Création d'un registre d'utilisateurs de l'URL d'authentification

Modifier en ligne

Un registre d'utilisateurs de l'URL d'authentification offre un mécanisme simple pour authentifier les utilisateurs à l'aide d'un fournisseur d'identité personnalisé.

A propos de cette tâche

Cette rubrique décrit comment créer un registre d'utilisateurs d'URL d'authentification en tant que ressource dans votre organisation. Une fois le registre d'utilisateurs créé, il doit être ajouté au catalogue pour bac à sable.

L'un des rôles suivants est requis pour configurer des registres d'utilisateurs :
  • Administrateur
  • Propriétaire de l'organisation
  • Rôle personnalisé avec leSettings: Managedroits
Remarque :
API Connect émet un appel HTTP GET au point de terminaison Authentication URL, en envoyant le justificatif d'identité de l'utilisateur. L'exemple suivant présente un appel à un fournisseur d'identité d'URL d'authentification avec un noeud final défini comme https://myauthurl.example.com/user/authenticate:
GET /user/authenticate HTTP/1.1
 Host: myauthurl.example.com
 Authorization: Basic c3Bvb246Zm9yaw=
Si le noeud final d'URL d'authentification renvoie le code de statut HTTP 200, l'utilisateur a été correctement authentifié. Tout code de statut HTTP autre que 200 indique un échec de la tentative de connexion. API Connect transmet tout en-tête HTTP commençant par X- (à l'exception de X-Client-Certificate ) et un cookie au fournisseur d'identité de l' URL authentification, afin de faciliter la décision d'authentification ; par exemple :
GET /user/authenticate HTTP/1.1
 Host: myauthurl.example.com
 Authorization: Basic c3Bvb246Zm9yaw=
 X-Forwarded-For: 8.8.9.9
 X-Custom-Header-From-Customer: special
 Cookie: MyCookie=VGhpc0lzV2lja2VkQW1hemluZw==
Lorsqu'un utilisateur se voit présenter le formulaire lui API Connect permettant de s'inscrire, les champs préremplis dépendent des champs renvoyés dans la réponse du fournisseur d'identité de l' URL d'authentification. Si l'une des zones suivantes est renvoyée, elle est préremplie dans le formulaire d'enregistrement :
  • username
  • email
  • first_name
  • last_name
Si la zone username n'est pas renvoyée, le formulaire d'enregistrement affiche le nom d'utilisateur qui a été fourni par l'utilisateur. La fonction de préremplissage nécessite que la réponse du fournisseur d'identité d'URL d'authentification remplisse les conditions suivantes :
  • Content-Type doit être application/json.
  • Le corps de réponse doit être au format JSON.
Exemple de réponse :
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "username":"myuser",
  "email":"myuser@example.com",
  "first_name":"My",
  "last_name":"User"
}

Procédure

  1. Dans le Gestionnaire d'API, cliquez sur Ressources Ressources.
  2. Sélectionnez Registres d'utilisateurs pour afficher la liste des registres d'utilisateurs en cours dans votre organisation.
  3. Draft comment: felbin.james@ibm.com
    As part of the iPass documentation update, we're adding the audience tag. Once the portal becomes available in iPass, we can delete the Consumer Catalog and remove the audience filter from the Developer Portal. https://jsw.ibm.com/browse/APICON-10493
    Cliquez sur « Créer » dans la section « Registres des utilisateurs ».
    Important : ne partagez pas les registres d'utilisateurs entre l 'API Manager et le Consumer Catalog, ni entre les sites du Consumer Catalog lorsque l'intégration en libre-service est activée ou que des suppressions de comptes sont prévues sur l'un de ces sites. Vous devez créer des registres d'utilisateurs distincts pour chacun d'entre eux, même si ces registres pointent vers le même fournisseur d'authentification en arrière-plan (par exemple, un serveur LDAP ). Cette distinction permet au Catalogue grand public de conserver des adresses e-mail uniques dans l'ensemble du catalogue, sans que l'API Manager ne soit soumis à la même exigence. Cela permet également d'éviter les problèmes liés à la suppression de comptes par les utilisateurs dans le catalogue grand public, qui affecte ensuite leur accès à API Manager.
  4. Sélectionnez Authentication URL User Registry et entrez les paramètres suivants :
    Zone Descriptif
    Titre (obligatoire) Entrez un nom descriptif à utiliser à l'écran.
    Nom (requis) Nom utilisé dans des commandes CLI. Le nom est généré automatiquement. Pour plus d'informations sur les commandes CLI permettant de gérer les registres d'utilisateurs, consultez la documentation de référence sur l'interface CLI de la boîte à outils.
    Récapitulatif (facultatif) Entrez une courte description.
    Nom d'affichage (requis) Nom affiché pour être sélectionné par l'utilisateur lors de la connexion à une interface utilisateur ou de l'activation de son compte API Manager .
    Remarque : le catalogue des consommateurs utilise le Title des registres d'utilisateurs lors de leur affichage sur la page de connexion, plutôt que le Display Name.
    URL (obligatoire) Entrez l'URL du service d'authentification. Lors de l'établissement de l'authentification, API Connect effectue une requête GET vers URL. L'appel inclut le nom d'utilisateur et le mot de passe qu'il a recueillis auprès de l'utilisateur dans son en-tête d'autorisation. L'un ou l'autre200 OKou401 Unauthorizedsera renvoyé.
    Profil de client TLS (facultatif) Sélectionnez un profil de client TLS pour permettre l'authentification sécurisée sur un serveur Web spécifique.
    Sensible à la casse Pour garantir un traitement correct de la mise en majuscules des noms d'utilisateur, vous devez vous assurer que votre paramètre de sensibilité à la casse correspond au paramètre sur votre serveur d'URL d'authentification de back end :
    • Uniquement sélectionnez Sensible à la casse si votre serveur dorsal prend en charge la sensibilité à la casse.
    • Ne sélectionnez pas select Sensible à la casse si votre serveur de back end ne prend pas en charge la sensibilité à la casse.
    Remarque : le catalogue des consommateurs ne prend pas en charge les noms d'utilisateur sensibles à la casse.
    Remarque: Une fois qu'au moins un utilisateur a été intégré au registre, vous ne pouvez pas modifier ce paramètre.
    Courrier électronique requis Cochez cette case si une adresse électronique est requise dans le cadre du processus d'intégration des utilisateurs. Si cette option est sélectionnée, le fournisseur d'identité source doit fournir l'adresse électronique dans le cadre du processus d'authentification lors de l'intégration.
    Remarque : une adresse e-mail n'est pas requise par défaut pour l'intégration à Cloud Manager ou à API Manager, mais elle est obligatoire pour l'intégration au Consumer Catalog.
    Adresse email unique Cochez cette case si les adresses électroniques doivent être uniques dans le registre d'utilisateurs.
    Remarque : chaque compte du catalogue des utilisateurs, y compris ceux figurant dans différents registres d'utilisateurs pour un même site, doit disposer d'une adresse e-mail unique, y compris le compte administrateur du site.
  5. Cliquez sur Sauvegarder.
  6. Ajoutez le registre d'utilisateurs au catalogue pour bac à sable. Voir Création et configuration de catalogues.

Résultats

Le registre d'utilisateurs peut être utilisé pour l'authentification de base dans la définition de sécurité pour une API. Pour plus d'informations, consultez la section « Définition des schémas de sécurité d'authentification de base ».