Gerenciamento do acesso à API do aplicativo

Editar online

Se um desenvolvedor criar um aplicativo que utilize uma ou mais dessas Verify funções, o aplicativo deverá ter permissão para chamar as APIs correspondentes Verify . Registre o aplicativo interno como um cliente da API de aplicativos no acesso à API para atribuir a ele um ID de cliente e um segredo exclusivos.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM® Verify de administração como administrador.
Observação: Somente usuários com as permissões adequadas podem visualizar o segredo do cliente. Para obter mais informações, consulte Atualizações de segurança para direitos.

Sobre esta tarefa

Você pode conceder acesso à API ao seu aplicativo no momento da criação ou posteriormente, usando a opção de edição. Os clientes da API podem ser criados para o aplicativo e cada cliente da API pode ter um conjunto diferente de autorizações de acesso à API.

Também é possível implementar um filtro de IP para que a emissão e o uso do token possam ser limitados ou excluir determinados intervalos de endereço IP.

Para os aplicativos OIDC, as autorizações de acesso à API para o cliente SSO também podem ser configuradas. Esses tokens estão restritos a ações que o usuário que faz login no aplicativo tem permissão para realizar no Verify.

Procedimento

  1. Selecione o acesso à API.
  2. Crie o cliente da API do aplicativo.
    1. Selecione “Adicionar cliente API ”.
    2. Especifique as seguintes informações para o cliente da API:
      Tabela 1. Cliente da API de aplicativos
      Informações Descrições
      Nome Especifique o nome do cliente da API.
      Observação: São permitidos apenas caracteres alfanuméricos e os seguintes caracteres especiais:
      • -
      • .
      • _
      Ativado

      Indica se o cliente da API está ativado ou desativado.

      Um cliente de API Ativado ativado pode chamar as APIs às quais ele tem autorização de acesso.

      Um Desativado cliente de API desativado não pode chamar nenhuma API, incluindo aquelas às quais tem permissão de acesso.
      Nota:
      • Pode levar até 1 minuto para que esta configuração entre em vigor.
      • Se o cliente da API tem um token de acesso válido existente, ele pode continuar a chamar as APIs. Os tokens de acesso têm um período de validade limitado. O token expira em 2 horas. Quando o token de acesso expira, o cliente da API não pode mais chamar as APIs.
      ID do Cliente

      Identificador exclusivo do cliente da API.

      Essa informação é gerada automaticamente e exibida na lista Clientes da API depois de salvar o cliente da API.
      Segredo do cliente

      Usado com o ID do cliente para verificar a identidade do cliente da API.

      É um segredo que somente o aplicativo e o servidor de autorizações devem conhecer.

      Essas informações são geradas automaticamente depois que você salva a API do cliente. Visualize os detalhes do cliente da API.
      Método de autenticação de cliente Indica o método de autenticação do cliente para o cliente API:
      Verificar suporta os métodos de autenticação de cliente a seguir:
      • Default(Seleção padrão)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      • TLS mútuo
        Observação: o recurso “ TLS ” não está disponível para aplicativos personalizados
      Atributo de autenticação do cliente TLS Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado.
      O atributo de certificado que será usado para autenticação.
      • DN do assunto
      • DNS de SAN
      • URI de SAN
      • IP de SAN
      • Endereço de e-mail SAN
      Valor do atributo de autenticação do cliente TLS Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado.

