Gestion de l'accès aux API d'application

Modifier en ligne

Si un développeur génère une application qui utilise une ou plusieurs des fonctions Verify , l'application doit être autorisée à appeler les API Verify appropriées. Enregistrez l'application interne en tant que client API d'application dans Accès à l'API pour lui affecter un ID client et un secret uniques.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la console d'administration IBM® Verify en tant qu'administrateur.
Remarque : seuls les utilisateurs disposant des droits appropriés peuvent voir le secret du client. Pour plus d'informations, consultez la section Mises à jour de sécurité pour les droits.

A propos de cette tâche

Vous pouvez accorder à l'API l'accès à votre application lorsque vous la créez ou ultérieurement à l'aide de l'option d'édition. Les clients d'API peuvent être créés pour l'application et chaque client d'API peut avoir un ensemble différent d'habilitations d'accès d'API.

Vous pouvez également implémenter un filtre IP afin que l'émission et l'utilisation des jetons puissent être limitées à une certaine plage d'adresses IP ou en être exclues.

Pour les applications OIDC, les habilitations d'accès d'API pour le client SSO peuvent également être configurées. Ces jetons sont limités aux actions que l'utilisateur qui se connecte à l'application est autorisé à effectuer dans Verify.

Procédure

  1. Sélectionnez l'accès à l'API .
  2. Créez le client de l'API d'application.
    1. Sélectionnez Ajouter un client API.
    2. Spécifiez les informations suivantes pour le client API :
      Tableau 1. Client API d'application
      Informations Descriptions
      Nom Indiquez le nom du client API.
      Remarque: seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés:
      • -
      • .
      • _
      Activé

      Indique si le client API est activé ou désactivé.

      Un client API Activé activé peut appeler les API auxquelles il est autorisé à accéder.

      Un Désactivé client API désactivé ne peut appeler aucune API, y compris celles auxquelles il a le droit d'accéder.
      Remarque :
      • Cela peut prendre jusqu'à 1 minute pour que ce paramètre prenne effet.
      • Si le client API possède un jeton d'accès valide, il peut continuer à appeler les API. Les jetons d'accès ont une période de validité limitée. Le jeton expire dans 2 heures. Lorsque le jeton d'accès a expiré, le client API ne peut plus appeler les API.
      ID de client

      Identificateur unique du client API.

      Ces informations sont automatiquement générées et affichées dans la liste des clients API après la sauvegarde du client API.
      Secret client

      Utilisé avec l'ID client pour vérifier l'identité du client API.

      Il s'agit d'un secret qui ne doit être connu que de l'application et du serveur d'autorisation.

      Ces informations sont automatiquement générées après la sauvegarde du client API. Affichez les détails du client API.
      Méthode d'authentification client Indique la méthode d'authentification du client pour le client d'API :
      Verify prend en charge les méthodes d'authentification client suivantes :
      • Default(Sélection par défaut)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      • TLS mutuel
        Remarque: le protocole TLS mutuel n'est pas disponible pour les applications personnalisées
      Attribut d'authentification client TLS Cette option s'affiche uniquement lorsque la méthode d'authentification du client TLS est sélectionnée.
      Attribut de certificat qui sera utilisé pour l'authentification.
      • Nom distinctif du sujet
      • Serveur de noms de domaine du réseau de stockage
      • URI du réseau de stockage
      • Adresse IP du réseau de stockage
      • Adresse électronique du réseau de stockage
      Valeur d'attribut d'authentification client TLS Cette option s'affiche uniquement lorsque la méthode d'authentification du client TLS est sélectionnée.

