Création d'un registre d'utilisateurs OIDC dans API Manager

Créez un registre d'utilisateurs OIDC spécifique à l'organisation lorsque l'authentification multi-facteur (MFA) est requise.

Important: Si vous utilisez X (anciennement Twitter) comme fournisseur OIDC, API Connect ne prend en charge que la méthode OAuth 1.0a , de sorte que votre application X doit être configurée pour utiliser OAuth 1.0a. D'autres fournisseurs OIDC prennent en charge OAuth 2.0.

API Connect fournit deux méthodes pour créer un registre d'utilisateurs OIDC dans API Designer, comme décrit dans les sections suivantes:

Utilisation de l'interface utilisateur pour créer un registre d'utilisateurs OIDC

Utilisez l'interface utilisateur API Designer pour créer un registre d'utilisateurs OIDC spécifique à l'organisation lorsque l'authentification multi-facteur (MFA) est requise.

  1. Dans le panneau de navigation API Designer , cliquez sur Ressources Ressources.
  2. Cliquez sur Registres d'utilisateurs.
  3. Cliquez sur Créer et sélectionnez Registre d'utilisateurs OIDC.
    Important: Ne partagez pas les registres d'utilisateurs entre API Manager et le portail de développeur, ou entre les sites du portail de développeur lorsque l'intégration en libre-service est activée ou que des suppressions de compte sont attendues sur l'un des sites. Vous devez créer des registres d'utilisateurs distincts pour eux, même si les registres distincts pointent vers le même fournisseur d'authentification dorsal (par exemple, un serveur LDAP). Cette séparation permet au portail de développeur de conserver des adresses électroniques uniques dans le catalogue, sans qu' API Manager ait besoin de la même exigence. Elle permet également d'éviter les problèmes liés à la suppression par les utilisateurs de leurs comptes du portail de développeur qui affecte ensuite leur accès au gestionnaire d'API .
  4. Sur la page Créer un registre d'utilisateurs OIDC, utilisez les zones dans chacune des sections suivantes pour configurer les paramètres du registre, puis cliquez sur Créer.

    De nombreux paramètres de registre sont préconfigurés pour simplifier les étapes de configuration.

    Type de fournisseur
    Utilisez les paramètres du Tableau 1 pour définir le type de fournisseur.
    Tableau 1. Paramètres du type de fournisseur
    Zone Descriptif
    Type de fournisseur Fournisseur OIDC. Sélectionnez l'un des fournisseurs OIDC pris en charge suivants :
    • <
    • GitHub
    • Google
    • LinkedIn
    • Citation
    • X (anciennement Twitter)
    • Windows Live
    • OIDC standard (la valeur par défaut vous permet de spécifier un autre fournisseur)
    Titre Indiquez un nom descriptif pour l'affichage.
    Nom Généré automatiquement. Ce nom est utilisé dans les commandes de l'interface de ligne de commande pour référencer le registre. Pour plus de détails sur les commandes de l'interface de ligne de commande pour la gestion des registres d'utilisateurs, voir la documentation de référence de l'interface de ligne de commande du kit d'outils.
    Récapitulatif Indiquez une brève description du nouveau registre.
    Courrier électronique requis Sélectionnez cette option si une adresse électronique est requise dans le cadre du processus d'intégration de l'utilisateur. Si cette option est sélectionnée, le fournisseur d'identité source doit fournir l'adresse électronique dans le cadre du processus d'authentification lors de l'intégration.
    Remarque: une adresse électronique n'est pas requise par défaut pour l'intégration au gestionnaire de cloud ou au gestionnaire d'API, mais elle est requise pour l'intégration au portail de développeur.
    Adresse email unique Sélectionnez cette option si les adresses électroniques doivent être uniques dans le registre d'utilisateurs.
    Remarque: Chaque compte du portail de développeur, y compris dans différents registres d'utilisateurs pour le même site, doit avoir une adresse électronique unique, y compris le compte d'administrateur du site.
    Noeud final de fournisseur
    Généré automatiquement pour la plupart des fournisseurs pris en charge. Dans la zone Noeud final de l'autorisation, entrez l'URL du noeud final de l'autorisation du fournisseur.
    Noeud final de jeton
    Renseignez les paramètres, comme indiqué dans le Tableau 2.
    Tableau 2. Paramètres du noeud final de jeton
    Zone Descriptif
    URL Préconfigurée pour la plupart des fournisseurs OIDC pris en charge. Entrez l'URL du noeud final de jeton du fournisseur.
    allocation de mémoire locale d"unité d"exécution Sélectionnez le profil client TLS pour le noeud final de jeton (OIDC doit être configuré pour utiliser TLS). La valeur par défaut est Profil de client TLS par défaut.
    Noeud final UserInfo
    Renseignez les paramètres, comme indiqué dans le Tableau 3.
    Tableau 3. Paramètres du noeud final UserInfo
    Zone Descriptif
    URL Préconfigurée pour la plupart des fournisseurs OIDC pris en charge. Entrez l'URL du noeud final userinfo du fournisseur.
    PourLinkedIn, le point de terminaison a changé et utilise désormais la valeur suivante :
    https://api.linkedin.com/v2/me
    Si vous avez précédemment configuré le registre OIDC à l'aide du protocole OIDC LinkedIn existant, vous n'avez pas besoin de spécifier ce noeud final.
    allocation de mémoire locale d"unité d"exécution Sélectionnez le profil client TLS pour le noeud final userinfo (OIDC doit être configuré pour utiliser TLS). La valeur par défaut est Profil de client TLS par défaut.
    Noeud final de courrier électronique
    Requis pour le protocole OIDC LinkedIn existant.