      O valor do atributo no certificado que será usado para autenticação.
      Tokens de acesso vinculados a certificados
      Observação: os tokens de acesso vinculados a certificados não estão disponíveis para aplicativos personalizados
      		 Indica se os tokens gerados serão vinculados ao certificado. Para obter mais informações sobre tokens de acesso vinculados ao certificado, consulte Autenticação de cliente de TLS mútuo do OpenID Connect e token de acesso vinculado ao certificado.
      Validar o JTI de asserção de cliente Indica se o JTI no JWT de asserção de cliente é validado para uso único. Esta opção é exibida apenas quando o JWT de segredo do cliente ou o método de autenticação de cliente de JWT de chave privada é selecionado.
      Chaves permitidas de verificação de assinatura Os IDs de chave de verificação de assinatura que podem ser usados para verificar o JWT de asserção de cliente. Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.
      Observação: é possível especificar manualmente a chave de verificação de assinatura. Mais de uma chave de verificação de assinatura pode ser especificada.
      URI do JWKS O URI no qual a parte dependente publica suas chaves públicas no formato JSON Web Keys (JWKs). Esse URI é usado para verificação de assinatura do JWT. O sistema pode rejeitar um URI do JWKS inacessível ou não responsivo. O sistema também pode rejeitar o URI do JWKS se o tamanho JWKS for muito grande. Se a parte dependente não publicar um URI do JWKS, uma chave pública poderá ser incluída no sistema na forma de um certificado X509. Consulte "Gerenciamento de certificados". O `Nome Fácil` associado ao certificado público é o valor do cabeçalho do ID da chave (kid) do JWT.
  3. Configure o token de acesso e a validação do token de atualização para limitar o tempo de acesso não autorizado quando esses tokens forem roubados.

    O token de acesso é usado para autorizar o acesso ao recurso protegido. Após o token de acesso expirar, a autorização será revogada.

    Tabela 2. Configurações do token
    Campo Descrição
    Validade do token de acesso (s)

    Configura o tempo em segundos após o qual o token de acesso expira.

    Configure uma validação do token de acesso para limitar o tempo de acesso de um invasor ao recurso com o token roubado quando o aplicativo cliente estiver comprometido.

    Somente números inteiros positivos são permitidos.

    O valor padrão é de 7200 segundos. O valor mínimo permitido é de 1 segundo e o valor máximo é de 2147483647 segundos.
    Acessar Formato de Token Indica se o token de acesso é gerado como uma sequência de caracteres opaca, que é aDefaultconfiguração ou no formato JWT.
  4. Especifique as informações a seguir se você quiser implementar um filtro de IP para se certificar de que o ID do cliente da API e o segredo sejam distribuídos com segurança.
    Tabela 3. Configurações do filtro de IP
    Campo Descrição
    Ativar filtragem de IP

    Indica se o filtro de IP está ativado ou desativado.
    Lista de permissões. Lista de Negação

    Indica o tipo de filtro e se é uma lista de permissões ou de rejeições.

    Necessário se Ativar filtragem de IP estiver ativado.
    Filtros de IP

    Lista de filtros de IP.

    Necessário se Ativar filtragem de IP estiver ativado.

    Os filtros de IP estão na forma de um único endereço IP, intervalo de IP ou máscara de sub-rede IP. Ambos, IPv4 e IPv6, são suportados. Por exemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
  5. Especifique os atributos de assinatura para o token de ID e para os tokens de acesso em formato JWT. A parte confiável utiliza a assinatura para verificar a integridade e a autenticidade das informações do usuário contidas no token, bem como do provedor de identidade do OpenID Connect que assinou o token.
    Nota:

    As opções de assinatura estão disponíveis apenas para aplicativos personalizados.

    Tabela 4. Opções de assinatura
    Campo Descrição
    Algoritmo de assinatura

    O algoritmo utilizado Verify para assinar o token de identificação e os tokens de acesso no formato JWT. VerifyO algoritmo deve corresponder ao que a parte confiável registrou.

    Escolha entre os seguintes algoritmos de hash para verificar a assinatura:
    • HS256
    • HS384
    • HS512
    • RS256 (valor padrão)
    • RS384
    • RS512
    Observação: os algoritmos HS não são exibidos quando você opta por não gerar um segredo de cliente.
    Certificado de assinatura

    Essa opção é exibida somente se você selecionou qualquer um dos algoritmos de assinatura RS.

    Use este certificado para assinar o token de ID e os tokens de acesso em formato JWT durante a conexão única-on.

