Configuration d'un fournisseur OAuth tiers

Saisissez les noeuds finaux sécurisés pour fournir une authentification OAuth à partir d'un tiers.

1. Dans API Manager, cliquez sur Ressources.
2. Sélectionnez Fournisseurs OAuth > Ajouter > Fournisseur OAuth tiers.
   1. Renseignez les paramètres suivants pour le premier écran et cliquez sur Suivant.

      Zone	Descriptif
      Titre	Entrez un titre descriptif pour le service de passerelle. Ce titre s'affichera à l'écran.
      Nom	Cette zone est remplie automatiquement par le système et utilisée comme nom de zone interne.
      Types de droits pris en charge	Vous pouvez : Implicite : Un jeton d'accès est renvoyé immédiatement, sans étape supplémentaire d'échange de code d'autorisation. Application: application à application. Cette option correspond au type de droit OAuth "Données d'identification de client". Ne requiert pas de sécurité utilisateur. Code d'accès : Un code d'autorisation est extrait d'une URL et échangé contre un code d'accès. Cette option correspond au type de droit OAuth "Code d'autorisation". Propriétaire de la ressource - Mot de passe : le client échange directement le nom d'utilisateur et le mot de passe de l'utilisateur contre un jeton d'accès, et seuls les clients de première partie peuvent utiliser ce flux. Propriétaire de la ressource-JWT: un jeton bearer JWT (JSON Web Token) est utilisé pour demander un jeton d'accès OAuth 2.0 et pour l'authentification du client, comme défini par le profil JWT (JSON Web Token) pour OAuth 2.0 Client Authentication and Authorization Grants. Remarque: Pour utiliser l'option Propriétaire de la ressource-JWT , procédez comme suit: Dans la zone Types d'octroi pris en charge , sélectionnez à la fois Propriétaire de la ressource-Mot de passe et Propriétaire de la ressource-JWT. Editez la définition d'API et ajoutez un schéma de sécurité qui spécifie oauth2 comme type de définition de sécurité et sélectionnez Propriétaire de la ressource-Mot de passe comme type de flux. Pour des instructions sur la définition d'un schéma de sécurité OAuth2 pour une API, voir Définition des composants du schéma de sécurité OAuth2 (OpenAPI 3) ou Définition des schémas de sécurité OAuth2 (OpenAPI 2).
      Type de passerelle	Sélectionnez le type de passerelle, DataPower® API Gateway.

   2. Spécifiez les paramètres de configuration des noeuds finaux, puis cliquez sur Suivant.

      Zone	Descriptif
      URL d'autorisation	Une URL d'autorisation est l'endroit où le propriétaire d'une ressource protégée accorde à l'application client l'autorisation d'accéder à la ressource protégée. Exemple : https://example.com/oauth2/authorize
      URL de jeton	Une URL de demande de jeton est l'endroit où l'application client échange un octroi d'autorisation contre un jeton d'accès. Exemple : https://example.com/oauth2/token
      URL d'introspection	L'URL d'introspection est l'endroit où la passerelle d'API valide les jetons d'accès qui sont émis par le fournisseur tiers. Exemple : https://example.com/oauth2/introspect Pour plus d'informations sur l'intégration de fournisseurs OAuth tiers pour l'introspection, voir Introspection OAuth pour des fournisseurs OAuth tiers.
      Type de cache d'introspection	Le type de cache détermine la durée de conservation des réponses du fournisseur tiers dans le cache si celles-ci sont conservées. Sélectionnez l'une des options suivantes : Pas de cache (valeur par défaut) : Les réponses ne sont pas mises en cache. Protocole : Déterminé par l'en-tête cache-control figurant dans la réponse du fournisseur. Durée de vie : Déterminée par le fournisseur.
      Durée de vie en cache	Durée, en secondes, pendant laquelle les réponses du fournisseur sont conservées dans le cache si le type de cache Introspection est réglé sur la valeur Durée de vie. La valeur par défaut est 900.
      Profil TLS (facultatif)	Sélectionnez un profil TLS facultatif pour communiquer avec le fournisseur tiers.
      Sécurité	La valeur par défaut est "Authentification de base".
      Nom d'en-tête de demande d'authentification de base	L'en-tête x-introspect-basic-authorization-header est disponible pour fournir un en-tête d'autorisation HTTP de base configuré par l'utilisateur.
      Nom d'utilisateur de l'authentification de base (facultatif)	Nom d'utilisateur par défaut pour l'authentification de base HTTP.
      Mot de passe de l'authentification de base (facultatif)	Mot de passe par défaut pour l'authentification HTTP de base.
      Validation de jeton	Indique la méthode utilisée pour déterminer si la demande d'introspection envoyée au service tiers pour valider le jeton fourni a abouti. Sélectionnez l'une des options suivantes : Connecté : La requête a abouti si le code retour d'état est 200. Actif (valeur par défaut): la requête aboutit si le code retour du statut est 200 et que le corps JSON de la réponse inclut la propriété active: true.
      Masque d'en-tête personnalisé (facultatif)	Expression régulière pour les en-têtes de demande qui doivent être transmis au fournisseur tiers ; par exemple, x-Introspect-*.
      Passe-système de l'en-tête d'autorisation	Cochez cette case si vous souhaitez conserver l'en-tête Authorization pour un jeton porteur. Par défaut, cet en-tête est retiré.

   3. Entrez les portées sur le troisième écran. Une portée devient une option dans la demande de jeton d'accès et dans la réponse correspondante. Cliquez sur Ajouter pour ajouter des zones de portée supplémentaires. Cliquez sur Suivant lorsque vous avez terminé.

      Zone	Descriptif
      sample_scope_1	Portée de jeton
      sample_scope_2	Portée de jeton
      Portées supplémentaires	Portée de jeton

   4. Passez en revue les paramètres du panneau Récapitulatif .
3. Cliquez sur Sauvegarder et éditer pour terminer la configuration.