    En raison des changements dansLinkedIn, les paramètres de configuration du registre OIDC dansAPI Connect a également changé. Si vous configurez un nouveau registre OIDC pourLinkedIn, vous pouvez laisser le champ Email Endpoint vide.

    Si vous avez précédemment configuré un registre OIDC à utiliser avec le protocole OIDC LinkedIn existant, mettez à jour votre configuration en fournissant les paramètres de noeud final d'e-mail comme décrit dans le tableau 4. Le nouveau paramètre est requis pour le protocole OIDC LinkedIn existant.

    Tableau 4. Paramètres de noeud final d'e-mail
    Zone Descriptif
    URL Pour le protocole OIDC LinkedIn existant, cette zone prend par défaut la valeur suivante:
    https://api.linkedin.com/v2/emailAddress?q=members&projection=(elements*(handle~))
    Vous pouvez remplacer le paramètre en entrant une nouvelle valeur.
    allocation de mémoire locale d"unité d"exécution Sélectionnez le profil client TLS pour le noeud final userinfo (OIDC doit être configuré pour utiliser TLS). La valeur par défaut est Profil de client TLS par défaut.
    Noeud final JWKS
    Renseignez les paramètres, comme indiqué dans le Tableau 5.
    Tableau 5. Paramètres du noeud final JWKS
    Zone Descriptif
    URL Entrez l'URL du noeud final en lecture seule contenant les informations de clés publiques au format JWKS.
    allocation de mémoire locale d"unité d"exécution Sélectionnez le profil client TLS pour le noeud final userinfo (OIDC doit être configuré pour utiliser TLS). La valeur par défaut est Profil de client TLS par défaut.
    Déconnexion
    Vous pouvez configurer l'un des types suivants de prise en charge de la déconnexion, mais pas les deux:
    • Redirection de déconnexion:

      Permet de spécifier ce que l'utilisateur voit après s'être déconnecté de API Connect; par exemple, vous pouvez "rediriger" l'utilisateur vers le noeud final de déconnexion du fournisseur OIDC ou vers une autre adresse. Lorsque l'utilisateur se déconnecte de API Connect, le navigateur est redirigé vers l' URL spécifié pour un traitement ultérieur par l' URL spécifié.

    • Déconnexion initiée par la partie utilisatrice:

      Fournit un formulaire plus sécurisé en fonction du profilOpenID Connect RP-Initiated Logout 1.0. Lorsque l'utilisateur se déconnecte de API Connect, API Connect émet une requête POST à l'adresse URL spécifiée pour effacer la session de l'utilisateur. Avec cette option, vous pouvez également fournir une URL redirection de déconnexion RP.

    Renseignez les paramètres, comme indiqué dans le Tableau 6.

    Tableau 6. Options de déconnexion
    Zone Descriptif
    URL de redirection de déconnexion Facultatif. Fournir une URL pour rediriger le navigateur lorsque l'utilisateur se déconnecte de API Connect.

