API 클라이언트 생성

온라인에서 편집하기

개발자가 하나 이상의 함수를 Verify 사용하는 애플리케이션을 구축하는 경우, 해당 애플리케이션은 해당 Verify API를 호출할 수 있는 권한을 가져야 합니다. 사내 애플리케이션을 API 액세스에 API 클라이언트로 등록하여 고유한 클라이언트 ID와 시크릿을 할당하십시오.

시작하기 전에

  • 이 태스크를 완료하려면 관리 권한이 있어야 합니다.
  • 관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.
참고: 적절한 권한을 가진 사용자만 클라이언트 시크릿을 볼 수 있습니다. 자세한 내용은 ‘권한에 대한 보안 업데이트’를 참조하세요.

이 태스크에 대한 정보

API 액세스에 추가하는 모든 API 클라이언트에는 클라이언트 ID와 클라이언트 시크릿이 할당되며, 이를 애플리케이션 개발자에게 제공해야 합니다. 개발자는 해당 인증 정보를 안전하게 저장해야 합니다.

인증 서비스의 Verify 모든 공개 런타임 인터페이스는 OAuth 액세스 토큰으로 보호됩니다. 호출 애플리케이션은 런타임 시 OAuth 클라이언트 ID 및 시크릿을 제공하여 테넌트 내의 권한 부여 서비스에서 OAuth 액세스 토큰에 대해 교환해야 합니다. 그런 다음 액세스 토큰을 사용하여 대상 Verify API를 호출합니다. 토큰은 모든 API 호출에 제공되어야 합니다.

토큰 발행 및 사용이 특정 IP 주소 범위로 제한되거나 이 범위를 제외할 수 있도록 IP 필터를 구현할 수도 있습니다.

API 작업, 응답 및 제약 사항에 대한 자세한 내용은 https://docs.verify.ibm.com/verify/page/api-documentation 에서 API 문서를 참조하십시오.

프로시저

  1. ‘보안 ’ > ‘API 액세스 ’ > ‘API 클라이언트’를 선택합니다
  2. API 클라이언트를 추가하십시오.
    1. ‘API 클라이언트 추가’를 선택합니다.
    2. 부여하려는 인타이틀먼트에 대한 선택란을 선택하십시오.
      ‘권한 이름’ 확인란을 선택하면 API 클라이언트에 모든 권한이 부여됩니다.
    3. ‘다음’을 선택하세요.
    4. 제한 사항을 설정하세요.
      참고: API 클라이언트 관리를 특정 사용자 그룹으로 제한하는 기능은 요청 가능한 기능입니다. CI-102537. 이 기능을 요청하시려면 IBM 영업 담당자나 IBM 담당자에게 연락하여 해당 기능 활성화에 대한 의사를 밝혀 주시기 바랍니다. 지원 티켓을 생성할 권한이 있다면, 공개 프리뷰 번호를 기재하여 티켓을 생성해 주세요. IBM Verify 체험판 구독자는 지원 티켓을 생성할 수 없습니다.
      제한 가능한 유형의 권한 중 하나를 선택한 경우 이 단계를 사용할 수 있습니다.
      • manageGroupMembers
      • manageGroups
      • manageUsers
      • manageUserGroups
      • readGroups
      • readGroupMembers
      • readUserGroups
      • readUserGroupMembership
      • readUsers
      • resetPasswordAnyUser
      • updateAnyGroupMember
      이 권한을 특정 그룹으로 제한하려면 확인란을 선택하십시오.
      참고: 다음 권한 중 하나라도 선택된 경우 그룹 제한을 사용할 수 없습니다.
      • manageAllUserGroups
      • manageStandardGroupMembers
      • manageUsersInStandardGroups
      • manageStandardGroups
      • manageUsersStandardGroups
      • readStandardGroupMembers
      • readStandardGroupMembership
      • readStandardGroups
      • updateAnyUser

      주 API 클라이언트가 해당 manageAPIClients 권한을 가지고 있다면, 백엔드 APIClients API를 사용하여 생성된 보조 API 클라이언트에 대해 생성, 조회, 업데이트 및 삭제 작업을 수행할 수 있습니다. 다른 권한을 선택한 경우, API 클라이언트에 전달되는 권한을 제한할 수 있습니다. manageAPIClients‘이전 단계의 선택 항목 사용’을 선택하여, 를 제외한 모든 선택된 권한을 그대로 적용합니다. ‘선택 을 클릭하여 권한의 하위 집합을 선택하면, 선택한 권한 중 어떤 항목을 백엔드 API 클라이언트에 전달할지 지정할 수 있습니다.

    5. ‘다음’을 선택하세요.
    6. API 자격 증명 섹션에서 애플리케이션이 API를 통해 테넌트에 연결할 수 있도록 다음 정보를 입력하십시오:
      표 1. API 자격 증명 설정
      필드 설명
      클라이언트 ID API 클라이언트의 고유한 ID입니다.

      이 정보는 API 클라이언트를 저장한 후에 자동으로 생성되고 API 클라이언트 목록에 표시됩니다.
      클라이언트 시크릿 API 클라이언트의 ID 검증을 위해 클라이언트 ID와 함께 사용됩니다.

      이는 애플리케이션 및 권한 서버에만 알려져야 하는 시크릿입니다.

      API 클라이언트를 저장한 후에 이 정보가 자동으로 생성됩니다.
      클라이언트 인증 메소드 Verify은(는) 다음 클라이언트 인증 방법을 지원합니다.
      • Default(기본 선택)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      개인 키 JWT 인증의 경우, 다음 필드를 사용할 수 있습니다.
      클라이언트 권한 정보 JTI 유효성 검증 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.

