APIクライアントの作成

開発者が 1 つ以上の Verify 機能を使用するアプリケーションを構築する場合、アプリケーションには適切な Verify API を呼び出す資格がなければなりません。 社内アプリケーションを API アクセスAPI クライアント として登録し、固有のクライアント ID と秘密鍵を割り当てます。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • 管理者として IBM® Verify 管理コンソールにログインします。
注意:適切な権限を持つユーザーだけがクライアント・シークレットを見ることができます。 詳細については、エンタイトルメントのセキュリティ・アップデートを参照のこと。

このタスクについて

API アクセスに追加するすべての API クライアントには、アプリケーション開発者に提供する必要があるクライアント ID とクライアント・シークレットが割り当てられます。 開発者は、これらの資格情報をセキュアに保管する必要があります。

Verify 認証サービスのすべての公開ランタイム・インターフェースは、OAuth アクセス・トークンによって保護されます。 呼び出し側アプリケーションは、テナント内の許可サービスで OAuth アクセス・トークンを交換するために OAuth クライアント ID と秘密鍵を実行時に提供する必要があります。 アクセス・トークンは、ターゲット Verify API を呼び出すために使用されます。 すべての API 呼び出しでトークンを提供する必要があります。

また、IP フィルターを実装することで、トークンの発行および使用を特定の IP アドレス範囲に制限したり、特定の IP アドレス範囲を除外したりすることもできます。

APIの操作、応答、制約の詳細については、https://docs.verify.ibm.com/verify/page/api-documentationのAPIドキュメントを参照してください。

手順

  1. セキュリティAPIアクセスAPIクライアントを選択
  2. API クライアントを追加します。
    1. 「API クライアントの追加」を選択します。
    2. 付与する資格のチェック・ボックスを選択します。
      権限名チェックボックスは、APIクライアントにすべての権限を付与する。
    3. 「次へ」を選択します。
    4. 制限を設ける。
      注: APIクライアントの管理を特定のユーザー集団に制限することは、リクエスト可能な機能です。 CI-102537。 この機能をご希望の場合は、 IBM 営業担当者または IBM までご連絡ください。 サポートチケットの作成権限がある場合は、公開プレビュー番号で作成してください。 IBM Verify トライアルサブスクリプションでは、サポートチケットを作成できません。
      このステップは、制限可能なタイプのエンタイトルメントを選択した場合に利用可能です。
      • manageGroupMembers
      • manageGroups
      • manageUsers
      • manageUserGroups
      • readGroups
      • readGroupMembers
      • readUserGroups
      • readUserGroupMembership
      • readUsers
      • resetPasswordAnyUser
      • updateAnyGroupMember
      チェックボックスを選択して、これらの権利を選択したグループに制限します。
      注意:以下の権利が選択されている場合、グループ制限は使用できません。
      • manageAllUserGroups
      • manageStandardGroupMembers
      • manageUsersInStandardGroups
      • manageStandardGroups
      • manageUsersStandardGroups
      • readStandardGroupMembers
      • readStandardGroupMembership
      • readStandardGroups
      • updateAnyUser

      プライマリ API クライアントに manageAPIClients の権限がある場合、バックエンド APIClients API を使用して作成されたセカンダリ API クライアントに対して、作成、取得、更新、および削除の操作を実行できる。 他のエンタイトルメントを選択した場合は、APIクライアントに渡されるエンタイトルメントを制限することができます。 Use selections from the previous step を選択し、 manageAPIClients を除くすべての選択されたエンタイトルメントを引き継ぐ。 Select a subset of entitlements] を選択し、バックエンドAPIクライアントに渡す選択したエンタイトルメントを指定します。

    5. 「次へ」を選択します。
    6. 「API 資格情報」 セクションで、以下の情報を指定して、アプリケーションが API を介してテナントに接続できるようにします。
      表 1. API 資格情報の設定
      フィールド 説明
      クライアント ID API クライアントの固有 ID。

      この情報は自動的に生成され、API クライアントの保存後に「API クライアント」リストに表示されます。
      クライアント秘密鍵 API クライアントの ID を確認するために、クライアント ID と共に使用されます。

      この秘密鍵は、アプリケーションおよび許可サーバーのみが知っている必要があります。

      この情報は、API クライアントの保存後に自動的に生成されます。
      クライアント認証方式 Verifyは、以下のクライアント認証方式をサポートします。
      • Default(デフォルトの選択)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      秘密鍵 JWT 認証の場合、これらのフィールドが利用可能です。  
      クライアント・アサーション JTI の検証 (Validate client assertion JTI) このオプションは、秘密鍵 JWT クライアント認証方式が選択されている場合にのみ表示されます。