    Si vous utilisez cette option, n'activez pas la déconnexion OIDC RP.
    Activer la déconnexion du RP OIDC Sélectionnez cette option pour utiliser la déconnexion initiée par la partie utilisatrice à la place de la redirection de déconnexion classique.

    Si vous utilisez cette option, ne fournissez pas d' URL redirection pour la déconnexion. Dans le cas d'une déconnexion initiée par le RP, vous pouvez éventuellement spécifier une URL redirection pour la déconnexion par le RP.
    URL de nœud final auquel le RP émettra une requête POST Fournir l' URL du point de terminaison où la requête POST sera exécutée ; par exemple, le point de terminaison d'autorisation du fournisseur OpenID.
    allocation de mémoire locale d"unité d"exécution Sélectionnez le profil TLS à utiliser lors de l'envoi de la demande POST au noeud final de fournisseur OpenID .
    URL du noeud final de redirection de déconnexion du RP Facultatif. Fournir une URL où le fournisseur OIDC peut rediriger après l'opération de déconnexion. L' URL fait office de post_logout_redirect_uri, comme décrit dans le profil OpenID Connect RP-Initiated Logout 1.0
    Inclure refresh_token dans la déconnexion Facultatif. Autorisez l'inclusion de refresh_token, en plus de id_token_hint, conformément au profilOpenID Connect RP-Initiated Logout 1.0.
    Informations Client
    Renseignez les paramètres comme indiqué dans le tableau 7.
    Tableau 7. Paramètres d'informations client
    Zone Descriptif
    ID de client Indiquez l'ID client de l'application qui est enregistrée auprès du fournisseur OIDC sélectionné.
    Secret du client Indiquez la valeur secrète du client de l'application qui est enregistrée auprès du fournisseur OIDC sélectionné. Cette zone est facultative lorsque vous créez un répertoire OIDC de type Standard et que vous définissez Client Authentication Method sur Data encoded form body.

    Si vous n'utilisez pas le secret du client, assurez-vous que TLS mutuel est configuré avec le fournisseur OIDC. Pour activer le TLS mutuel, créez un profil TLS et incluez-le dans la configuration du registre des utilisateurs de l'OIDC.
    Type de réponse Préconfigurée pour la plupart des fournisseurs OIDC pris en charge. Indiquez le type de données de la réponse qui sera reçue du fournisseur OIDC.
    Portées Préconfigurée pour la plupart des fournisseurs OIDC pris en charge. Indiquez la portée d'accès du fournisseur OIDC.
    Méthode d'authentification de client Préconfigurée pour la plupart des fournisseurs OIDC pris en charge. Sélectionnez la méthode d'authentification à utiliser avec le fournisseur OIDC. Les options sont :
    • Schéma d'authentification de base HTTP
    • Corps de formulaire codé à l'aide de données
    Support supplémentaire
    Facultatif. Sélectionnez les paramètres de sécurité supplémentaires décrits dans le tableau 8.
    Tableau 8. Options de sécurité supplémentaires
    Paramètre de sécurité Définition du nom de l'interface CLI Descriptif
    NONCE nonce Activez l'extension NONCE pour empêcher une nouvelle utilisation des demandes compromises (réexécution).
    Clé de preuve pour l'échange de code (PKCE) pkce Activez l'extension PKCE pour permettre aux clients publics d'atténuer la menace d'interception du code d'autorisation.
    Fonctionnalités avancées
    Facultatif. Sélectionnez les fonctions avancées décrites dans le tableau 9.
    Tableau 9. Fonctionnalités avancées
    Libellé de la fonction / de l'interface utilisateur Définition du nom de l'interface CLI Descriptif
    Intégration automatique auto_onboard Autorisez les utilisateurs à exécuter des appels vers des API sans commencer par se connecter, à condition qu'ils présentent un jeton valide émis par le fournisseur OIDC.
    Remarque: ne s'applique pas aux organisations de type consommateur.
    Toujours utiliser le noeud final userinfo userinfo Configurez le registre d'utilisateurs OIDC pour toujours extraire des données utilisateur du noeud final userinfo, s'il est rempli.
    Utiliser le portail comme noeud final pour le trafic de fournisseur OIDC externe proxy_redirect Lors de l'authentification des utilisateurs, redirigez le fournisseur OIDC externe pour communiquer avec le portail de développeur et non avec API Manager.
    Renvoyer le jeton d'accès tiers proxy_access_token Incluez le jeton d'accès OIDC tiers dans la réponse.
    Remarque: activez ce paramètre à des fins de débogage uniquement.

