Gerenciamento de clientes STS

Editar online

Use o cliente do Serviço de Tokens de Segurança (STS) para trocar tokens. Siga as especificações para a troca de tokens d OAuth e ao criar e gerenciar seus clientes STS em IBM® Verify. Você pode validar seus aplicativos de terceiros usando o serviço de autenticação de aplicativos ( OAuth ) como um recurso protegido.

Antes de começar

Faça login no console IBM Verify de administração como administrador.
Crie os tipos de token personalizados que serão utilizados pelo cliente STS. Consulte “Gerenciamento de tipos de token personalizados ”.

Observação: Somente usuários com as permissões adequadas podem visualizar o segredo do cliente. Para obter mais informações, consulte Atualizações de segurança para direitos.

Sobre esta tarefa

Configure um cliente STS para a troca de tokens. Um cliente solicita um token de segurança ao endpoint de tokens do servidor de autorização, utilizando o mecanismo do tipo de concessão de extensão de token. As aplicações externas desenvolvidas utilizando Verify o como provedor de identidade podem aceitar solicitações REST da API autenticadas com um token de acesso do OAuth 2.0 e diferentes métodos de autenticação. Para mais informações, consulte https://www.rfc-editor.org/rfc/rfc8693.html.

Procedimento

Selecione Aplicativos > Clientes STS.
Selecione “Adicionar cliente STS ”.
Forneça as informações gerais.
1. Opcional: forneça um ID de cliente.
  Se você não fornecer um ID de cliente, um ID será criado quando você concluir a configuração.
2. Insira um nome exclusivo para o cliente STS.
3. Mantenha a caixa de seleção “Ativado” marcada.
  Você pode ativar ou desativar este cliente STS.
4. Permitir que os tokens de acesso sejam trocados por uma sessão de SSO. Se a opção “Padrão” for selecionada, as configurações gerais do aplicativo OIDC determinam se os tokens de acesso podem ser trocados para a sessão de SSO.
Selecione “Avançar ”.
Selecione o método de autenticação do cliente.
Essa configuração determina como o cliente é autenticado.
- Para os métodos Padrão, Segredo do cliente (básico) e Segredo do cliente (POST), o segredo do cliente é gerado automaticamente ao concluir a configuração.
- Para o método JWT com chave privada, é necessário selecionar um algoritmo de assinatura de asserções de cliente e as chaves de verificação de assinatura permitidas. Você também pode selecionar a JTI “Validar a asserção do cliente” para validar a asserção do cliente.
- Para o método de autenticação mútua ( TLS ), é necessário fornecer o atributo de autenticação do cliente TLS e o valor do atributo de autenticação do cliente TLS.
- Se você estiver editando um cliente STS existente, poderá usar as seguintes opções de segredo do cliente:
  - Selecione para visualizar o segredo do cliente.
  - Selecione para ocultar o segredo do cliente.
  - Selecione para copiar o ID do cliente ou o segredo para a área de transferência.
  - Selecione para visualizar os segredos de cliente atualizados.
    - Selecione um ou mais segredos de cliente renovados na lista e clique em Excluir para excluí-los.
  - Selecione para gerar um novo segredo de cliente. Use essa opção se você achar que o segredo do cliente está comprometido. Se você gerar novamente o segredo do cliente, deverá atualizar o segredo do cliente em todos os clientes do OAuth para o aplicativo.
    - Marque a caixa de seleção “Manter o segredo atual ” para adicionar o segredo do cliente atual à lista de segredos de cliente alternados.
    - Se a caixa de seleção “Manter o segredo atual” estiver marcada, selecione a descrição do segredo do cliente e a data de validade (na hora local do navegador). Se não for selecionado nenhum prazo de validade, será aplicada a duração do segredo rotativo do locatário definida nas configurações do aplicativo.
    - Os segredos de cliente atualizados são submetidos a um processo de hash e não podem mais ser recuperados em texto simples, mas ainda podem ser usados até a data de validade selecionada.
    - Após a confirmação, o segredo do cliente é imediatamente atualizado. O novo segredo do cliente é exibido na tela.
Observação: O método padrão de autenticação do cliente é default.
Se deixados como padrão, tanto a configuração básica quanto o POST de segredo do cliente são permitidos. Se este cliente for um cliente público, o Client secret basic e o POST não serão permitidos. Se a terceira parte confiável suportá-lo, use a chave privada JWT ou o TLS mútuo como a configuração. Para obter mais informações sobre autenticação de cliente de TLS mútuo, consulte Autenticação de cliente de TLS mútuo do OpenID Connect e token de acesso vinculado ao certificado.
Selecione “Avançar ”.

Selecione os tipos de token permitidos para o token de sujeito e o token solicitado.

Opcional: Selecione os tipos de token permitidos para o token do ator.

