Criação de clientes de API

Editar online

Se um desenvolvedor criar um aplicativo que utilize uma ou mais dessas Verify funções, o aplicativo deverá ter permissão para chamar as APIs correspondentes Verify . Registre o aplicativo interno como um cliente de API no acesso à API para atribuir a ele um ID de cliente e um segredo exclusivos.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM® Verify de administração como administrador.
Observação: Somente usuários com as permissões adequadas podem visualizar o segredo do cliente. Para obter mais informações, consulte Atualizações de segurança para direitos.

Sobre esta tarefa

Cada cliente de API que você adicionar no acesso à API receberá um ID de cliente e um segredo de cliente, que você deverá fornecer ao desenvolvedor do aplicativo. O desenvolvedor deve armazenar essas credenciais de forma segura.

Todas as interfaces de tempo de execução expostas dos serviços Verify de autenticação são protegidas por tokens de acesso d OAuth. Os aplicativos de chamada devem fornecer um ID e um segredo do cliente OAuth no tempo de execução para troca de um token de acesso OAuth no serviço de autorização em seu locatário. O token de acesso é então usado para chamar a API de destino Verify . O token deve ser fornecido em cada chamada de API.

Também é possível implementar um filtro de IP para que a emissão e o uso do token possam ser limitados ou excluir determinados intervalos de endereço IP.

Consulte a documentação da API em https://docs.verify.ibm.com/verify/page/api-documentation para saber mais sobre as operações, respostas e restrições da API.

Procedimento

  1. Selecione Segurança > Acesso à API > Clientes da API
  2. Incluir um cliente da API.
    1. Selecione “Adicionar cliente API ”.
    2. Marque as caixas de seleção para obter as autorizações que você deseja conceder.
      A caixa de seleção “Nome da permissão” concede todos os direitos ao cliente da API.
    3. Selecione “Avançar ”.
    4. Defina restrições.
      Observação: a restrição do gerenciamento de clientes da API a grupos específicos de usuários é um recurso que pode ser solicitado, CI-102537. Para solicitar esse recurso, entre em contato com seu representante de vendas da IBM ou com o contato da IBM e indique seu interesse em ativar essa funcionalidade. Se você tiver permissão para criar um ticket de suporte, crie-o usando os números da pré-visualização pública. IBM Verify As assinaturas de avaliação não permitem a criação de tickets de suporte.
      Esta etapa estará disponível se você tiver selecionado qualquer um dos direitos com um tipo restritível.
      • manageGroupMembers
      • manageGroups
      • manageUsers
      • manageUserGroups
      • readGroups
      • readGroupMembers
      • readUserGroups
      • readUserGroupMembership
      • readUsers
      • resetPasswordAnyUser
      • updateAnyGroupMember
      Marque a caixa de seleção para restringir esses direitos a determinados grupos.
      Observação: as restrições de grupo não podem ser utilizadas se alguma das seguintes autorizações estiver selecionada.
      • manageAllUserGroups
      • manageStandardGroupMembers
      • manageUsersInStandardGroups
      • manageStandardGroups
      • manageUsersStandardGroups
      • readStandardGroupMembers
      • readStandardGroupMembership
      • readStandardGroups
      • updateAnyUser

      Se o seu cliente de API principal tiver a manageAPIClients autorização, você poderá realizar operações de criação, recuperação, atualização e exclusão em clientes de API secundários criados por meio das APIs de back-end APIClients . Se você selecionou quaisquer outros direitos, é possível restringir os direitos que são repassados aos clientes da API. Selecione “Usar seleções da etapa anterior” para transferir todos os direitos selecionados, exceto manageAPIClients. Sel ecione um subconjunto de direitos para especificar quais dos direitos selecionados você deseja repassar aos clientes da API de back-end.

    5. Selecione “Avançar ”.
    6. Na seção de credenciais da API, especifique as seguintes informações para permitir que o aplicativo se conecte ao locatário por meio da API:
      Tabela 1. Configurações de credenciais da API
      Campo Descrição
      ID do Cliente Identificador exclusivo do cliente da API.

      Essas informações são automaticamente geradas e exibidas na lista Clientes da API depois de salvar o cliente de API.
      Segredo do cliente Usado com o ID do cliente para verificar a identidade do cliente da API.

      É um segredo que somente o aplicativo e o servidor de autorizações devem conhecer.

      Essas informações são geradas automaticamente depois que você salva a API do cliente.
      Método de autenticação de cliente O Verify suporta os métodos de autenticação de cliente a seguir:
      • Default(Seleção padrão)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      Para a autenticação JWT com chave privada, esses campos estão disponíveis.
      Validar o JTI de asserção de cliente Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.