    Ce paramètre n'est pas recommandé pour une utilisation dans un environnement de production. Lorsque ce paramètre est activé, la taille du jeton augmente lorsqu'une demande est envoyée à API Connect à l'aide du jeton. La taille plus importante du jeton peut dépasser la limite du protocole HTTP, ce qui entraîne une erreur ERR_HTTP2_PROTOCOL_ERROR ou ERR_CONNECTION_CLOSED.

    Vous pouvez éviter le problème de taille en activant Return third-party access_token and id_token as distinct claims afin que les jetons tiers ne soient pas ajoutés au jeton d'accès émis API Connect.
    Renvoyer l'élément id_token tiers proxy_id_token Incluez le jeton id_token OIDC tiers dans la réponse.
    Remarque: activez ce paramètre à des fins de débogage uniquement.

    Ce paramètre n'est pas recommandé pour une utilisation dans un environnement de production. Lorsque ce paramètre est activé, la taille du jeton augmente lorsqu'une demande est envoyée à API Connect à l'aide du jeton. La taille plus importante du jeton peut dépasser la limite du protocole HTTP, ce qui entraîne une erreur ERR_HTTP2_PROTOCOL_ERROR ou ERR_CONNECTION_CLOSED.

    Vous pouvez éviter le problème de taille en activant Return third-party access_token and id_token as distinct claims afin que les jetons tiers ne soient pas ajoutés au jeton d'accès émis API Connect.
    Renvoyer le jeton d'accès tiers et le jeton d'identification en tant que déclarations distinctes proxied_token_as_separate_claim Incluez les jetons OIDC tiers ( proxy_access_token et proxy_id_token) dans la réponse en tant que réclamations distinctes au lieu de les ajouter au jeton d'accès émis par API Connect. Pour utiliser cette fonction, vous devez activer au moins l'une des options Return third-party access token et Return third-party id_token .

    La séparation des jetons tiers les empêche d'affecter la taille du jeton d'accès émis par API Connect.
    Relais de jeton token_relay Autoriser access_token/refresh_token à envoyer une redirection 302 pour la déconnexion
    POST Userinfo post_userinfo Si pris en charge par votre fournisseur OIDC, en utilisant la méthode HTTP POST lors du contact avec le noeud final userinfo.
    Remarque: tous les fournisseurs OIDC ne prennent pas en charge POST. Vérifiez que votre fournisseur OIDC prend en charge cette fonction avant de l'activer.
    Utiliser le paramètre d'expiration de jeton APIC IBM à partir du cloud override_provider_ttl Remplacez le paramètre d'expiration de jeton du fournisseur OIDC par les paramètres d'expiration de jeton d'accès et de jeton d'actualisation configurés dans API Connect. Pour plus d'informations sur la configuration des paramètres d'expiration du jeton d'accès et du jeton d'actualisation dans API Connect, voir Configuration des délais d'attente pour les jetons d'accès et les jetons d'actualisation.
    Désactiver la vérification de hachage (interface de ligne de commande uniquement) disable_hash_verification Désactivez at_hash, c_hash
    Mappage d'utilisateurs
    Renseignez les paramètres comme indiqué dans le tableau 10.
    Remarque: Les zones Mappage d'utilisateur sont préconfigurées pour la plupart des fournisseurs OIDC pris en charge afin de réduire les erreurs potentielles ; faites attention lors de la modification des paramètres. Pour l'option OIDC standard, contactez votre fournisseur OIDC pour obtenir des détails sur les zones.
    Tableau 10. Paramètres de mappage utilisateur
    Zone Descriptif
    Nom d'utilisateur Nom de la zone du jeton de réponse contenant le nom de l'utilisateur.
    Remarque: La zone Nom d'utilisateur doit être unique pour ce registre OIDC, car elle identifie l'utilisateur dans le système et ne peut pas être modifiée.
    E-mail Nom de la zone du jeton de réponse contenant l'adresse électronique de l'utilisateur.
    Prénom Nom de la zone du jeton de réponse contenant le nom donné de l'utilisateur.
    Nom de famille Nom de la zone du jeton de réponse contenant le nom de famille de l'utilisateur.
    URI de redirection
    La section URI de redirection répertorie les noeuds finaux vers lesquels le serveur d'autorisation OIDC redirigera le code d'autorisation. Il existe un noeud final pour chaque type d'organisation API Connect : administration du cloud, organisation de type fournisseur et organisation de type consommateur. Le noeud final de redirection est requis lorsqu'un utilisateur enregistre son application auprès du fournisseur OIDC. Par exemple, si ce registre d'utilisateurs OIDC est utilisé par une organisation de type fournisseur, l'utilisateur doit enregistrer le noeud final de redirection de l'organisation de type fournisseur auprès du fournisseur OIDC. Ces zones en lecture seule vous sont automatiquement fournies afin de copier les valeurs de noeud final selon les besoins.