      クライアント・アサーション JWT 内の JTI が単一使用に対して検証されるかどうかを示します。
      許可された署名検証鍵 (Allowed signature verification keys) このオプションは、秘密鍵 JWT クライアント認証方式が選択されている場合にのみ表示されます。

      クライアント・アサーション JWT の検証に使用できる署名検証鍵 ID。
      JWKS URI このオプションは、秘密鍵 JWT クライアント認証方式が選択されている場合にのみ表示されます。

      依拠当事者が JSON Web Key Set (JWKS) 形式で公開鍵を公開する URI。 この URI は、JWT 署名の検証または暗号化に使用されます。 システムは、到達不能または応答しない JWKS URI を拒否できます。 JWKSサイズが大きすぎる場合、システムはJWKS URIを拒否できます。 依拠当事者が JWKS URI を公開しない場合は、X509 証明書の形式で公開鍵をシステムに追加できます。 証明書の管理 」を参照。 パブリック証明書に関連付けられている「フレンドリー名」は、JWT の鍵 ID (kid) ヘッダーの値です。
    7. 選択する次。
    8. オプション: 構成済みスコープのみを許可するには、このチェック・ボックスを選択します。
      フローの終わりにクライアントに付与されるスコープは、このセクションで指定されるスコープに制限されます。 付与するスコープの名前と説明を入力します。 スコープ名は、依拠当事者/クライアントによって要求される OAuth2/OIDC スコープを指します。 追加のスコープを付与する場合に選択します。
    9. 「次へ」を選択します。
    10. オプション: API クライアント ID と秘密鍵が安全に配布されるように IP フィルターを実装する場合は、 「IP フィルター」 セクションで以下の情報を指定します。
      表 2. IP フィルター設定
      フィールド 説明
      IP フィルターの有効化 (Enable IP filtering)

      IP フィルターが有効か無効かを示します。
      • 許可リスト
      • 拒否リスト

      フィルターのタイプ (リストが許可リストであるか拒否リストであるか) を示します。

      「IP フィルターの有効化 (Enable IP filtering)」が有効にされている場合は必須です。
      IP フィルター

      IP フィルターのリスト。

      「IP フィルターの有効化 (Enable IP filtering)」が有効にされている場合は必須です。

      IP フィルターは、単一の IP アドレス、 IP 範囲、または IP サブネット・マスクのいずれかの形式です。 IPv4 と IPv6 の両方がサポートされています。 例: 192.0.2.55、192.0.2.55-192.0.2.61、192.0.2.55/24、2001:db8::1、2001:db8::1-2001:db8::ff、2001:db8:1234::/48
    11. 「次へ」を選択します。
    12. オプション: API クライアントに関連付けるプロパティーと値を追加します。
    13. 「次へ」を選択します。
    14. 構成を完了するために、API クライアントの以下の情報を指定します。
      名前
      注: 使用できるのは、英数字と以下の特殊文字のみです。
      • - ハイフン
      • 期間
      • アンダースコア
      説明
      API クライアントの目的を簡単に識別するための説明。
      有効

      API クライアントが有効か無効かを示します。 デフォルト設定では、有効になっています。

      有効な API クライアントは、アクセスする資格がある API を呼び出すことができます。

      このチェック・ボックスがクリアされている場合、無効になっている API クライアントは、アクセスする資格がある API も含め、どの API も呼び出すことができません。
      注:
      • この設定が有効になるまでに最大で 1 分かかる場合があります。
      • API クライアントに既存の有効なアクセス・トークンがある場合、引き続き API を呼び出すことができます。 アクセス・トークンには、制限された有効期間があります。 トークンは 2 時間で期限が切れます。 アクセス・トークンの期限が切れると、API クライアントは API を呼び出せなくなります。
    15. 「API クライアントの作成」を選択します。
      クライアント ID およびクライアント秘密鍵および Kubernetes 秘密が生成されます。

次の手順

API クライアントが Verify APIを呼び出すことができるドメインを追加します。 ドメインの管理 」を参照。

接続の詳細を表示

クライアントの認証情報をコピーし、 Kubernetes シークレットをダウンロードできます。

手順

  1. API 資格情報を表示する API クライアントを選択します。
  2. メニュー アイコンを選択します。
  3. 「接続の詳細」を選択します。
  4. 接続要件に応じて、クライアント ID とシークレットをコピーし、Kubernetes シークレット YAML ファイルをダウンロードします。