Tabela 1. Troca de tokens
Campo	Descrição
Token de assunto	O tipo do token em questão, que representa a identidade da parte em nome da qual o token está sendo solicitado.
Token de agente	O tipo do token do ator, que representa a identidade da parte à qual os direitos de acesso do token emitido estão sendo delegados.
Token solicitado	O tipo de tokens cuja geração pode ser solicitada como parte da troca de tokens. Token de transação : O token de segurança de uso único contém informações contextuais sobre uma transação, ação, recurso ou detalhes de uma solicitação específicos, proporcionando uma autorização detalhada para essa operação em particular. Ao selecionar o token, é exibido o bloco “Contexto da transação”, no qual é possível definir o contexto por meio de uma expressão CELx. Consulte “Token de transação” para obter mais detalhes. Observação: O token de transação é um recurso que pode ser solicitado; VDEV-186514: Proteção de agentes de IA. Para solicitar esse recurso, entre em contato com seu representante de vendas da IBM ou com o contato da IBM e indique seu interesse em habilitar essa funcionalidade. Você também pode criar um ticket de suporte com o número do recurso, caso tenha permissão para isso. IBM Verify Os usuários com assinaturas de teste não podem criar tickets de suporte.
Grupos de clientes	A lista de grupos de clientes do OpenID Connect. Os tokens gerados por este cliente podem ser usados como token de origem para a troca de tokens dentro do mesmo grupo. Se essa lista estiver vazia, qualquer cliente poderá usar os tokens gerados por esse cliente como token de sujeito para a troca de tokens.
Exigir token do ator	Exigir o token do ator como parte da solicitação de troca de token. Esta ação impõe o cenário de delegação e impede o cenário de representação.
Contexto da transação	O campo “Contexto da transação” só fica visível quando o “Token solicitado” está definido como “Token de transação ”. Este campo não se aplica a outros tipos de token. Consulte “Token de transação” para obter mais detalhes.

Para criar um tipo de token personalizado a ser usado pelo cliente, consulte “Gerenciamento de tipos de token personalizados ”.

Selecione “Avançar ”.

Selecione ou especifique as configurações do token solicitadas.

Tabela 2. Configurações de token solicitadas
Campo	Descrição
Formato do token de acesso	Especifica o formato do token de acesso. As opções a seguir estão disponíveis: Padrão JWT
Prazo de validade do token de acesso (segundos)	Configura o tempo em segundos após o qual o token de acesso expira. Configure uma validade de token de acesso para limitar o tempo em que um invasor pode acessar o recurso com o token roubado quando o aplicativo cliente estiver comprometido. Somente números inteiros positivos são permitidos. O valor padrão é `3600` segundos. O valor mínimo permitido é de `1` segundo e o valor máximo é de `2147483647` segundos.
Algoritmo de assinatura	O algoritmo utilizadoVerify para assinar o token de identificação. VerifyO algoritmo deve corresponder ao que a parte confiável registrou. Escolha entre os seguintes algoritmos de hash para verificar a assinatura: RS256 RS384 RS512 PS256 PS384 PS512 ES256 ES384 ES512 Nota: Se o algoritmo de assinatura ES256 for selecionado, o certificado deverá ser ECDSA com P-256. Se o algoritmo de assinatura ES384 for selecionado, o certificado deverá ser ECDSA com P-384. Se o algoritmo de assinatura ES512 for selecionado, o certificado deverá ser ECDSA com P-521.
Certificado de assinatura	Selecione o certificado usado para assinar o token de identificação. A seleção padrão refere-se à configuração padrão que você definiu em Segurança > Certificados. .
Algoritmo de Criptografia	O algoritmo criptográfico utilizado para criptografar ou determinar o valor da chave de criptografia de conteúdo (CEK). Os seguintes algoritmos são suportados. Nenhum RSA-OAEP RSA-OAEP-256
Algoritmo de conteúdo	O algoritmo de criptografia de conteúdo utilizado para a criptografia autenticada do texto em claro, a fim de gerar o texto cifrado e a tag de autenticação. São suportados os seguintes algoritmos: Nenhum A128GCM A192GCM A256GCM
Certificado de criptografia	Insira um valor ou selecione um certificado de signatário da lista que você já carregou no locatário. Observação: Para obter instruções sobre como fazer o upload de certificados de signatários, consulte “Gerenciamento de certificados ”.
URI do JWKS	A URI na qual o emissor do token ou a parte confiável publica suas chaves públicas no formato JSON Web Keys Set (JWKS). Este URI é usado para verificação ou criptografia de assinatura JWT. O sistema pode rejeitar um URI do JWKS inacessível ou não responsivo. O sistema também pode rejeitar o URI do JWKS se o tamanho JWKS for muito grande. Se o emissor do token não publicar um URI JWKS, é possível adicionar uma chave pública ao sistema, na forma de um certificado do tipo “ X509 ”. Cons ulte “Gerenciamento de certificados”. O 'Nome fácil' que está associado ao certificado público é o valor do cabeçalho do ID da chave (kid) de JWT. Por exemplo, `https://{yourDomain}/.well-known/jwks.json`

Selecione “Próximo ”.

