Gerenciando o acesso à API

Editar online

Se um desenvolvedor constrói um aplicativo que usa uma ou mais das funções Verify , o aplicativo deve ter direito a chamar as APIs Verify apropriadas. Registre o aplicativo in-house como um cliente de API de aplicativos em acesso API para designá-lo um ID de cliente e um segredo exclusivos.

Antes de começar

  • Deve-se ter permissão administrativa para concluir esta tarefa.
  • Faça login no console de administração IBM® Verify como um Administrador.
Observação: Somente usuários com as permissões adequadas podem visualizar o segredo do cliente. Para obter mais informações, consulte Atualizações de segurança para direitos.

Sobre esta tarefa

Você pode conceder acesso à API ao seu aplicativo ao criá-lo ou posteriormente, usando a opção de edição. Os clientes da API podem ser criados para o aplicativo e cada cliente da API pode ter um conjunto diferente de autorizações de acesso à API.

Também é possível implementar um filtro de IP para que a emissão e o uso do token possam ser limitados ou excluir determinados intervalos de endereço IP.

Para os aplicativos OIDC, as autorizações de acesso à API para o cliente SSO também podem ser configuradas. Esses tokens são limitados para executar ações que o usuário que faz login no aplicativo tem direito a atuar em Verify.

Procedimento

  1. Selecione acesso à API.
  2. Crie o cliente da API do aplicativo.
    1. Selecione Adicionar cliente API.
    2. Especifique as seguintes informações para o cliente da API:
      Tabela 1. Cliente da API do aplicativo
      Informações Descrições
      Nome Especifique o nome do cliente da API.
      Nota: Somente caracteres alfanuméricos e os seguintes caracteres especiais são permitidos:
      • -
      • .
      • _
      Ativado

      Indica se o cliente da API está ativado ou desativado.

      Um cliente de API Ativado ativado pode chamar as APIs às quais ele tem autorização de acesso.

      Um Desativado cliente API desativado não pode chamar nenhuma API, incluindo aquelas APIs às quais tem direito de acesso.
      Nota:
      • Pode levar até 1 minuto para que esta configuração entre em vigor.
      • Se o cliente da API tem um token de acesso válido existente, ele pode continuar a chamar as APIs. Os tokens de acesso têm um período de validade limitado. O token expira em 2 horas. Quando o token de acesso expira, o cliente da API não pode mais chamar as APIs.
      ID do Cliente

      Identificador exclusivo do cliente da API.

      Essa informação é gerada automaticamente e exibida na lista Clientes da API depois de salvar o cliente da API.
      Segredo do cliente

      Usado com o ID do cliente para verificar a identidade do cliente da API.

      É um segredo que somente o aplicativo e o servidor de autorizações devem conhecer.

      Essas informações são geradas automaticamente depois que você salva a API do cliente. Visualize os detalhes do cliente da API.
      Método de autenticação de cliente Indica o método de autenticação do cliente para o cliente API:
      Verificar suporta os métodos de autenticação de cliente a seguir:
      • Default(Seleção padrão)
      • Client secret basic
      • Client secret POST
      • Private key JWT
      • TLS mútuo
        Observação: o recurso de comunicação bidirecional ( TLS ) não está disponível para aplicativos personalizados
      Atributo de autenticação do cliente TLS Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado.
      O atributo de certificado que será usado para autenticação.
      • DN do assunto
      • DNS de SAN
      • URI de SAN
      • IP de SAN
      • Endereço de e-mail SAN
      Valor do atributo de autenticação do cliente TLS Esta opção é exibida apenas quando o método de autenticação do cliente Mutual TLS é selecionado.

