Criando um registro do usuário de URL de autenticação

Editar online

Um registro do usuário da URL de Autenticação fornece um mecanismo simples para a autenticação de usuários referenciando um provedor de identidade customizado.

Sobre essa tarefa

Este tópico descreve como criar um novo registro de usuário de URL de autenticação como um recurso na sua organização. Após o registro do usuário ser criado, o registro do usuário deve ser incluído no catálogo do Sandbox.

É necessário ter uma das funções a seguir para configurar registros do usuário:
  • Administrador
  • Proprietário da organização
  • Função customizada com oSettings: Managepermissões
Nota:
API Connect emite uma chamada HTTP GET para o ponto de extremidade URL autenticação, enviando a credencial do usuário. O exemplo a seguir mostra uma chamada feita a um provedor de identidade de URL de autenticação com um terminal definido como https://myauthurl.example.com/user/authenticate:
GET /user/authenticate HTTP/1.1
 Host: myauthurl.example.com
 Authorization: Basic c3Bvb246Zm9yaw=
Se o terminal da URL de autenticação retornar um código de status HTTP de 200, o usuário foi autenticado com sucesso. Um código de status HTTP diferente de 200 indica uma tentativa de login com falha. API Connect encaminha qualquer cabeçalho HTTP que comece com X- (com exceção de X-Client-Certificate ) e Cookie para o provedor de identidade URL de autenticação, para ajudar na decisão de autenticação; por exemplo:
GET /user/authenticate HTTP/1.1
 Host: myauthurl.example.com
 Authorization: Basic c3Bvb246Zm9yaw=
 X-Forwarded-For: 8.8.9.9
 X-Custom-Header-From-Customer: special
 Cookie: MyCookie=VGhpc0lzV2lja2VkQW1hemluZw==
Quando um usuário recebe o formulário para concluir seu API Connect cadastro, os campos preenchidos automaticamente dependem dos campos retornados na resposta do provedor de identidade URL. Se qualquer um dos campos a seguir for retornado, eles serão preenchidos previamente no formulário de registro:
  • username
  • email
  • first_name
  • last_name
Se o campo username não for retornado, o formulário de registro exibirá o nome do usuário que foi fornecido pelo usuário. O recurso de pré-preenchimento requer que a resposta do provedor de identidade da URL de autenticação satisfaça as condições a seguir:
  • O Content-Type deve ser application/json.
  • O formato do corpo de resposta deve ser JSON.
Uma resposta de amostra é a seguinte:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "username":"myuser",
  "email":"myuser@example.com",
  "first_name":"My",
  "last_name":"User"
}

Procedimento

  1. No Gerenciador de API, clique em Recursos Recursos.
  2. Selecione Registros do usuário para ver a lista de registros do usuário atuais em sua organização
  3. Draft comment: felbin.james@ibm.com
    As part of the iPass documentation update, we're adding the audience tag. Once the portal becomes available in iPass, we can delete the Consumer Catalog and remove the audience filter from the Developer Portal. https://jsw.ibm.com/browse/APICON-10493
    Clique em Criar na seção Registros de usuários.
    Importante: Não compartilhe registros de usuários entre o API Manager e o Consumer Catalog, nem entre sites do Consumer Catalog, quando a integração por autoatendimento estiver ativada ou houver previsão de exclusão de contas em qualquer um dos sites. Você deve criar registros de usuários separados para eles, mesmo que esses registros apontem para o mesmo provedor de autenticação de back-end (por exemplo, um servidor LDAP ). Essa separação permite que o Catálogo do Consumidor mantenha endereços de e-mail exclusivos em todo o catálogo, sem que o API Manager precise seguir o mesmo requisito. Isso também evita problemas decorrentes da exclusão de contas pelo usuário no Catálogo do Consumidor, o que acaba afetando seu acesso ao Gerenciador de API.
  4. Selecione Authentication URL User Registry e insira os seguintes parâmetros:
    Campo Descrição
    Título (obrigatório) Insira um nome descritivo para usar na tela.
    Nome (obrigatório) O nome usado nos comandos da CLI. O nome é gerado automaticamente. Para obter detalhes sobre os comandos da CLI para gerenciar registros de usuários, consulte a documentação de referência da CLI do kit de ferramentas.
    Sumarização (opcional) Insira uma breve descrição.
    Exibir Nome (obrigatório) O nome que é exibido para seleção pelo usuário ao efetuar login em uma interface com o usuário ou ativar sua conta do API Manager .
    Nota: O Catálogo do Consumidor utiliza o Title dos Registros de Usuários ao exibi-los na página de login, em vez do Display Name.
    URL (obrigatório) Insira a URL para o serviço de autenticação. Ao estabelecer a autenticação, API Connect faz uma chamada GET para o URL. A chamada inclui o nome do usuário e a senha coletados do usuário no cabeçalho de autorização. Outro200 OKou401 Unauthorizedserá devolvido.
    Perfil do cliente TLS (opcional) Selecione um Perfil do cliente TLS para permitir a autenticação segura com um servidor da web específico.
    Distinção de maiúsculas e minúsculas Para assegurar a manipulação adequada da capitalização do nome do usuário, deve-se assegurar que sua configuração com distinção entre maiúsculas e minúsculas aqui corresponda à configuração em seu servidor de URL de autenticação de back-end:
    • Apenas selecione Distinção entre maiúsculas e minúsculas se o seu servidor de back-end suportar distinção entre maiúsculas e minúsculas.
    • Não selecione Distinção entre maiúsculas e minúsculas se o seu servidor de back-end não suportar distinção entre maiúsculas e minúsculas.
    Observação: O Catálogo do Consumidor não suporta nomes de usuário que diferenciem maiúsculas de minúsculas.
    Nota: depois que pelo menos um usuário tiver sido integrado no registro, não será possível mudar essa configuração.
    E-mail necessário Marque esta caixa de seleção se um endereço de e-mail for necessário como parte de um processo de integração do usuário Se selecionado, o provedor de identidade de origem deverá fornecer o endereço de e-mail como parte do processo de autenticação durante a integração.
    Observação: por padrão, não é necessário fornecer um endereço de e-mail para a integração com o Cloud Manager ou o API Manager, mas ele é obrigatório para a integração com o Consumer Catalog.
    Endereço de e-mail exclusivo Marque esta caixa de seleção se os endereços de email tiverem que ser exclusivos dentro do registro do usuário
    Observação: todas as contas no Catálogo do Consumidor, inclusive entre diferentes registros de usuários para o mesmo site, devem ter um endereço de e-mail exclusivo, incluindo a conta de administrador do site.
  5. Clique em Salvar.
  6. Inclua o registro do usuário no catálogo do Sandbox. Consulte Criando e configurando catálogos.

Resultados

O registro do usuário pode ser usado para Autenticação básica na Definição de segurança para uma API. Para obter mais informações, consulte Definindo esquemas de segurança de autenticação básica.