    A seleção padrão refere-se ao certificado pessoal padrão que você configurou em Configuração > Certificados > Certificados Pessoais.
  6. Marque a caixa de seleção “Restringir escopos personalizados ”.
    Ao selecionar Restringir escopos customizados, os escopos concedidos ao cliente no final do fluxo ficarão restritos aos escopos especificados nesta seção. Digite o nome do escopo customizado que você deseja conceder e uma descrição. O nome do escopo refere-se ao escopo OAuth2/OIDC que é solicitado por uma parte/cliente dependente. A descrição é uma explicação fácil para o escopo. Selecione para conceder mais permissões.
  7. Selecione as APIs às quais você deseja conceder acesso. Consulte os direitos de acesso para obter mais informações.
    Se Selecionar todos estiver configurado para Desativado, selecione as APIs às quais você deseja conceder acesso para o cliente. Se Selecionar todos estiver configurado para Ativado, será concedido para o cliente acesso a todas as APIs. No entanto, é possível limpar as caixas de seleção de quaisquer APIs às quais você não deseja que o cliente tenha acesso.
    Nota:
    • É possível criar um cliente da API que não tenha permissão inicial para chamar nenhuma API. É possível editá-lo posteriormente para conceder acesso à API específica.
    • Somente as APIs que são relevantes para seu plano de assinatura estão disponíveis para seleção.
    • Para aplicativos OIDC, um cliente padrão com um nome de cliente que é o mesmo que o nome do aplicativo está na lista de clientes da API para esse aplicativo. Ele não pode ser excluído, a menos que o aplicativo seja excluído ou alternado para um método de conexão diferente.
  8. Selecione “Salvar ”.
    O ID do cliente e o Segredo do cliente são gerados e o cliente da API do aplicativo é criado.
  9. Visualize os detalhes do cliente da API.
    • Role ou use o campo de procura para localizar o cliente da API. Qualquer cliente que corresponda à sua entrada de procura é exibido.
    • Selecione o cliente da API cujas informações você deseja visualizar. Os detalhes do cliente da API são exibidos.
    • Passe o mouse sobre o cliente da API e selecione o Editar ícone quando ele aparecer. A caixa de diálogo Editar cliente da API é exibida.
      Use as opções a seguir:
      • Selecione Copiar para a área de transferência para copiar o ID do cliente ou o segredo para a área de transferência.
      • Selecione Mostrar para visualizar o segredo do cliente.
      • Selecione Ocultar para ocultar o segredo do cliente.
  10. Editar a API do cliente.
    1. Role até localizar o cliente da API.
    2. Passe o mouse sobre o cliente da API e selecione o Editar ícone quando ele aparecer.
      A caixa de diálogo Editar cliente da API é exibida.
    3. Edite as informações.
      Se você estiver editando um aplicativo existente, será possível usar as opções de segredo do cliente a seguir:
      • Selecione Mostrar para visualizar o segredo do cliente.
      • Selecione Ocultar para ocultar o segredo do cliente.
      • Selecione Copiar para copiar o ID do cliente ou o segredo para a área de transferência.
      • Selecione Lista para visualizar os segredos de cliente atualizados.
        • Selecione um ou mais segredos de cliente renovados na lista e clique em Excluir para excluí-los.
      • Selecione Gerar novamente para gerar um novo segredo de cliente. Use essa opção se você achar que o segredo do cliente está comprometido. Se você gerar novamente o segredo do cliente, deverá atualizar o segredo do cliente em todos os clientes do OAuth para o aplicativo.
        • Marque a caixa de seleção “Manter o segredo atual ” para adicionar o segredo do cliente atual à lista de segredos de cliente alternados.
        • Se a caixa de seleção “Manter o segredo atual” estiver marcada, selecione a descrição do segredo do cliente e a data de validade (na hora local do navegador). Se não for selecionado nenhum prazo de validade, será aplicada a duração do segredo rotativo do locatário definida nas configurações do aplicativo.
        • Os segredos de cliente atualizados são submetidos a um processo de hash e não podem mais ser recuperados em texto simples, mas ainda podem ser usados até a data de validade selecionada.
        • Após a confirmação, o segredo do cliente é imediatamente atualizado. O novo segredo do cliente é exibido na tela.
    4. Selecione “Salvar ”.
  11. Excluir a API do cliente.
    1. Role até localizar o cliente da API.
    2. Escolha uma das opções a seguir:
      • Selecione um cliente da API. Quando o painel Detalhes for exibido, selecione Excluir.
      • Para excluir vários clientes da API, marque as caixas de seleção próximas dos clientes da API e selecione Excluir.
    3. Selecione Excluir.
    4. Confirme que você deseja excluir os clientes da API selecionados. Os clientes da API são excluídos permanentemente quando o aplicativo é salvo.