      클라이언트 권한 정보 JWT의 JTI가 1회 사용에 대한 유효성이 검증되는지 여부를 표시합니다.
      허용된 서명 확인 키 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.

      클라이언트 권한 정보 JWT를 검증하는 데 사용할 수 있는 서명 확인 키 ID입니다.
      JWKS URI 이 옵션은 개인 키 JWT 클라이언트 인증 메소드가 선택된 경우에만 표시됩니다.

      신뢰 당사자가 공개 키를 JSON웹 키 세트(JWKS) 형식으로 공개하는 URI. 이 URI는 JWT 서명 검증 또는 암호화에 사용됩니다. 시스템이 연결할 수 없거나 응답이 없는 JWKS URI를 거부할 수 있습니다. JWKS 크기가 너무 큰 경우 시스템이 JWKS URI를 거부할 수도 있습니다. 신뢰 당사자가 JWKS URI를 게시하지 않으면 공개 키를 X509 인증서 양식으로 시스템에 추가할 수 있습니다. ‘인증서 관리’를 참조하십시오. 공용 인증서와 연관된 '친숙한 이름' 은 JWT의 키 ID(키즈) 머리글 값입니다.
    7. ‘다음’을 선택하세요.
    8. 선택 사항: 설정된 범위만 허용하려면 이 확인란을 선택하세요.
      플로우의 끝에 클라이언트에 부여되는 범위가 이 섹션에 지정된 범위로 제한됩니다. 부여하려는 범위의 이름과 설명을 입력하십시오. 범위 이름은 신뢰 당사자/클라이언트가 요청한 OAuth2/OIDC 범위를 참조합니다. 더 많은 범위를 허용하려면 선택하세요.
    9. ‘다음’을 선택하세요.
    10. 선택 사항: API 클라이언트 ID와 시크릿이 안전하게 배포되도록 IP 필터를 적용하려면 IP 필터 섹션에서 다음 정보를 지정하십시오.
      표 2. IP 필터 설정
      필드 설명
      IP 필터링 사용

      IP 필터의 사용 또는 사용 안함 여부를 표시합니다.
      • 허용 목록
      • 거부 목록

      목록이 허용 또는 거부 목록인지 여부와 무관하게, 필터의 유형을 표시합니다.

      IP 필터링 사용이 사용으로 설정된 경우 필수입니다.
      IP 필터

      IP 필터 목록.

      IP 필터링 사용이 사용으로 설정된 경우 필수입니다.

      IP 필터는 단일 IP 주소, IP 범위 또는 IP 서브넷 마스크 양식입니다. IPv4 및 IPv6이 모두 지원됩니다. 예: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
    11. ‘다음’을 선택하세요.
    12. 선택 사항: API 클라이언트와 연결할 속성과 값을 추가합니다.
    13. ‘다음’을 선택하세요.
    14. 구성을 완료하려면 API 클라이언트에 대한 다음 정보를 지정하십시오.
      이름
      참고: 영문자와 숫자, 그리고 다음 특수 문자만 사용할 수 있습니다:
      • - 하이픈
      • . 마침표
      • _ 밑줄
      설명
      API 클라이언트의 용도를 쉽게 식별하기 위한 설명입니다.
      사용

      API 클라이언트 사용 또는 사용 안함 여부를 표시합니다. 기본 설정은 사용입니다.

      권한이 부여된 API 클라이언트는 접근 권한이 있는 API를 호출할 수 있습니다.

      이 선택란을 선택 취소하면, 사용 불가능 API 클라이언트는 액세스 권한이 있는 API를 포함하여 어떤 API도 호출할 수 없습니다.
      참고:
      • 이 설정이 적용되려면 최대 1분이 소요될 수 있습니다.
      • API 클라이언트에 유효한 기존 액세스 토큰이 있는 경우 API 호출을 계속할 수 있습니다. 액세스 토큰에는 제한된 유효 시간이 있습니다. 토큰이 2시간 후에 만료됩니다. 액세스 토큰이 만료되면 API 클라이언트가 API를 더 이상 호출할 수 없습니다.
      태그
      API 클라이언트의 검색 편의성을 높이기 위해 최대 20개의 태그를 추가할 수 있습니다. 태그는 공백을 제외하고 100자 미만이어야 하며, 숫자, 소문자, 그리고 다음 특수 문자를 포함할 수 있습니다.
      • :(콜론)
      • - (하이픈)
      • _(밑줄)
      • . (마침표)
      • = (등호)
      • @(at 기호)
      • /(슬래시)
    15. ‘API 클라이언트 만들기 ’를 선택합니다.
      클라이언트 ID클라이언트 시크릿 및 Kubernetes 기밀 가 생성됩니다.

다음에 수행할 작업

API 클라이언트가 API를 Verify 호출할 수 있는 도메인을 추가하세요. ‘도메인 관리’를 참조하십시오.

연결 정보 보기

온라인에서 편집하기

클라이언트 자격 증명을 복사하고 Kubernetes 의 시크릿을 다운로드할 수 있습니다.

프로시저

  1. API 신임 정보를 보려는 API 클라이언트를 선택하십시오.
  2. 아이콘을 메뉴 선택하세요.
  3. ‘연결 정보’를 선택하세요.
  4. 연결 요구사항에 따라 클라이언트 ID및 시크릿을 복사하고 Kubernetes 비밀 YAML 파일을 다운로드합니다.