      O valor do atributo no certificado que será usado para autenticação.
      Tokens de acesso vinculados a certificados
      Nota: Os tokens de acesso ligados ao certificado não estão disponíveis para aplicações personalizadas
      		 Indica se os tokens gerados serão vinculados ao certificado. Para obter mais informações sobre tokens de acesso vinculados ao certificado, consulte Autenticação de cliente de TLS mútuo do OpenID Connect e token de acesso vinculado ao certificado.
      Validar o JTI de asserção de cliente Indica se o JTI no JWT de asserção de cliente é validado para uso único. Esta opção é exibida apenas quando o JWT de segredo do cliente ou o método de autenticação de cliente de JWT de chave privada é selecionado.
      Chaves permitidas de verificação de assinatura Os IDs de chave de verificação de assinatura que podem ser usados para verificar o JWT de asserção de cliente. Esta opção é exibida apenas quando o método de autenticação de cliente de JWT de chave privada é selecionado.
      Nota: Você pode especificar manualmente a chave de verificação de assinatura. Mais de uma chave de verificação de assinatura pode ser especificada.
      URI do JWKS O URI no qual a parte dependente publica suas chaves públicas no formato JSON Web Keys (JWKs). Esse URI é usado para verificação de assinatura do JWT. O sistema pode rejeitar um URI do JWKS inacessível ou não responsivo. O sistema também pode rejeitar o URI do JWKS se o tamanho JWKS for muito grande. Se a parte dependente não publicar um URI do JWKS, uma chave pública poderá ser incluída no sistema na forma de um certificado X509. Veja Gerenciando certificados. O `Nome Fácil` associado ao certificado público é o valor do cabeçalho do ID da chave (kid) do JWT.
  3. Configure o token de acesso e a validação do token de atualização para limitar o tempo de acesso não autorizado quando esses tokens forem roubados.

    O token de acesso é usado para autorizar o acesso ao recurso protegido. Após o token de acesso expirar, a autorização será revogada.

    Tabela 2. Configurações do token
    Campo Descrição
    Validade do token de acesso (s)

    Configura o tempo em segundos após o qual o token de acesso expira.

    Configure uma validação do token de acesso para limitar o tempo de acesso de um invasor ao recurso com o token roubado quando o aplicativo cliente estiver comprometido.

    Somente números inteiros positivos são permitidos.

    O valor padrão é de 7200 segundos. O valor mínimo permitido é de 1 segundo e o valor máximo é de 2147483647 segundos.
    Acessar Formato de Token Indica se o token de acesso é produzido como uma sequência opaca, que é aDefaultconfiguração, ou no formato JWT.
  4. Especifique as informações a seguir se você quiser implementar um filtro de IP para se certificar de que o ID do cliente da API e o segredo sejam distribuídos com segurança.
    Tabela 3. Configurações do filtro de IP
    Campo Descrição
    Ativar filtragem de IP

    Indica se o filtro de IP está ativado ou desativado.
    Permitir lista. Lista de Negação

    Indica o tipo de filtro e se é uma lista de permissões ou de rejeições.

    Necessário se Ativar filtragem de IP estiver ativado.
    Filtros de IP

    Lista de filtros de IP.

    Necessário se Ativar filtragem de IP estiver ativado.

    Os filtros de IP estão na forma de um único endereço IP, intervalo de IP ou máscara de sub-rede IP. Ambos, IPv4 e IPv6, são suportados. Por exemplo: 192.0.2.55, 192.0.2.55-192.0.2.61, 192.0.2.55/24, 2001:db8::1, 2001:db8::1-2001:db8::ff, 2001:db8:1234::/48
  5. Especifique os atributos de assinatura para o token de ID e para os tokens de acesso em formato JWT. A parte dependente usa a assinatura para verificar a integridade e a autenticidade das solicitações do usuário que estão contidas no token e o OpenID Connect provedor de identidade que assinou o token.
    Nota:

    As opções de assinatura estão disponíveis apenas para aplicativos personalizados.

    Tabela 4. Opções de assinatura
    Campo Descrição
    Algoritmo de assinatura

    O algoritmo que Verify usa para assinar os tokens de acesso ID token e JWT-format. O algoritmo deve corresponder a aquele que a festa de revezamento registrado com Verify.

