오픈 뱅킹 애플리케이션 API 액세스를 위한 ‘ OpenID Connect’ 및 ‘ OpenID Connect’ 관리

온라인에서 편집하기

개발자가 하나 이상의 함수를 Verify 사용하는 애플리케이션을 구축하는 경우, 해당 애플리케이션은 해당 Verify API를 호출할 수 있는 권한이 있어야 합니다. 사내 애플리케이션을 API 액세스에 API 클라이언트로 등록하여 고유한 클라이언트 ID와 비밀번호를 할당하십시오.

시작하기 전에

  • 이 태스크를 완료하려면 관리 권한이 있어야 합니다.
  • 관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.
참고: 적절한 권한을 가진 사용자만 클라이언트 시크릿을 볼 수 있습니다. 자세한 내용은 ‘권한에 대한 보안 업데이트’를 참조하세요.

이 태스크에 대한 정보

OpenID Connect for Open Banking 애플리케이션을 작성하거나 나중에 편집 옵션을 사용하여 해당 애플리케이션에 액세스할 수 있습니다. 애플리케이션에 대해 API 클라이언트를 작성할 수 있으며 각 API 클라이언트는 다른 API 액세스 인타이틀먼트 세트를 포함할 수 있습니다.

토큰 발행 및 사용이 특정 IP 주소 범위로 제한되거나 이 범위를 제외할 수 있도록 IP 필터를 구현할 수도 있습니다.

프로시저

  1. ‘응용 프로그램 ’ > ‘응용 프로그램’을 선택합니다.
  2. ‘애플리케이션 추가’를 선택합니다.
  3. 오픈 뱅킹 애플리케이션을 위해 ‘ OpenID Connect’ 또는 ‘ OpenID Connect’를 선택한 다음 ‘애플리케이션 추가’를 선택하세요.
  4. API 액세스를 선택하세요.
  5. 애플리케이션 API 클라이언트를 작성하십시오.
    1. ‘API 클라이언트 추가’를 선택합니다.
    2. API 클라이언트에 대해 다음 정보를 지정하십시오.
      표 1. 애플리케이션 API 클라이언트
      필드 설정
      이름 API 클라이언트의 이름을 지정하십시오.
      참고: 영문자와 숫자, 그리고 다음 특수 문자만 사용할 수 있습니다:
      • -
      • .
      • _
      사용 가능 API 클라이언트 사용 또는 사용 안함 여부를 표시합니다. 기본 설정은 사용입니다.

      선택된 확인란 사용 가능 API 클라이언트는 액세스 권한이 있는 API를 호출할 수 있습니다.

      권한이 없는 API 클라이언트는 선택 해제된 확인란 접근 권한이 있는 API를 포함하여 어떠한 API도 호출할 수 없습니다.
      클라이언트 ID

      API 클라이언트의 고유한 ID입니다.

      이 정보는 API 클라이언트를 저장한 후에 자동으로 생성되고 API 클라이언트 목록에 표시됩니다.
      클라이언트 시크릿

      API 클라이언트의 ID 검증을 위해 클라이언트 ID와 함께 사용됩니다.

      이는 애플리케이션 및 권한 서버에만 알려져야 하는 시크릿입니다.

      API 클라이언트를 저장한 후에 이 정보가 자동으로 생성됩니다.
      클라이언트 인증 메소드 Verify은(는) 다음 클라이언트 인증 방법을 지원합니다.
      • 기본값
      • 클라이언트 시크릿 기본
      • 클라이언트 시크릿 POST
      • 개인 키 JWT
      • 상호 TLS
      참고: 기본 클라이언트 인증 방식은 default 입니다.

      기본값으로 두면 클라이언트 시크릿 기본 및 POST가 모두 허용됩니다. 신뢰 당사자가 이를 지원하는 경우 개인용 키 JWT 또는 상호 TLS를 구성으로 사용하십시오. 상호 TLS 클라이언트 인증에 대한 자세한 정보는 OpenID Connect 상호 TLS 클라이언트 인증 및 인증서 바인드 액세스 토큰의 내용을 참조하십시오.
      클라이언트 권한 정보 JTI 유효성 검증 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.

      클라이언트 권한 정보 JWT의 JTI가 1회 사용에 대한 유효성이 검증되는지 여부를 표시합니다.
      허용된 서명 확인 키 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.

