認証 URL ユーザー・レジストリー

認証 URL ユーザー・レジストリーを使用して、ユーザー認証を管理する REST 認証サービスを指定し、トークンに組み込む追加のメタデータをオプションで提供することができます。

このサポートにより、以下のすべてをオプションで有効にできます。
  • IBM® API Connectへの認証済み資格情報の提供。 例えば、ユーザーはユーザー名: spoon、パスワード: fork でログインします。 ユーザーが認証されると、資格情報は cn=spoon,o=eatery になります。 この資格情報は、ユーザーを表すために OAuth の access_token で保持されます。
  • メタデータに対するサポートを提供する。 追加のメタデータを access_token に保管できるようにします。
  • 正常な OAuth プロトコルの処理後にアプリケーションが受け取る scope をオーバーライドする。 特定のヘッダーを使用して応答することで、認証 URL のエンドポイントはアプリケーションが受け取る scope 値を置き換えることができます。 例えば、今後の処理ステップで使用するために、特定のリソース・オーナーに scope ヘッダーの応答内のアカウント番号を提供することができます。

認証 URL ユーザーレジストリを呼び出すと、 API Connect ゲートウェイは HTTP ヘッダー付きのGETリクエストを送信し、 URLからの HTTP レスポンスを処理する。 認証のために、認証 URL で REST 認証サービスが予期されます。

REST認証サービスからの以下の応答は、ユーザー認証が成功し、 API Connect がユーザーIDとして cn=spoon,o=eatery を使用していることを示している。
HTTP/1.1 200 OK
Server: example.org
X-API-Authenticated-Credential: cn=spoon,o=eatery

認証 URL ユーザ登録で使用するために API アセンブリでユーザ セキュリティ ポリシーを構成する方法については、「 ユーザ セキュリティ ポリシー 」を参照してください。

認証 URL ユーザレジストリを使用する OAuth プロバイダ設定の例については、「 例 - OAuth プロバイダアセンブリで複数の OAuth ポリシーを使用する 」を参照してください。

API Connect non-200の HTTP レスポンスコードは、ユーザー認証に失敗したとみなす。

認証 URL ユーザー・レジストリーの呼び出し時に、2 種類の HTTP 応答ヘッダー (アクセス・トークンのメタデータ、またはアクセス・トークンを含む応答ペイロードのメタデータ) を使用できます。 詳細については、 OAuth外部 URLと認証 URLを参照してください。 この 2 つのメタデータの応答ヘッダーを以下に示します。
API-OAUTH-METADATA-FOR-ACCESSTOKEN
API-OAUTH-METADATA-FOR-PAYLOAD
認証 URL が呼び出されると、アプリケーションから要求された scope をオーバーライドするのに HTTP 応答ヘッダーを使用できるようになります。 詳しくは、 スコープを参照してください。 応答ヘッダーは次のようになります。
x-selected-scope
認証 URLの仕組みを説明する図
DataPower Gateway (v5 compatible)ではなく DataPower® API Gateway を使用している場合、この図はガイダンスのみを目的として提供されており、このリリースでは完全に正確ではありません。