Gerenciamento do OpenID Connect e do OpenID Connect para acesso à API de aplicativos de Open Banking

Editar online

Se um desenvolvedor criar um aplicativo que utilize uma ou mais dessas Verify funções, o aplicativo deverá ter permissão para chamar as APIs correspondentes Verify . Registre o aplicativo interno como um cliente de API no acesso à API para atribuir a ele um ID de cliente e um segredo exclusivos.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console IBM® Verify de administração como administrador.
Observação: Somente usuários com as permissões adequadas podem ver o segredo do cliente. Para obter mais informações, consulte Atualizações de segurança para direitos.

Sobre esta tarefa

É possível conceder acesso de API ao seu aplicativo OpenID Connect for Open Banking ao criá-lo ou mais tarde usando a opção de edição. Os clientes da API podem ser criados para o aplicativo e cada cliente da API pode ter um conjunto diferente de autorizações de acesso à API.

Também é possível implementar um filtro de IP para que a emissão e o uso do token possam ser limitados ou excluir determinados intervalos de endereço IP.

Procedimento

  1. Selecione Aplicativos > Aplicativos.
  2. Selecione “Adicionar aplicativo ”.
  3. Selecione “ OpenID Connect” ou “ OpenID Connect” para o aplicativo de Open Banking e selecione “Adicionar aplicativo ”.
  4. Selecione o acesso à API.
  5. Crie o cliente da API do aplicativo.
    1. Selecione “Adicionar cliente API ”.
    2. Especifique as seguintes informações para o cliente da API:
      Tabela 1. Cliente da API de aplicativos
      Campo Configurações
      Nome Especifique o nome do cliente da API
      Observação: São permitidos apenas caracteres alfanuméricos e os seguintes caracteres especiais:
      • -
      • .
      • _
      Ativado Indica se o cliente da API está ativado ou desativado. A configuração padrão é ativada.

      Um cliente de API caixa de seleção marcada ativado pode chamar as APIs às quais ele tem autorização de acesso.

      Um Caixa de seleção desmarcada cliente de API desativado não pode chamar nenhuma API, incluindo aquelas às quais tem permissão de acesso.
      ID do Cliente

      Identificador exclusivo do cliente da API.

      Essas informações são automaticamente geradas e exibidas na lista Clientes da API depois de salvar o cliente de API.
      Segredo do cliente

      Usado com o ID do cliente para verificar a identidade do cliente da API.

      É um segredo que somente o aplicativo e o servidor de autorizações devem conhecer.

      Essas informações são geradas automaticamente depois que você salva a API do cliente.
      Método de autenticação de cliente O Verify suporta os métodos de autenticação de cliente a seguir:
      • Padrão
      • Configuração básica de segredo do cliente
      • POST de segredo do cliente
      • JWT de chave privada
      • TLS mútuo
      Observação: O método padrão de autenticação do cliente é o padrão.

      Se deixados como padrão, tanto a configuração básica quanto o POST de segredo do cliente são permitidos. Se a terceira parte confiável suportá-lo, use a chave privada JWT ou o TLS mútuo como a configuração. Para obter mais informações sobre autenticação de cliente de TLS mútuo, consulte Autenticação de cliente de TLS mútuo do OpenID Connect e token de acesso vinculado ao certificado.
      Validar o JTI de asserção de cliente Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.

      Indica se o JTI no JWT de asserção de cliente é validado para uso único.
      Chaves permitidas de verificação de assinatura Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.

      Os IDs de chave de verificação de assinatura que podem ser usados para verificar o JWT de asserção de cliente.
      URI do JWKS Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.

      O URI no qual o terceiro confiável publica suas chaves públicas no formato JSON Web Keys Set (JWKS). Este URI é usado para verificação ou criptografia de assinatura JWT. O sistema pode rejeitar um URI do JWKS inacessível ou não responsivo. O sistema também pode rejeitar o URI do JWKS se o tamanho JWKS for muito grande. Se a parte dependente não publicar um URI do JWKS, uma chave pública poderá ser incluída no sistema na forma de um certificado X509. Consulte "Gerenciamento de certificados". O 'Nome fácil' que está associado ao certificado público é o valor do cabeçalho do ID da chave (kid) de JWT.
      Atributo de autenticação do cliente TLS Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado.
      O atributo de certificado que é usado para autenticação.
      • DN do assunto
      • DNS de SAN
      • URI de SAN
      • IP de SAN
      • Endereço de e-mail SAN
      Valor do atributo de autenticação do cliente TLS Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado.

      O valor do atributo no certificado que será usado para autenticação.
      Tokens de acesso vinculados a certificados Indica se os tokens gerados serão vinculados ao certificado. Para obter mais informações sobre tokens de acesso vinculados ao certificado, consulte Autenticação de cliente de TLS mútuo do OpenID Connect e token de acesso vinculado ao certificado.
  6. Configure o token de acesso e a validação do token de atualização para limitar o tempo de acesso não autorizado quando esses tokens forem roubados.
    O token de acesso é usado para autorizar o acesso ao recurso protegido. Após o token de acesso expirar, a autorização será revogada.
    Tabela 2. Configurações do token
    Campo Descrição
    Validade do token de acesso (s)

    Configura o tempo em segundos após o qual o token de acesso expira.

    Configure uma validade de token de acesso para limitar o tempo em que um invasor pode acessar o recurso com o token roubado quando o aplicativo cliente estiver comprometido.