      클라이언트 권한 정보 JWT를 검증하는 데 사용할 수 있는 서명 확인 키 ID입니다.
      JWKS URI 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.

      신뢰 당사자가 공개 키를 JSON웹 키 세트(JWKS) 형식으로 공개하는 URI. 이 URI는 JWT 서명 검증 또는 암호화에 사용됩니다. 시스템이 연결할 수 없거나 응답이 없는 JWKS URI를 거부할 수 있습니다. JWKS 크기가 너무 큰 경우 시스템이 JWKS URI를 거부할 수도 있습니다. 신뢰 당사자가 JWKS URI를 게시하지 않으면 공개 키를 X509 인증서 양식으로 시스템에 추가할 수 있습니다. ‘인증서 관리’를 참조하십시오. 공용 인증서와 연관된 '친숙한 이름' 은 JWT의 키 ID(키즈) 머리글 값입니다.
      TLS 클라이언트 인증 속성 이 옵션은 상호 TLS 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.
      인증에 사용되는 인증 속성입니다.
      • 주제 DN
      • SAN DNS
      • SAN URI
      • SAN IP
      • SAN 이메일 주소
      TLS 클라이언트 인증 속성 값 이 옵션은 상호 TLS 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.

      인증에 사용되는 인증의 속성 값입니다.
      인증서 바인딩 액세스 토큰 생성된 토큰이 인증 바인드인지 여부를 표시합니다. 인증 바인딩 액세스 토큰에 대한 자세한 정보는 OpenID Connect 상호 TLS 클라이언트 인증 및 인증 바인드 액세스 토큰의 내용을 참조하십시오.
  6. 액세스 토큰 및 새로 고치기 토큰을 도난당하는 경우 무단 액세스 시간을 제한하도록 이러한 토큰을 구성하십시오.
    액세스 토큰은 보호된 리소스에 대한 액세스 권한을 부여하는 데 사용됩니다. 액세스 토큰이 만료되면 권한이 취소됩니다.
    표 2. 토큰 설정
    필드 설명
    액세스 토큰 만료(초)

    액세스 토큰의 만료 기간(초)을 설정합니다.

    액세스 토큰 만기를 설정하여 공격자가 클라이언트 애플리케이션이 손상되었을 때 도난된 토큰으로 자원에 액세스할 수 있는 시간을 제한하십시오.

    양의 정수만 허용됩니다.

    기본값은 7200초입니다. 허용되는 최소값은 1초이고 최대값은 2147483647초입니다.
    액세스 토큰 형식 액세스 토큰의 형식을 지정합니다. 다음 옵션을 사용할 수 있습니다.
    • 기본값
    • JWT
  7. API 클라이언트 ID와 시크릿이 안전하게 분산되어 있는지 확인하기 위한 IP 필터를 구현하려면 다음 정보를 지정하십시오.
    표 3. IP 필터 설정
    필드 설명
    IP 필터링 사용

    IP 필터의 사용 또는 사용 안함 여부를 표시합니다.
    허용 목록/차단 목록

    목록이 허용 또는 거부 목록인지 여부와 무관하게, 필터의 유형을 표시합니다.

    IP 필터링 사용이 사용으로 설정된 경우 필수입니다.
    IP 필터

    IP 필터 목록.

    IP 필터링 사용이 사용으로 설정된 경우 필수입니다.

    IP 필터는 단일 IP 주소, IP 범위 또는 IP 서브넷 마스크 양식입니다. IPv4 및 IPv6이 모두 지원됩니다. 예: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
  8. ‘사용자 지정 범위 제한’ 확인란을 선택합니다.

    사용자 정의 범위 제한을 선택하면 플로우 끝에서 클라이언트에 부여되는 범위는 이 절에서 지정되는 범위로 제한됩니다. 권한 부여할 사용자 정의 범위 이름 및 설명을 입력하십시오. 범위 이름은 신뢰 당사자 또는 클라이언트가 요청하는 OAuth2/OIDC 범위를 참조합니다. 설명은 해당 범위에 대한 자세한 설명입니다. 추가 범위를 부여하려면 범위 추가를 선택하십시오.

  9. 액세스를 부여하려는 API를 선택하십시오.
    자세한 정보는 액세스 인타이틀먼트의 내용을 참조하십시오.