      Valeur de l'attribut dans le certificat qui sera utilisé pour l'authentification.
      Jetons d'accès liés au certificat
      Remarque: les jetons d'accès liés aux certificats ne sont pas disponibles pour les applications personnalisées
      		 Indique si les jetons générés seront liés au certificat. Pour plus d'informations sur les jetons d'accès liés aux certificats, voir Authentification client TLS mutuelle OpenID Connect et jeton d'accès lié au certificat.
      Valider le JTI d'assertion client Indique si l'élément JTI dans le jeton JWT d'assertion client est validé pour un usage unique. Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour secret client ou un jeton JWT pour clé privée.
      Clés de vérification de signature autorisées ID de clé de vérification de signature permettant de vérifier le jeton JWT d'assertion client. Cette option s'affiche uniquement lorsque vous sélectionnez la méthode d'authentification utilisant un jeton JWT pour clé privée.
      Remarque: Vous pouvez spécifier manuellement la clé de vérification de signature. Plusieurs clés de vérification de signature peuvent être spécifiées.
      URI JWKS URI où la partie utilisatrice publie ses clés publiques au format JWKS (JSON Web Keys). Cet URI est utilisé pour la vérification de la signature JWT. Le système peut rejeter un URI JWKS inaccessible ou qui n'a pas répondu. Le système peut également rejeter l'URI JWKS si la taille JWKS est trop grande. Si la partie utilisatrice ne publie pas d'URI JWKS, une clé publique peut être ajoutée dans le système, sous la forme d'un certificat X509. Voir Gestion des certificats. Le 'Nom usuel' associé au certificat public correspond à la valeur de l'en-tête d'ID de clé (enfant) de JWT.
  3. Configurez l'expiration du jeton d'accès et du jeton d'actualisation afin de limiter la durée pendant laquelle l'accès est autorisé en cas de vol de ces jetons.

    Le jeton d'accès est utilisé pour autoriser l'accès à la ressource protégée. Après son expiration, l'autorisation est révoquée.

    Tableau 2. Paramètres des jetons
    Zone Descriptif
    Expiration du jeton d'accès (secs)

    Définit la durée en secondes au bout de laquelle le jeton d'accès expire.

    Définissez l'expiration d'un jeton d'accès pour limiter la durée pendant laquelle un agresseur informatique peut accéder à la ressource s'il a volé le jeton lorsque l'application client est comprise.

    Seuls les entiers positifs sont autorisés.

    La valeur par défaut est 7200 secondes. La valeur minimale admise est 1 seconde et la valeur maximale admise est 2147483647 secondes.
    Format du jeton d'accès Indique si le jeton d'accès est généré sous la forme d'une chaîne opaque, c'est-à-direDefaultou au format JWT.
  4. Spécifiez les informations suivantes si vous souhaitez implémenter un filtre IP pour vous assurer que l'ID et le secret du client API sont distribués en toute sécurité.
    Tableau 3. Paramètres du filtre IP
    Zone Descriptif
    Activer le filtrage des adresses IP

    Indique si le filtre IP est activé ou désactivé.
    Autoriser la liste. Liste rouge

    Indique le type de filtre et s'il s'agit d'une liste blanche ou d'une liste noire.

    Requise si l'option Activer le filtrage IP est activée.
    Filtres d'adresse IP

    Liste des filtres IP.

    Requise si l'option Activer le filtrage IP est activée.

    Les filtres IP se présentent sous la forme d'une seule adresse IP, d'une plage IP ou d'un masque de sous-réseau IP. Les formats IPv4 et IPv6 sont tous deux pris en charge. Par exemple: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48.
  5. Spécifiez les attributs de signature pour le jeton d'ID et les jetons d'accès au format JWT. partie utilisatrice utilise la signature pour vérifier l'intégrité et l'authenticité des revendications utilisateur contenues dans le jeton et le Connexion à OpenID fournisseur d'identité qui a signé le jeton.
    Remarque :

    Les options de signature ne sont disponibles que pour les applications personnalisées.

    Tableau 4. Options de signature
    Zone Descriptif
    Algorithme de signature

    Algorithme utilisé par Verify pour signer le jeton d'ID et les jetons d'accès au format JWT. L'algorithme doit correspondre à celui que la partie utilisatrice a enregistré auprès de Verify.

    Choisissez l'un des algorithmes de hachage suivants pour vérifier la signature :
    • HS256
    • HS384
    • HS512
    • RS256 (valeur par défaut)
    • RS384
    • RS512
    Remarque: Les algorithmes HS ne s'affichent pas lorsque vous choisissez de ne pas générer de secret client.
    Signature du certificat

    Cette option est affichée uniquement si vous avez sélectionné un algorithme de signature RS.

    Utilisez ce certificat pour signer le jeton d'ID et les jetons d'accès au format JWT lors de la connexion unique.

