres
      Nom Indiquez le nom du client d'API
      Remarque : seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés :
      • -
      • .
      • _
      Activé Indique si le client API est activé ou désactivé. Par défaut, il est activé.

      Un client API case cochée activé peut appeler les API auxquelles il est autorisé à accéder.

      Un Case décochée client API désactivé ne peut appeler aucune API, y compris celles auxquelles il est autorisé à accéder.

      ID de client

      Identificateur unique du client API.

      Ces informations sont automatiquement générées et affichées dans la liste Clients API une fois que vous avez sauvegardé le client API.

      Secret client

      Utilisé avec l'ID client pour vérifier l'identité du client API.

      Il s'agit d'un secret qui ne doit être connu que de l'application et du serveur d'autorisation.

      Ces informations sont automatiquement générées après la sauvegarde du client API.

      Méthode d'authentification client Verify prend en charge les méthodes d'authentification client suivantes :
      • Par défaut
      • Méthode de base pour secret client
      • POST pour secret client
      • Jeton JWT pour clé privée
      • TLS mutuel
      Remarque : la méthode d'authentification par défaut du client est « default ».

      Si vous conservez la valeur par défaut, les méthodes de base et POST pour secret client sont autorisées. Si la partie de confiance la prend en charge, utilisez la clé privée JWT ou Mutual TLS comme configuration. Pour plus d'informations sur l'authentification du client TLS, voir Authentification client TLS mutuelle OpenID Connect et jeton d'accès lié au certificat.

      Valider le JTI d'assertion client Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

      Indique si l'élément JTI dans le jeton JWT d'assertion client est validé pour un usage unique.

      Clés de vérification de signature autorisées Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

      ID de clé de vérification de signature permettant de vérifier le jeton JWT d'assertion client.

      URI JWKS Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.

      URI dans lequel la partie utilisatrice publie ses clés publiques au format JWKS (Web Keys Set) JSON. Cet URI est utilisé pour la vérification de signature ou le chiffrement JWT. Le système peut rejeter un URI JWKS inaccessible ou qui n'a pas répondu. Le système peut également rejeter l'URI JWKS si la taille JWKS est trop grande. Si la partie utilisatrice ne publie pas d'URI JWKS, une clé publique peut être ajoutée dans le système, sous la forme d'un certificat X509. Voir la section « Gestion des certificats ». Le « nom ami » qui est associé au certificat public est la valeur de l'en-tête de clé (enfant) de JWT.

      Attribut d'authentification client TLS Cette option s'affiche uniquement lorsque la méthode d'authentification du client TLS est sélectionnée.
      Attribut de certificat utilisé pour l'authentification.
      • Nom distinctif du sujet
      • Serveur de noms de domaine du réseau de stockage
      • URI du réseau de stockage
      • Adresse IP du réseau de stockage
      • Adresse électronique du réseau de stockage
      Valeur d'attribut d'authentification client TLS Cette option s'affiche uniquement lorsque la méthode d'authentification du client TLS est sélectionnée.

      Valeur de l'attribut dans le certificat qui sera utilisé pour l'authentification.

      Jetons d'accès liés au certificat Indique si les jetons générés seront liés au certificat. Pour plus d'informations sur les jetons d'accès liés aux certificats, voir Authentification client TLS mutuelle OpenID Connect et jeton d'accès lié au certificat.
  6. Configurez l'expiration du jeton d'accès et du jeton d'actualisation afin de limiter la durée pendant laquelle l'accès est autorisé en cas de vol de ces jetons.
    Le jeton d'accès est utilisé pour autoriser l'accès à la ressource protégée. Après son expiration, l'autorisation est révoquée.
    Tableau 2. Paramètres des jetons
    Zone Descriptif
    Expiration du jeton d'accès (secs)

    Définit la durée en secondes au bout de laquelle le jeton d'accès expire.

    Définissez une expiration de jeton d'accès pour limiter l'heure à laquelle un agresseur peut accéder à la ressource avec le jeton volé lorsque l'application client est compromise.

    Seuls les entiers positifs sont autorisés.

    La valeur par défaut est de 7 200 secondes. La valeur minimale autorisée est 1 et la valeur maximale est 2 147 483 647 secondes.

    Format du jeton d'accès Indique le format du jeton d'accès. Les options suivantes sont disponibles :
    • valeur par défaut
    • JWT
  7. Spécifiez les informations suivantes si vous souhaitez implémenter un filtre IP pour vous assurer que l'ID et le secret du client API sont distribués en toute sécurité.
    Tableau 3. Paramètres du filtre IP
    Zone Descriptif
    Activer le filtrage des adresses IP

    Indique si le filtre IP est activé ou désactivé.

    Liste blanche/Liste noire

    Indique le type de filtre et s'il s'agit d'une liste blanche ou d'une liste noire.