    Somente números inteiros positivos são permitidos.

    O valor padrão é 7200 segundos. O valor mínimo permitido é 1 e o máximo é 2147483647 segundos.
    Formato do token de acesso Especifica o formato do token de acesso. As opções a seguir estão disponíveis:
    • padrão
    • JWT
  7. Especifique as informações a seguir se você quiser implementar um filtro de IP para se certificar de que o ID do cliente da API e o segredo sejam distribuídos com segurança.
    Tabela 3. Configurações do filtro de IP
    Campo Descrição
    Ativar filtragem de IP

    Indica se o filtro de IP está ativado ou desativado.
    Lista de permissões/Lista de restrições

    Indica o tipo de filtro e se é uma lista de permissões ou de rejeições.

    Necessário se Ativar filtragem de IP estiver ativado.
    Filtros de IP

    Lista de filtros de IP.

    Necessário se Ativar filtragem de IP estiver ativado.

    Os filtros de IP estão na forma de um único endereço IP, intervalo de IP ou máscara de sub-rede IP. Ambos, IPv4 e IPv6, são suportados. Por exemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
  8. Marque a caixa de seleção “Restringir escopos personalizados ”.

    Ao selecionar Restringir escopos customizados, os escopos concedidos ao cliente no final do fluxo ficarão restritos aos escopos especificados nesta seção. Digite o nome do escopo customizado que você deseja conceder e uma descrição. O nome do escopo refere-se ao escopo do OAuth2/OIDC que é solicitado por uma terceira parte confiável ou pelo cliente. A descrição é uma explicação fácil para o escopo. Selecione Incluir escopo para conceder mais escopos.

  9. Selecione as APIs às quais você deseja conceder acesso.
    Consulte Autorizações de acesso para obter mais informações.

    Se Selecionar todos estiver configurado como Off, selecione as APIs às quais você deseja conceder acesso para o cliente. Se Selecionar todos estiver configurado para Ativado, será concedido para o cliente acesso a todas as APIs. No entanto, é possível limpar as caixas de seleção de quaisquer APIs às quais você não deseja que o cliente tenha acesso.

    Nota:
    • É possível criar um cliente da API que não tenha permissão inicial para chamar nenhuma API. É possível editá-lo posteriormente para conceder acesso à API específica.
    • Somente as APIs que são relevantes para seu plano de assinatura estão disponíveis para seleção.
    • Para aplicativos OIDC, um cliente padrão com um nome de cliente que é o mesmo que o nome do aplicativo está na lista de clientes da API para esse aplicativo. Ele não pode ser excluído, a menos que o aplicativo seja excluído ou alternado para um método de conexão diferente.
  10. Selecione Concluído.
  11. Certifique-se de ter preenchido os campos obrigatórios nas guias "Geral" e "Login".
  12. Selecione “Salvar ”.

    O ID do Cliente e o Segredo do cliente são gerados e o aplicativo e o cliente da API são criados.

  13. Visualize e edite o cliente da API
    1. Role até localizar o cliente da API.
    2. Passe o mouse sobre o cliente da API e selecione o Editar ícone.

      A caixa de diálogo Editar Cliente da API é exibida.

    3. Use as opções a seguir:
      • Selecione Mostrar para visualizar o segredo do cliente.
      • Selecione Ocultar para ocultar o segredo do cliente.
      • Selecione Copiar para copiar o ID do cliente ou o segredo para a área de transferência.
      • Selecione Lista para visualizar os segredos de cliente atualizados.
        • Selecione um ou mais segredos de cliente renovados na lista e clique em Excluir para excluí-los.
      • Selecione Gerar novamente para gerar um novo segredo de cliente. Use essa opção se você achar que o segredo do cliente está comprometido. Se você gerar novamente o segredo do cliente, deverá atualizar o segredo do cliente em todos os clientes do OAuth para o aplicativo.
        • Marque a caixa de seleção “Manter o segredo atual ” para adicionar o segredo do cliente atual à lista de segredos de cliente alternados.
        • Se a caixa de seleção “Manter o segredo atual” estiver marcada, selecione a descrição do segredo do cliente e a data de validade (na hora local do navegador). Se não for selecionado nenhum prazo de validade, será aplicada a duração do segredo rotativo do locatário definida nas configurações do aplicativo.
        • Os segredos de cliente atualizados são submetidos a um processo de hash e não podem mais ser recuperados em texto simples, mas ainda podem ser usados até a data de validade selecionada.
        • Após a confirmação, o segredo do cliente é imediatamente atualizado. O novo segredo do cliente é exibido na tela.
    4. Edite qualquer informação que você deseja alterar.
    5. Selecione Concluído.
  14. Excluir a API do cliente.
    1. Role até localizar o cliente da API.
    2. Selecione a caixa de seleção para o cliente.
      Para excluir vários clientes da API, selecione a caixa de seleção para cada cliente que você deseja excluir.
    3. Selecione Excluir “Excluir” na barra de ferramentas “Itens selecionados ”.
      Observação: o bot ão “Excluir” localizado no canto inferior esquerdo da janela exclui o aplicativo, e não o cliente da API.
      Também é possível excluir um cliente da API ao selecioná-lo e selecionar o ícone excluir no painel Detalhes.
    4. Confirme se você deseja excluir o cliente da API.
    5. Quando terminar, selecione “Salvar ”.