    La sélection par défaut fait référence au certificat personnel par défaut que vous avez configuré dans Configuration > Certificats > Certificats personnels.
  6. Cochez la case Restreindre les portées personnalisées .
    Si vous sélectionnez Restreindre les portées personnalisées, les portées octroyées au client à la fin du flux se limitent à celles qui figurent dans cette section. Entrez le nom de la portée personnalisée à octroyer ainsi qu'une description. Le nom de la portée référence la portée OAuth2/OIDC qui est demandée par une partie utilisatrice/un client. La description est une explication compréhensible de la portée. Sélectionnez cette option pour accorder plus de portées.
  7. Sélectionnez les API pour lesquelles accorder l'accès. Pour plus d'informations, consultez la section Droits d'accès.
    Si Tout sélectionner est désactivé, sélectionnez les API auxquelles accorder l'accès pour le client. Si Tout sélectionner est activé, le client peut accéder à toutes les API. Toutefois, vous pouvez désélectionner les cases à cocher des API auxquelles vous ne voulez pas que le client ait accès.
    Remarque :
    • Vous pouvez créer un client API qui ne dispose pas d'autorisation initiale pour appeler des API. Vous pouvez le modifier ultérieurement pour accorder l'accès à cette API spécifique.
    • Seules les API pertinentes pour votre plan d'abonnement peuvent être sélectionnées.
    • Pour les applications OIDC, un client par défaut ayant un nom de client identique au nom d'application se trouve dans la liste des clients API pour cette application. Il ne peut pas être supprimé sauf si l'application est supprimée ou si une autre méthode de connexion est utilisée.
  8. Sélectionnez Sauvegarder.
    L'ID client et le Secret client sont générés et le client API d'application est créé.
  9. Affichez les détails du client API.
    • Faites défiler la liste ou utilisez la zone de recherche pour rechercher le client API. Tous les clients qui correspondent à votre entrée de recherche sont affichés.
    • Sélectionnez le client API dont vous souhaitez afficher les informations. La fenêtre Détails du client API s'affiche.
    • Passez la souris sur le client API et sélectionnez Editer l'icône lorsqu'elle apparaît. La boîte de dialogue Editer le client API s'affiche.
      Utilisez les options suivantes :
      • Sélectionnez Copier dans le presse-papiers pour copier l'ID client ou le secret dans le presse-papiers.
      • Sélectionnez Afficher pour afficher le secret du client.
      • Sélectionnez Masquer pour masquer le secret du client.
  10. Editez le client API.
    1. Faites défiler la page pour trouver le client API.
    2. Passez la souris sur le client API et sélectionnez Editer l'icône lorsqu'elle apparaît.
      La boîte de dialogue Editer le client API s'affiche.
    3. Editez les informations.
      Si vous éditez une application existante, vous pouvez utiliser les options de secret client suivantes :
      • Sélectionnez Afficher pour afficher le secret du client.
      • Sélectionnez Masquer pour masquer le secret du client.
      • Sélectionnez Copier pour copier l'ID client ou le secret dans le presse-papiers.
      • Sélectionnez Liste pour afficher les secrets client pivotés.
        • Sélectionnez un ou plusieurs secrets de clients en rotation dans la liste et cliquez sur Supprimer pour les supprimer.
      • Sélectionnez Régénérer pour générer un nouveau secret client. Utilisez cette option si vous pensez que le secret client est compromis. Si vous régénérez le secret client, vous devez le mettre à jour dans tous les clients OAuth de l'application.
        • Cochez la case Conserver le secret actuel pour ajouter le secret du client actuel à la liste des secrets du client en rotation.
        • Si la case Conserver le secret actuel est cochée, choisissez la description du secret du client et l'heure d'expiration (en heure locale du navigateur). Si aucun délai d'expiration n'est sélectionné, la durée de vie du secret rotatif du locataire définie dans les paramètres de l'application s'applique.
        • Les secrets des clients en rotation sont hachés et ne peuvent plus être récupérés en texte clair, mais ils peuvent encore être utilisés jusqu'à la date d'expiration choisie.
        • Après confirmation, le secret du client fait immédiatement l'objet d'une rotation. Le nouveau secret du client s'affiche à l'écran.
    4. Sélectionnez Sauvegarder.
  11. Supprimez le client API.
    1. Faites défiler la page pour trouver le client API.
    2. Choisissez l'une des options suivantes :
      • Sélectionnez un client API. Lorsque le panneau Détails s'affiche, sélectionnez Supprimer.
      • Pour supprimer plusieurs clients API, cochez les cases en regard des clients API, puis sélectionnez Supprimer.
    3. Sélectionnez Supprimer.
    4. Confirmez que vous souhaitez supprimer les clients API sélectionnés. Les clients API sont définitivement supprimés lors de la sauvegarde de l'application.