Activation du registre d'utilisateurs OIDC

Procédez comme suit pour activer le nouveau registre d'utilisateurs pour un catalogue spécifique dans le portail de développeur. Répétez cette procédure pour chaque catalogue qui utilisera le nouveau registre.

  1. Dans le volet de navigation, cliquez sur " Icône de gestion Gérer.
  2. Sélectionnez le catalogue pour lequel vous allez activer le nouveau registre d'utilisateurs OIDC.
  3. Dans le panneau de navigation, cliquez sur l'onglet Paramètres de catalogue.
  4. Sur la page Paramètres , cliquez sur Intégration.
  5. Sur la page Intégration , cliquez sur Editer dans la section Registres d'utilisateurs du catalogue .
  6. Sur la page Editer le registre d'utilisateurs, sélectionnez le nouveau registre d'utilisateurs OIDC à activer pour votre catalogue.
  7. Cliquez sur Sauvegarder.

Utilisation de l'interface de ligne de commande pour créer un registre d'utilisateurs OIDC

Utilisez l'interface de ligne de commande du kit d'outils de développement pour créer un registre d'utilisateurs OIDC spécifique à l'organisation lorsque l'authentification multi-facteur est requise.

Important: Ne partagez pas les registres d'utilisateurs entre API Manager et le portail de développeur, ou entre les sites du portail de développeur lorsque l'intégration en libre-service est activée ou que des suppressions de compte sont attendues sur l'un des sites. Vous devez créer des registres d'utilisateurs distincts pour eux, même si les registres distincts pointent vers le même fournisseur d'authentification dorsal (par exemple, un serveur LDAP). Cette séparation permet au portail de développeur de conserver des adresses électroniques uniques dans le catalogue, sans qu' API Manager ait besoin de la même exigence. Elle permet également d'éviter les problèmes liés à la suppression par les utilisateurs de leurs comptes du portail de développeur qui affecte ensuite leur accès au gestionnaire d'API .
Configurez un registre d'utilisateurs OIDC en définissant d'abord les détails du registre dans un fichier de configuration. Vous utilisez ensuite une commande CLI pour créer le registre, en transmettant le fichier de configuration en tant que paramètre. Pour rendre le registre disponible sur le portail de développeur, vous devez activer le registre dans le catalogue associé.
Remarque :
  • Un registre OIDC ne peut pas être utilisé pour sécuriser les API sur la passerelle.
  • Si vous utilisez un registre d'utilisateurs OIDC pour la connexion, le serveur de gestion gère l'interaction avec le fournisseur OIDC tiers. Le serveur de gestion est considéré comme l'application du point de vue du fournisseur OIDC tiers. Par conséquent, votre point de redirection OIDC sur le serveur de gestion, que le serveur d'autorisation tiers utilise pour envoyer le jeton, doit être accessible au fournisseur OIDC. Pour garantir les fonctions de connexion, vous devez autoriser l'accès si votre environnement API Connect est protégé par un pare-feu. Ceci est vrai pour la connexion des utilisateurs à la fois sur API Manager et Cloud Manager.
  • Si le registre des utilisateurs OIDC est utilisé pour la connexion des consommateurs au portail des développeurs et que ce dernier se trouve dans la zone démilitarisée, vous pouvez utiliser la propriété proxy_redirect . Cela permet au portail du développeur d'agir en tant que point final pour la communication par procuration entre le fournisseur OIDC et API Connect.
  • Lorsque vous enregistrez votre application auprès du fournisseur OIDC tiers, vous devez fournir l'URI de redirection OIDC associé, https://consumer.mycompany.com/consumer-api/oauth2/redirect par exemple. Toutefois, vous ne pouvez pas accéder à ces informations tant que vous n'avez pas créé votre registre d'utilisateurs de l'OIDC sur API Connect. Dans un premier temps, enregistrez votre demande sans ces informations, puis mettez-la à jour ultérieurement, comme indiqué dans les instructions de cette page.

