Registre d'utilisateurs d'URL d'authentification

Modifier en ligne

Vous pouvez utiliser un registre d'utilisateurs d' URL s d'authentification pour spécifier un service d'authentification REST qui gère l'authentification des utilisateurs et, si vous le souhaitez, fournit des métadonnées supplémentaires à intégrer dans le jeton.

Ainsi, il est éventuellement possible de :
  • Envoi des identifiants authentifiés à IBM® API Connect. Par exemple, l'utilisateur se connecte avec le nom d'utilisateur : spoonet le mot de passe : fork. Lorsque l'utilisateur est authentifié, les données d'identification deviennent cn=spoon,o=eatery. Les données d'identification sont conservées dans la commande OAuth access_token pour représenter l'utilisateur.
  • Fournir une prise en charge des métadonnées. Autorisez le stockage de métadonnées supplémentaires dans le paramètre de jeton d'accès access_token.
  • Remplacer le paramètre de portée scope que l'application reçoit une fois que le traitement du protocole OAuth a abouti. En répondant à un en-tête spécifique, le noeud final de l'URL d'authentification peut remplacer la valeur scope reçue par l'application. Par exemple, vous pouvez fournir à un propriétaire de ressource spécifique un numéro de compte dans la réponse d'en-tête scope, à utiliser dans les étapes de traitement futures.

Lorsque vous appelez le registre d'utilisateurs Authentication URL, la passerelle API Connect envoie une requête GET avec des en-têtes HTTP et traite ensuite toute réponse HTTP provenant du registre URL. Pour l'authentification, un service d'authentification REST est attendu à l'URL d'authentification.

La réponse suivante du service d'authentification REST indique que l'authentification de l'utilisateur a réussi et que API Connect utilise cn=spoon,o=eatery comme identité d'utilisateur.
HTTP/1.1 200 OK
Server: example.org
X-API-Authenticated-Credential: cn=spoon,o=eatery

Pour plus d'informations sur la configuration d'une stratégie de sécurité utilisateur dans un ensemble API à utiliser avec un registre d'utilisateurs Authentication URL, voir Stratégie de sécurité utilisateur.

Pour un exemple de configuration de fournisseur d' OAuth s utilisant un registre d'utilisateurs de l' URL d'authentification, consultez l'exemple intitulé « Utilisation de plusieurs stratégies d' OAuth dans un assemblage de fournisseur d' OAuth s ».

API Connect considère tout code de réponse non-200 HTTP comme une tentative d'authentification de l'utilisateur qui a échoué.

Lorsqu'un registre d'utilisateurs d'URL d'authentification est appelé, deux en-têtes de réponse HTTP sont disponibles, qui incluent des métadonnées dans le jeton d'accès ou la charge de réponse contenant le jeton d'accès. Pour plus d'informations, consultez OAuth, URL et URL. Les deux en-têtes de réponse des métadonnées sont les suivants :
API-OAUTH-METADATA-FOR-ACCESSTOKEN
API-OAUTH-METADATA-FOR-PAYLOAD
Lorsqu'une URL d'authentification est appelée, un en-tête de réponse HTTP est disponible pour remplacer le paramètre de portée scope demandé envoyé par l'application. Pour plus d'informations, voir Portée. L'en-tête de réponse est :
x-selected-scope

Diagramme illustrant le fonctionnement de l'authentification URL