    모두 선택꺼짐으로 설정된 경우 클라이언트에 대한 액세스 권한을 부여할 API를 선택하십시오. 모두 선택켜기로 설정되면 클라이언트에는 모든 API에 대한 액세스가 부여됩니다. 그러나 클라이언트가 액세스하도록 하지 않으려는 모든 API의 선택란을 지울 수 있습니다.

    참고:
    • API를 호출할 초기 권한이 없는 API 클라이언트를 작성할 수 있습니다. 이후에 특정 API 액세스를 부여하도록 이를 편집할 수 있습니다.
    • 구독 플랜과 관련된 API만 선택할 수 있습니다.
    • OIDC 애플리케이션의 경우 애플리케이션 이름과 같은 클라이언트 이름을 가진 기본 클라이언트는 해당 애플리케이션에 대한 API 클라이언트의 목록에 있습니다. 애플리케이션이 삭제되거나 다른 사인온 메소드로 전환되지 않는 한 삭제할 수 없습니다.
  10. ‘완료’를 선택하세요.
  11. ‘일반’‘로그인’ 탭의 필수 입력란을 모두 작성했는지 확인하십시오.
  12. ‘저장’을 선택하세요.

    클라이언트 ID클라이언트 시크릿이 생성되고 애플리케이션 및 API 클라이언트가 작성됩니다.

  13. API 클라이언트 보기 및 편집
    1. 스크롤하여 API 클라이언트를 찾으십시오.
    2. API 클라이언트 위에 마우스를 올린 다음 아이콘을 편집 선택하세요.

      API 클라이언트 편집 대화 상자가 표시됩니다.

    3. 다음 옵션을 사용하십시오.
      • 클라이언트 시크릿을 보려면 표시을(를) 선택하십시오.
      • 클라이언트 시크릿을 숨기려면 숨기기을(를) 선택하십시오.
      • 를 선택하여 복사 클라이언트 ID 또는 시크릿을 클립보드에 복사하세요.
      • 회전된 클라이언트 시크릿을 보려면 을 선택하세요 목록 .
        • 목록에서 하나 이상의 회전된 클라이언트 시크릿을 선택한 다음, ‘삭제’를 클릭하여 삭제하십시오.
      • 새 클라이언트 시크릿을 생성하려면 재생성을(를) 선택하십시오. 클라이언트 시크릿이 손상되었다고 생각되면 이 옵션을 사용하십시오. 클라이언트 시크릿을 재생성하는 경우에는 애플리케이션의 모든 OAuth 클라이언트에서 클라이언트 시크릿을 업데이트해야 합니다.
        • '현재 시크릿 유지 ' 확인란을 선택하면 현재 클라이언트 시크릿이 순환되는 클라이언트 시크릿 목록에 추가됩니다.
        • ‘현재 시크릿 유지’ 확인란이 선택되어 있다면, 클라이언트 시크릿 설명과 만료 시간(브라우저 현지 시간 기준)을 선택하십시오. 만료 시간을 선택하지 않으면, 애플리케이션 설정에서 지정한 테넌트의 ‘교체된 비밀 키 유효 기간’이 적용됩니다.
        • 갱신된 클라이언트 시크릿은 해시 처리되어 더 이상 일반 텍스트로 복구할 수 없지만, 지정된 만료일까지는 계속 사용할 수 있습니다.
        • 확인 후 클라이언트 시크릿은 즉시 갱신됩니다. 새로운 클라이언트 시크릿이 화면에 표시됩니다.
    4. 변경할 정보를 편집하십시오.
    5. ‘완료’를 선택하세요.
  14. API 클라이언트를 삭제하십시오.
    1. 스크롤하여 API 클라이언트를 찾으십시오.
    2. 클라이언트의 선택란을 선택하십시오.
      여러 API 클라이언트를 삭제하려면 삭제할 각 클라이언트의 선택란을 선택하십시오.
    3. ‘선택된 항목 ’ 도구 모음에서 ‘삭제’를삭제 선택합니다.
      참고: 창 왼쪽 하단에 있는 ‘삭제’ 버튼은 API 클라이언트가 아닌 애플리케이션을 삭제합니다.
      또한 이를 선택하고 세부사항 패널에서 삭제 아이콘을 선택하여 API 클라이언트를 삭제할 수도 있습니다.
    4. API 클라이언트 삭제를 확인하십시오.
    5. 작업이 끝나면 ‘저장’을 선택하세요.