      Indica se o JTI no JWT de asserção de cliente é validado para uso único.
      Chaves permitidas de verificação de assinatura Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.

      Os IDs de chave de verificação de assinatura que podem ser usados para verificar o JWT de asserção de cliente.
      URI do JWKS Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.

      O URI no qual o terceiro confiável publica suas chaves públicas no formato JSON Web Keys Set (JWKS). Este URI é usado para verificação ou criptografia de assinatura JWT. O sistema pode rejeitar um URI do JWKS inacessível ou não responsivo. O sistema também pode rejeitar o URI do JWKS se o tamanho JWKS for muito grande. Se a parte dependente não publicar um URI do JWKS, uma chave pública poderá ser incluída no sistema na forma de um certificado X509. Consulte "Gerenciamento de certificados". O 'Nome fácil' que está associado ao certificado público é o valor do cabeçalho do ID da chave (kid) de JWT.
    7. Selecione “Avançar”.
    8. Opcional: marque a caixa de seleção para permitir apenas os escopos configurados.
      Os escopos que são concedidos ao cliente no término do fluxo são restritos a esses escopos especificados nesta seção. Digite o nome do escopo que deseja conceder e uma descrição. O nome do escopo refere-se ao escopo OAuth2/OIDC que é solicitado por uma parte/cliente dependente. Selecione para conceder mais permissões.
    9. Selecione “Avançar ”.
    10. Opcional: Na seção de filtro de IP, especifique as seguintes informações caso deseje implementar um filtro de IP para garantir que o ID e o segredo do cliente da API sejam distribuídos com segurança:
      Tabela 2. Configurações do filtro de IP
      Campo Descrição
      Ativar filtragem de IP

      Indica se o filtro de IP está ativado ou desativado.
      • Lista de permissões
      • Lista de negações

      Indica o tipo de filtro e se é uma lista de permissões ou de rejeições.

      Necessário se Ativar filtragem de IP estiver ativado.
      Filtros de IP

      Lista de filtros de IP.

      Necessário se Ativar filtragem de IP estiver ativado.

      Os filtros de IP estão na forma de um único endereço IP, intervalo de IP ou máscara de sub-rede IP. Ambos, IPv4 e IPv6, são suportados. Por exemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
    11. Selecione “Avançar ”.
    12. Opcional: Adicione propriedades e valores para associar ao cliente da API.
    13. Selecione “Avançar ”.
    14. Especifique as informações a seguir para o cliente da API para concluir a configuração.
      Nome
      Observação: São permitidos apenas caracteres alfanuméricos e os seguintes caracteres especiais:
      • - hífen
      • . ponto
      • _ sublinhado
      Descrição
      Uma explicação para identificar facilmente o propósito do cliente da API.
      Ativado

      Indica se o cliente da API está ativado ou desativado. A configuração padrão é ativada.

      Um cliente de API habilitado pode chamar as APIs às quais tem permissão de acesso.

      Se a caixa de seleção estiver desmarcada, um cliente da API desativado não poderá chamar nenhuma API, incluindo aquelas que ele está autorizado a acessar.
      Nota:
      • Pode levar até 1 minuto para que esta configuração entre em vigor.
      • Se o cliente da API tem um token de acesso válido existente, ele pode continuar a chamar as APIs. Os tokens de acesso têm um período de validade limitado. O token expira em 2 horas. Quando o token de acesso expira, o cliente da API não pode mais chamar as APIs.
      Tags
      Você pode adicionar até 20 tags para melhorar a visibilidade do seu cliente de API nas pesquisas. As tags devem ter menos de 100 caracteres, sem espaços, e podem conter números, letras minúsculas e os seguintes caracteres especiais.
      • : (dois-pontos)
      • - (hífen)
      • _ (sublinhado)
      • . (ponto)
      • = (sinal de igual)
      • @ (símbolo de arroba)
      • / (barra)
    15. Selecione “Criar cliente API ”.
      Os ID do cliente e Segredo do cliente e o segredo do Kubernetes são gerados.

O quê fazer em seguida

Adicione os domínios a partir dos quais seu cliente de API pode acessar as Verify APIs. Consulte "Gerenciamento de domínios".

Visualizando os detalhes da conexão

Editar online

Você pode copiar as credenciais do seu cliente e baixar o seu segredo de ` Kubernetes `.

Procedimento

  1. Selecione o cliente de API cujas credenciais de API você deseja visualizar.
  2. Selecione o a de Menus ícone.
  3. Selecione "Detalhes da conexão".
  4. Dependendo de seus requisitos de conexão, copie o ID do cliente e o segredo e faça download do arquivo YAML secreto do Kubernetes.