ネイティブ OAuth プロバイダーのトークン管理および失効の構成

オンラインで編集する

トークンの失効処理に、ネイティブゲートウェイ( DataPower )を使用するか、サードパーティ製エンドポイントを使用するかを選択してください。

このタスクについて

トークン管理を使用すると、トークンの失効を構成することによって、リプレイ・アタックを防止できます。 API Connect ネイティブゲートウェイ( DataPower )またはサードパーティのエンドポイントを使用したトークンの失効に対応しています。 ネイティブ・ゲートウェイの場合、トークンを管理するために割り当て制約が使用されます。 サードパーティのエンドポイントの場合、トークンの管理には外部サービスへの URL が使用されます。

詳細については、IETF RFC 7009「 OAuth ( 2.0 )トークンの失効」 を参照してください。

トークン管理は、ゲートウェイ・ピアリングに依存して、ゲートウェイ・クラスター・ノード内で取り消しの詳細をキャッシュに配布し、異なるゲートウェイ・クラスター間で伝搬しません。 異なるゲートウェイ・クラスター間でトークン管理を適用するには、外部トークン・ストアを使用し、ネイティブの OAuth プロバイダーの設定で「トークン管理タイプ」を「 外部 」に設定する必要があります。

ネイティブ OAuth プロバイダーのトークン管理と失効を構成するには、以下のいずれかのロールが必要です。

  • 組織管理者
  • 所有者
  • 設定 > 管理 権限を持つカスタムロール

ネイティブ OAuth プロバイダーの作成操作 (「ネイティブ OAuth プロバイダーの設定」で詳述)が完了するとすぐに、ネイティブ OAuth プロバイダー のトークン管理設定ページを選択することもできますし、既存のネイティブ OAuth プロバイダーのトークン管理設定を更新することもできます。 既存のネイティブ OAuth プロバイダーのトークン管理設定を更新する場合は、このトピックで説明する手順に従う前に、以下のステップを実行してください。

  1. をクリックしてください リソース・アイコン リソース > OAuth プロバイダー
  2. 必要なネイティブ OAuth プロバイダーを選択します。

手順

  1. サイドバー・メニューで 「トークン管理」 を選択します。
  2. チェックボックスを選択して、トークン管理を有効にしてください。
  3. 「タイプ」 リストから、 「ネイティブ」 または 「外部」のいずれかを選択します。 「ネイティブ」は、トークンの保管場所として DataPower を指し、「外部」はトークンの保管用の失効 URL を指します。
    注: API Manager のユーザーインターフェースを使用している場合、 「外部」 オプションを利用するには、バージョン 10.0.1.0 以降 DataPower® API Gateway を使用している必要があり、かつサンドボックスカタログでゲートウェイサービスが有効になっている必要があります。カタログでゲートウェイサービスを有効にする方法の詳細については、 「カタログの作成と設定」 を参照してください
  4. 「ネイティブ」の場合、 「リソース所有者取り消しパス」「クライアント取り消しパス」の一方または両方を選択します。
    • リソース所有者による権限の取り消し手順 — 標準の OAuth の取り消し手順を使用し、リソース所有者(ユーザー)がアプリケーションの権限を取り消せるようにします。
    • クライアントによるトークンの失効処理 — アプリケーションの終了時に、クライアント(アプリケーション)が単一のトークンを失効させるために、標準の OAuth 失効処理を使用します。
    ネイティブ DataPower Gatewayを使用したトークンの管理について詳しくは、 ネイティブ DataPower Gatewayを参照してください。
  5. 「外部」の場合、設定は以下のようにゲートウェイ・タイプによって異なります。
    DataPower API Gateway:
    • Endpoint - 外部管理エンドポイントの URL。
    • TLS クライアントプロファイル(任意)— 接続を保護するための TLS クライアントプロファイル。
    • セキュリティ - 接続を保護する方法。 サポートされている方法は基本認証のみです。
    • 基本認証のユーザー名(任意)— 認証に使用するユーザー名。
    • 基本認証のパスワード(任意)— 認証に使用するパスワード。
    • 基本認証のリクエストヘッダー名(オプション)— 認証文字列を含むリクエストヘッダー。リクエストヘッダー名とユーザー名またはパスワードの両方を指定した場合、リクエストヘッダーによる認証方法が使用されます。
    • カスタムヘッダーパターン(オプション)—外部管理サービスに追加情報を送信するために使用するヘッダーの名前パターン。
    • キャッシュタイプ - 肯定的な応答をキャッシュするかどうか、およびその方法を制御するキャッシュタイプ。 「存続時間」を選択した場合は、応答をキャッシュに保持する期間を指定します。デフォルト値は 900 秒です。
    • エラー時に処理を中止する - これを選択すると、外部管理サービスへの接続に失敗した場合、処理が中止されます。
    注: 外部管理サービスとのメッセージ交換に必要なJSON形式の詳細については、 「外部管理サービスとのメッセージ交換におけるJSON形式」 を参照してください。
    DataPower Gateway (v5 compatible):
    • エンドポイント - アクセス・トークンまたはリフレッシュ・トークンに関する情報を含む外部 Web サーバーの URL を入力します。 API Connect URL を呼び出し、関連付けられたトークンが信頼できるかどうかを判断します。 その後、トークン・サーバーはトークン・ブロックリスト (非アクティブなトークンのデータ・ストア) をチェックして、トークンが引き続き有効であることを確認します。 トークンがまだ有効な場合は、処理を API Connect 続行します。 詳細については、「トークンの失効」 を参照してください。
    • TLS クライアント・プロファイル - 外部エンドポイントを検証するために、TLS プロファイルを選択します。
  6. 完了したら、 「保存」 をクリックします。

結果

OAuth プロバイダーを使用して、カタログ内の API を保護できます。