Configurando o gerenciamento e a revogação do token para um provedor OAuth nativo

Editar online

Selecione se deseja usar um gateway nativo ( DataPower ) ou um endpoint de terceiros para a revogação de tokens.

Sobre essa tarefa

O gerenciamento de token permite evitar ataques de reprodução, configurando a revogação de token. API Connect suporta a revogação de tokens por meio de um gateway nativo ( DataPower ) ou de um endpoint de terceiros. Para um gateway nativo, a execução de cota é usada para gerenciar os tokens. No caso de um endpoint de terceiros, utiliza-se um endereço de autenticação ( URL ) para um serviço externo para gerenciar tokens.

Para obter mais informações, consulte o RFC 7009 da IETF : OAuth 2.0 Revogação de tokens.

O gerenciamento de token depende do peering de gateway para distribuir o cache para detalhes de revogação dentro de um nó do cluster de gateway e não se propaga entre diferentes clusters de gateway Para aplicar o gerenciamento de tokens em diferentes clusters de gateway, é necessário usar o armazenamento externo de tokens e definir o Tipo de gerenciamento de tokens como Externo na configuração do seu provedor nativo do serviço de gerenciamento de identidades e acesso ( OAuth ).

É necessário ter uma das funções a seguir para configurar o gerenciamento e a revogação do token para um Provedor OAuth nativo:

  • Administrador da organização
  • Proprietário
  • Função personalizada com as permissões de Configurações > Gerenciar

Você pode acessar a página de configurações de gerenciamento de tokens de um provedor nativo do OAuth imediatamente após concluir a operação de criação descrita em “Configurando um provedor nativo do OAuth ”, ou pode atualizar as configurações de gerenciamento de tokens de um provedor nativo do OAuth já existente. Para atualizar as configurações de gerenciamento de token para um provedor OAuth nativo existente, conclua as etapas a seguir antes de seguir o procedimento descrito neste tópico:

  1. Clique Ícone de recursos Recursos > Provedores OAuth.
  2. Selecione o provedor OAuth nativo necessário.

Procedimento

  1. Selecione Gerenciamento de Token no menu da barra lateral.
  2. Ative o gerenciamento de tokens marcando a caixa de seleção.
  3. Na lista Tipo , selecione Nativo ou Externo. Nativo aponta para o DataPower como o local de armazenamento de token; Externo aponta para uma URL de revogação para armazenamento de token.
    Observação: Se você estiver usando a interface do usuário do API Manager, para que a opção Externo fique disponível, é necessário estar usando DataPower® API Gateway a versão 10.0.1.0 ou posterior, e o serviço de gateway deve estar habilitado no Catálogo Sandbox; para obter detalhes sobre como habilitar um serviço de gateway em um Catálogo, consulte Criação e configuração de Catálogos
  4. Para Nativo, selecione um ou ambos caminho de revogação do proprietário do recurso e caminho de revogação do cliente.
    • Caminho de revogação pelo proprietário do recurso — Utiliza o caminho de revogação padrão OAuth para permitir que o proprietário do recurso (usuário) revogue a permissão da aplicação.
    • Caminho de revogação do cliente — Utiliza o caminho de revogação padrão OAuth para permitir que o cliente (aplicativo) revogue um único token quando o aplicativo for encerrado.
    Para obter mais informações sobre como gerenciar tokens com o Native DataPower Gateway, consulte Gerenciamento de token com o DataPower Gateway.
  5. Para Externo, as configurações dependem do tipo de gateway, conforme a seguir:
    DataPower API Gateway:
    • Endpoint — o endereço URL do endpoint de gerenciamento externo.
    • TLS perfil do cliente (opcional) — o perfil do cliente do TLS para proteger as conexões.
    • Segurança – como proteger as conexões. O único método suportado é a autenticação básica.
    • Nome de usuário para autenticação básica (opcional) — o nome de usuário para autenticação.
    • Senha de autenticação básica (opcional) — a senha para autenticação.
    • Nome do cabeçalho de autenticação básica (opcional) — o cabeçalho da solicitação que contém a sequência de autenticação; caso você forneça tanto o nome do cabeçalho da solicitação quanto o nome de usuário ou a senha, será utilizado o método de autenticação por cabeçalho da solicitação.
    • Padrão de cabeçalho personalizado (opcional) — o padrão de nome dos cabeçalhos a ser usado para enviar informações adicionais ao serviço de gerenciamento externo.
    • Tipo de cache — o tipo de cache que determina se e como as respostas positivas devem ser armazenadas em cache. Se você selecionar Tempo de vida, especifique por quanto tempo manter as respostas no cache; o valor padrão é 900 segundos.
    • Interromper em caso de erro — se selecionado, o processamento será interrompido caso a conexão com o serviço de gerenciamento externo falhe.
    Observação: Para obter mais informações sobre o formato JSON exigido na troca de mensagens com o serviço de gerenciamento externo, consulte Formato JSON para troca de mensagens com o serviço de gerenciamento externo.
    DataPower Gateway (v5 compatible):
    • Terminal - insira a URL para um servidor da web externo que contém informações sobre tokens de acesso ou de atualização. API Connect chama a função ` URL ` para determinar se o token associado é confiável. Em seguida, o servidor de token verifica uma lista de bloqueios de token (um armazenamento de dados de tokens inativos) para assegurar que o token ainda seja válido. Se o token ainda for válido, o API Connect processamento continua. Para mais informações, consulte Revogação de tokens.
    • Perfil do cliente TLS - selecione um perfil TLS para verificar o terminal externo.
  6. Clique em Salvar quando concluído.

Resultados

Você pode usar o provedor OAuth para proteger as APIs de um catálogo.