Connexion au serveur de gestion

Avant de pouvoir créer un registre d'utilisateurs OIDC, vous devez vous connecter à votre serveur de gestion depuis l'interface CLI. Utilisez la commande suivante :
apic login --server mgmt_endpoint_url --username user_id --password password --realm provider/identity_provider
Vous pouvez choisir le fournisseur d'identité à utiliser avec le paramètre --realm en entrant la commande suivante qui permet d'afficher la liste de tous les fournisseurs d'identité disponibles (vous n'avez pas besoin d'être connecté pour utiliser cette commande) :
apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm
Exemple :
apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm 
total_results: 2
results:
  - title: API Manager User Registry
    realm: provider/default-idp-2
  - title: Corporate LDAP user registry
    realm: provider/corporate-ldap
La valeur title devrait vous aider à déterminer le fournisseur d'identité à utiliser. Vous pouvez copier le paramètre --realm correspondant directement à partir de la valeur realm affichée. Pour tous les fournisseurs d'identité créés par votre administrateur après l'installation de API Connect , les noms ont été déterminés lors de la création. Le registre d'utilisateurs local d'API Manager par défaut pour la connexion en tant que membre d'une organisation de type fournisseur est default-idp-2.

Pour plus de détails sur la commande apic login , voir Connexion à un serveur de gestion.

Définition de votre configuration de registre OIDC

Définissez la configuration de votre registre d'utilisateurs OIDC dans un fichier YAML. Au minimum, le fichier YAML doit inclure les paramètres de la liste suivante. Pour plus de paramètres, voir les tableaux fournis avec la version d'interface utilisateur de la procédure dans cette rubrique.
title: registry_title
integration_url: oidc_integration_url
case_sensitive: case_sensitivity_setting
email_required: true_or_false
email_unique_if_exist: true_or_false
configuration:
  client_id: 'app_client_id'
  client_secret: 'my-client-secret'
  provider_type: oidc_provider_type
où :
  • registry_title est le titre descriptif que vous avez choisi pour votre registre d'utilisateurs.
  • oidc_integration_url est l' URL intégration de l'OIDC dans votre configuration API Connect. Vous pouvez déterminer l'URL d'intégration OIDC en utilisant la commande CLI suivante :
    apic integrations:list --server mgmt_endpoint_url --subcollection user-registry
  • case_sensitivity_setting détermine si votre registre d'utilisateurs est sensible à la casse. Les valeurs valides sont :
    • true
    • false
    Pour garantir un traitement correct de la casse des noms d'utilisateur, assurez-vous que votre paramètre de sensibilité à la casse correspond ici au paramètre du fournisseur OIDC de back end:
    • Définissez case_sensitive sur true uniquement si le fournisseur OIDC de back end prend en charge la sensibilité à la casse.
    • Définissez case_sensitive sur false si le fournisseur OIDC de back end ne prend pas en charge la sensibilité à la casse.
    Remarque: Une fois qu'au moins un utilisateur a été ajouté au registre, vous ne pouvez pas modifier ce paramètre.
  • email_required détermine si une adresse électronique est requise dans le cadre du processus d'intégration des utilisateurs. Les valeurs valides sont :
    • true
    • false
    Si la valeur est true, le fournisseur d'identité source doit fournir l'adresse électronique dans le cadre du processus d'authentification lors de l'intégration.
    Remarque: une adresse électronique n'est pas requise par défaut pour l'intégration au gestionnaire de cloud ou au gestionnaire d'API, mais elle est requise pour l'intégration au portail de développeur.
  • email_unique_if_exist détermine si les adresses électroniques doivent être uniques dans le registre d'utilisateurs. Les valeurs valides sont :
    • true
    • false
    Remarque: Chaque compte du portail de développeur, y compris dans différents registres d'utilisateurs pour le même site, doit avoir une adresse électronique unique, y compris le compte d'administrateur du site.
  • app_client_id est l'ID client de l'application qui est enregistrée avec le serveur OIDC et doit être au format chaîne.
  • my-client-secret est la valeur secrète du client de l'application qui est enregistrée avec le serveur OIDC, et doit être au format chaîne.
  • oidc_provider_type est le type de fournisseur OIDC ; spécifiez l'une des valeurs suivantes :
    • facebook
    • github
    • google
    • linkedin
    • slack
    • twitter
    • windows_live
    • standard
      Remarque :
      • Utilisez le type de fournisseur twitter si votre fournisseur OIDC est X (anciennement Twitter).
      • Utilisez le type de fournisseur standard pour n'importe quel fournisseur OIDC compatibles avec la norme OIDC.
        Si le type de fournisseur est standard, vous devez inclure les propriétés suivantes dans la section configuration de votre fichier YAML :
        authorization_endpoint: 'oidc_auth_endpoint'
token_endpoint:
  endpoint: 'oidc_token_endpoint'
        où :
        • oidc_auth_endpoint est le noeud final d'autorisation sur le serveur OIDC, et doit être au format chaîne.
        • oidc_token_endpoint est le noeud final de jeton sur le serveur OIDC, et doit être au format chaîne.