    Requise si l'option Activer le filtrage IP est activée.

    Filtres d'adresse IP

    Liste des filtres IP.

    Requise si l'option Activer le filtrage IP est activée.

    Les filtres IP se présentent sous la forme d'une seule adresse IP, d'une plage IP ou d'un masque de sous-réseau IP. Les formats IPv4 et IPv6 sont tous deux pris en charge. Par exemple : 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48

  8. Cochez la case « Restreindre les champs d'application personnalisés ».

    Si vous sélectionnez Restreindre les portées personnalisées, les portées octroyées au client à la fin du flux se limitent à celles qui figurent dans cette section. Entrez le nom de la portée personnalisée à octroyer ainsi qu'une description. Le nom de portée fait référence à la portée OAuth2/OIDC demandée par une partie utilisatrice ou un client. La description est une explication compréhensible de la portée. Sélectionnez Ajouter une portée pour accorder plus de portées.

  9. Sélectionnez les API pour lesquelles accorder l'accès.
    Pour plus d'informations, voir Droits d'accès.

    Si Sélectionner tout est défini sur Désactivé, sélectionnez les API que vous souhaitez accorder à l'accès au client. Si Tout sélectionner est activé, le client peut accéder à toutes les API. Toutefois, vous pouvez décocher les cases de toutes les API auxquelles vous ne souhaitez pas que le client ait accès.

    Remarque :
    • Vous pouvez créer un client API qui ne dispose pas d'autorisation initiale pour appeler des API. Vous pouvez le modifier ultérieurement pour accorder l'accès à cette API spécifique.
    • Seules les API pertinentes pour votre plan d'abonnement peuvent être sélectionnées.
    • Pour les applications OIDC, un client par défaut ayant un nom de client identique au nom d'application se trouve dans la liste des clients API pour cette application. Il ne peut pas être supprimé sauf si l'application est supprimée ou si une autre méthode de connexion est utilisée.
  10. Sélectionnez « Terminé ».
  11. Assurez-vous d'avoir rempli tous les champs obligatoires dans les onglets « Général » et « Connexion ».
  12. Cliquez sur Enregistrer.

    Les ID client et Secret client sont générés et le client d'application et d'API est créé.

  13. Afficher et éditer le client API
    1. Faites défiler la page pour trouver le client API.
    2. Passez la souris sur le client API et sélectionnez l'icône Editer .

      La boîte de dialogue Editer le client API s'affiche.

    3. Utilisez les options suivantes :
      • Sélectionnez Afficher pour afficher le secret du client.
      • Sélectionnez Masquer pour masquer le secret du client.
      • Cliquez sur Copier pour copier l'identifiant client ou la clé secrète dans le presse-papiers.
      • Cliquez ici Liste pour afficher les secrets client renouvelés.
        • Sélectionnez un ou plusieurs secrets client renouvelés dans la liste, puis cliquez sur Supprimer pour les supprimer.
      • Sélectionnez Régénérer pour générer un nouveau secret client. Utilisez cette option si vous pensez que le secret client est compromis. Si vous régénérez le secret client, vous devez le mettre à jour dans tous les clients OAuth de l'application.
        • Cochez la case « Conserver le secret actuel » pour ajouter le secret client actuel à la liste des secrets clients renouvelés.
        • Si la case « Conserver le secret actuel » est cochée, sélectionnez la description du secret client et la date d'expiration (selon l'heure locale du navigateur). Si aucune durée d'expiration n'est sélectionnée, la durée de vie du secret renouvelé du locataire définie dans les paramètres de l'application s'appliquera.
        • Les secrets client renouvelés sont hachés et ne peuvent plus être récupérés en clair, mais ils restent utilisables jusqu'à la date d'expiration choisie.
        • Une fois la confirmation effectuée, le secret client est immédiatement renouvelé. Le nouveau secret client s'affiche à l'écran.
    4. Modifiez les informations souhaitées.
    5. Sélectionnez « Terminé ».
  14. Supprimez le client API.
    1. Faites défiler la page pour trouver le client API.
    2. Cochez la case du client.
      Pour supprimer plusieurs clients d'API, cochez la case correspondant à chaque client que vous souhaitez supprimer.
    3. Sélectionnez « SupprimerSupprimer » dans la barre d'outils des éléments sélectionnés.
      Remarque : le bouton « Supprimer » situé dans le coin inférieur gauche de la fenêtre supprime l'application, et non le client API.
      Vous pouvez également supprimer un client d'API en le sélectionnant et en cliquant sur l'icône de suppression dans le panneau des détails.
    4. Confirmez que vous souhaitez supprimer le client API.
    5. Une fois que vous avez terminé, cliquez sur Enregistrer.