Marque as caixas de seleção para as configurações de comprovação de posse.

Tabela 3. Configurações de comprovação de posse
Campo	Descrição
Tokens de acesso vinculados a certificados	Indica se os tokens gerados estão vinculados a um certificado. Para obter mais informações sobre tokens de acesso vinculados a certificados, consulte Autenticação mútua de cliente TLS do OpenID Connect e token de acesso vinculado a certificado.
Exigir o uso de tokens de acesso do tipo " DPoP-bound ".	Indica se o cabeçalho ` DPoP ` é obrigatório para solicitações de token.
Validar o JTI do DPoP JWT	Indica se o JTI no JWT do ` DPoP ` foi validado para uso único.
Algoritmo de assinatura para DPoP JWT	O algoritmo de assinatura esperado para o JWT do DPoP. Escolha um dos algoritmos a seguir. RS256 RS384 RS512 PS256 PS384 PS512 ES256 ES384 ES512

Selecione “Avançar ”.
Configure mapeamentos de solicitação e de resposta para cada um dos terminais.
1. Configure o mapeamento do introspect para adicionar e modificar os atributos retornados pelo endpoint do introspect.
  Consulte OpenID para obter informações sobre o mapeamento entre o Connect introspect, o token de identificação e as informações do usuário.
2. Configure as informações do usuário e o mapeamento de atributos do token de identificação para adicionar e modificar os atributos que são retornados pelo userinfo ponto de extremidade e no token de identificação.
  Consulte OpenID para obter informações sobre o mapeamento entre o Connect introspect, o token de identificação e as informações do usuário.
Selecione “Avançar ”.
Restringir escopos customizados.
Os escopos personalizados podem ser solicitados por um cliente OIDC / OAuth nos fluxos de concessão OIDC / OAuth compatíveis. Se Restringir escopos customizados estiver ativado, que é a configuração padrão, os escopos que são concedidos ao cliente no final do fluxo serão restringidos àqueles escopos especificados nessa seção. Se a opção “Restringir escopos personalizados” não estiver disponível, quaisquer escopos personalizados solicitados serão concedidos quando o fluxo for concluído.
openidObservação: os escopos padrão, profile, email, phone, e address não podem ser restringidos.
1. Certifique-se de que a caixa de seleção “Restringir escopos personalizados” esteja marcada.
2. Digite o nome do escopo customizado que você deseja conceder e uma descrição.
  O nome do escopo refere-se ao escopo OAuth2/OIDC que é solicitado por uma parte/cliente dependente. A descrição é uma explicação fácil para o escopo.
  
  Outro conjunto de campos de escopo é exibido.
3. Repita a etapa anterior para cada escopo customizado que você deseja conceder.
Restringir detalhes de autorização
Os detalhes da autorização podem ser solicitados por um cliente OIDC/ OAuth nos fluxos de concessão OIDC/ OAuth compatíveis. Se a opção “Restringir detalhes de autorização” estiver ativada, os detalhes de autorização concedidos no final do fluxo serão restritos aos detalhes de autorização especificados nesta seção. Se a opção “Restringir detalhes de autorização” estiver desativada, qualquer detalhe de autorização solicitado será concedido quando o fluxo for concluído.
1. Certifique-se de que a caixa de seleção “Detalhes da autorização de restrição” esteja marcada.
2. Verifique se a opção “Ignorar detalhes de autorização desconhecidos” está ativada.
3. Digite ou selecione o nome do tipo de detalhe de autorização que você deseja conceder. Você pode editar e definir uma regra personalizada adicional para filtrar solicitações com base em uma propriedade no JSON dos detalhes de autorização. Por exemplo, se o tipo de detalhe de autorização for resource_access e incluir uma location propriedade, a solicitação só poderá ser aprovada quando o local for o Japão. Nesse caso, a regra seria: requestContext.ad.location == 'Japan'.
4. Clique em “Adicionar” e repita a etapa anterior para cada tipo de detalhe de autorização que você deseja conceder.
Selecione as permissões para usuários e não usuários que você deseja conceder ao token de acesso.
O acesso restrito à API é a configuração padrão. Para conceder permissões de acesso à API, siga as etapas a seguir. Se você limpar a caixa de seleção Acesso restrito à API, um conjunto de autorizações padrão será concedido ao token. Consulte as autorizações da API de token de login padrão.
Selecione “Concluir a configuração ”.