Configurations OIDC par défaut

Pour chaque type de fournisseur OIDC, API Connect suppose une configuration par défaut, mais vous pouvez remplacer les propriétés de configuration par défaut dans votre fichier YAML.

Remarque: les noeuds finaux sont sujets à modification ; lorsque vous créez un registre, vous devez vérifier le noeud final par défaut fourni par API Connect.

API Connect s'efforce de mettre à jour les noeuds finaux pour les types de registre d'utilisateurs OIDC connus. Toutefois, le fournisseur OIDC peut modifier le noeud final à tout moment. Il incombe au client de confirmer que les noeuds finaux fournis par API Connect sont pris en charge par le fournisseur OIDC et de mettre à jour la configuration OIDC selon les besoins.

Les configurations par défaut sont les suivantes :

  • <
    authorization_endpoint: 'https://www.facebook.com/v3.1/dialog/oauth'
token_endpoint:
  endpoint: 'https://graph.facebook.com/v3.1/oauth/access_token'
userinfo_endpoint:
  endpoint: 'https://graph.facebook.com/me'
scope: email public_profile
field_mapping:
  username: email
  email: email
  last_name: last_name
  first_name: first_name
  • GitHub
    authorization_endpoint: 'https://github.com/login/oauth/authorize'
token_endpoint:
  endpoint: 'https://github.com/login/oauth/access_token'
userinfo_endpoint:
  endpoint: 'https://api.github.com/user'
scope: 'read:user user:email'
field_mapping:
  username: login
  email: email
  last_name: name
  first_name: name
  • Google
    authorization_endpoint: 'https://accounts.google.com/o/oauth2/v2/auth'
token_endpoint:
  endpoint: 'https://www.googleapis.com/oauth2/v4/token'
scope: openid profile email
field_mapping:
  username: email
  email: email
  last_name: family_name
  first_name: given_name
  • LinkedIn

    Certains paramètres diffèrent entre la configuration existante et la configuration plus récente. Veillez à utiliser les paramètres corrects pour le protocole LinkedIn que vous utilisez.

    • Nouveau protocole OIDC:
      authorization_endpoint: 'https://www.linkedin.com/oauth/v2/authorization'
  credential_location: form_body
  field_mapping:
    email: email
    username: name
    first_name: given_name
    last_name: family_name
  scope: openid profile email
  token_endpoint:
    endpoint: 'https://www.linkedin.com/oauth/v2/accessToken'
  userinfo_endpoint:
    endpoint: 'https://api.linkedin.com/v2/me'
    • Protocole OIDC existant:
      authorization_endpoint: 'https://www.linkedin.com/oauth/v2/authorization'
token_endpoint:
  endpoint: 'https://www.linkedin.com/oauth/v2/accessToken'
userinfo_endpoint:
  endpoint: 'https://api.linkedin.com/v2/me'
email_endpoint:
  endpoint: 'https://api.linkedin.com/v2/emailAddress?q=members&projection=(elements*(handle~))'
scope: r_liteprofile r_emailaddress
field_mapping:
  username: emailAddress
  email: emailAddress
  last_name: localoizedLastName
  first_name: localizedFirstName
credential_location: form_body
  • Citation
    authorization_endpoint: 'https://slack.com/oauth/authorize'
token_endpoint:
  endpoint: 'https://slack.com/api/oauth.access'
userinfo_endpoint:
  endpoint: 'https://slack.com/api/users.identity'
scope: identity.basic identity.email
field_mapping:
  username: user.email
  email: user.email
  last_name: user.name
  first_name: user.name
  • X (anciennement Twitter)
    request_endpoint: https://api.x.com/oauth/request_token'
authorization_endpoint: https://api.x.com/oauth/authenticate'
token_endpoint: 
    endpoint: 'https://api.x.com/oauth/access_token'
userinfo_endpoint:
    endpoint: 'https://api.x.com/1.1/account/verify_credentials.json'
oauth_signature_method: 'HMAC-SHA1'
field_mapping: 
    email: email
    first_name: name
    last_name: name
    username: screen_name
  • Windows Live
    authorization_endpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/authorize'
token_endpoint:
  endpoint: 'https://login.microsoftonline.com/common/oauth2/v2.0/token'
scope: openid offline_access profile email
field_mapping:
  email: email
  username: preferred_username
  first_name: name
  last_name: name
  • Norme
    
response_type: code
scope: openid
field_mapping:
  username: sub
  email: email
  last_name: family_name
  first_name: given_name
credential_location: auth_header
    Bien qu'il s'agisse de la configuration par défaut pour le type de fournisseur standard, vous devez prendre contact avec votre fournisseur OIDC pour obtenir les détails des zones que vous devez définir.

Création de votre registre d'utilisateurs OIDC

Pour créer votre registre d'utilisateurs OIDC, utilisez la commande de l'interface CLI suivante :
apic user-registries:create --server mgmt_endpoint_url --org organization_name oidc_config_file
où :
  • mgmt_endpoint_url est l'URL du noeud final de l'API de plateforme.
  • organization_name est la valeur de la propriété name de votre organisation de type fournisseur.
  • oidc_config_file est le nom du fichier YAML qui définit la configuration de votre registre d'utilisateurs OIDC.
A la fin de la création du registre, la commande affiche les détails récapitulatifs suivants :
registry_name registry_url
Par défaut, registry_name est dérivé de la propriété title dans le fichier YAML de configuration, mais vous pouvez le remplacer en incluant une propriété name dans le fichier. Le registry_url est une URL interne que API Connect attribue au registre.
Après avoir créé votre registre d'utilisateurs OIDC, vous devez mettre à jour votre enregistrement d'application auprès du fournisseur OIDC tiers pour inclure l'URI de redirection OIDC ; vous pouvez obtenir ces informations en exécutant la commande suivante, qui permet d'afficher les détails du registre dans la fenêtre de commande :
apic user-registries:get --server mgmt_endpoint_url --org organization_name registry_name --output -
La valeur oidc_redirect_uri requise se trouve dans la section consumer: ; par exemple :
consumer:
  oidc_redirect_uri: https://consumer.mycompany.com/consumer-api/oauth2/redirect

Activation de votre registre OIDC dans un catalogue

Pour rendre votre registre OIDC disponible pour l'intégration et l'authentification des utilisateurs du portail de développeur , vous devez l'activer dans le catalogue associé à ce portail de développeur. Procédez comme suit :
  1. Déterminez l'adresse URL de votre registre d'utilisateurs OIDC à l'aide de la commande suivante :
    apic user-registries:list --server mgmt_endpoint_url --org organization_name
  2. Saisissez la commande suivante (le tiret de fin signifie que la commande extrait ses entrées de la ligne de commande) :
    apic configured-catalog-user-registries:create --server mgmt_endpoint_url --org organization_name --catalog catalog_name -
    nom_catalogue est la valeur denamepropriété du catalogue requis. La commande renvoie le message suivant :
    Reading CONFIGURED_CATALOG_USER_REGISTRY_FILE arg from stdin
  3. Entrez les données suivantes, puis une nouvelle ligne :
    user_registry_url: oidc_registry_url
    oidc_registry_url est l' URL de votre registre OIDC, obtenue à l'étape 1.
  4. Appuyez sur CTRL D pour clore la saisie.

Pour plus d'informations sur les commandes apic user-registries et apic configured-catalog-user-registries, voir la documentation de référence de l'interface CLI du kit d'outils.

Vous pouvez également effectuer les opérations décrites dans cette rubrique en utilisant les API REST de API Connect ; voir la documentation de l'API REST de API Connect.