    Escolha entre os seguintes algoritmos de hash para verificar a assinatura:
    • HS256
    • HS384
    • HS512
    • RS256 (valor padrão)
    • RS384
    • RS512
    Nota: Os algoritmos HS não são exibidos quando você optou por não gerar um segredo de cliente.
    Certificado de assinatura

    Essa opção é exibida somente se você selecionou qualquer um dos algoritmos de assinatura RS.

    Use este certificado para assinar o token de ID e os tokens de acesso em formato JWT durante a conexão única-on.

    A seleção padrão refere-se ao certificado pessoal padrão que você configurou em Configuração > Certificados > Certificados pessoais.
  6. Selecione a caixa de seleção Restrito custom scopes .
    Ao selecionar Restringir escopos customizados, os escopos concedidos ao cliente no final do fluxo ficarão restritos aos escopos especificados nesta seção. Digite o nome do escopo customizado que você deseja conceder e uma descrição. O nome do escopo refere-se ao escopo OAuth2/OIDC que é solicitado por uma parte/cliente dependente. A descrição é uma explicação fácil para o escopo. Selecione para conceder mais escopos.
  7. Selecione as APIs às quais você deseja conceder acesso. Consulte “Direitos de acesso” para obter mais informações.
    Se Selecionar todos estiver configurado para Desativado, selecione as APIs às quais você deseja conceder acesso para o cliente. Se Selecionar todos estiver configurado para Ativado, será concedido para o cliente acesso a todas as APIs. No entanto, é possível limpar as caixas de seleção de quaisquer APIs às quais você não deseja que o cliente tenha acesso.
    Nota:
    • É possível criar um cliente da API que não tenha permissão inicial para chamar nenhuma API. É possível editá-lo posteriormente para conceder acesso à API específica.
    • Somente as APIs que são relevantes para seu plano de assinatura estão disponíveis para seleção.
    • Para aplicativos OIDC, um cliente padrão com um nome de cliente que é o mesmo que o nome do aplicativo está na lista de clientes da API para esse aplicativo. Ele não pode ser excluído, a menos que o aplicativo seja excluído ou alternado para um método de conexão diferente.
  8. Selecione Salvar.
    O ID do cliente e o Segredo do cliente são gerados e o cliente da API do aplicativo é criado.
  9. Visualize os detalhes do cliente da API.
    • Role ou use o campo de procura para localizar o cliente da API. Qualquer cliente que corresponda à sua entrada de procura é exibido.
    • Selecione o cliente da API cujas informações você deseja visualizar. Os Detalhes do Cliente API são exibidos.
    • Passe o mouse sobre o cliente da API e selecione o Editar ícone quando ele aparecer. A caixa de diálogo Editar cliente da API é exibida.
      Use as opções a seguir:
      • Selecione Copiar para a área de transferência para copiar o ID do cliente ou o segredo para a área de transferência.
      • Selecione Mostrar para visualizar o segredo do cliente.
      • Selecione Ocultar para ocultar o segredo do cliente.
  10. Editar a API do cliente.
    1. Role até localizar o cliente da API.
    2. Passe o mouse sobre o cliente da API e selecione o Editar ícone quando ele aparecer.
      A caixa de diálogo Editar cliente da API é exibida.
    3. Edite as informações.
      Se você estiver editando um aplicativo existente, será possível usar as opções de segredo do cliente a seguir:
      • Selecione Mostrar para visualizar o segredo do cliente.
      • Selecione Ocultar para ocultar o segredo do cliente.
      • Selecione Copiar para copiar o ID do cliente ou o segredo para a área de transferência.
      • Selecione Lista para visualizar os segredos de cliente atualizados.
        • Selecione um ou mais segredos de cliente rotacionados da lista e clique em Excluir para excluí-los.
      • Selecione Gerar novamente para gerar um novo segredo de cliente. Use essa opção se você achar que o segredo do cliente está comprometido. Se você gerar novamente o segredo do cliente, deverá atualizar o segredo do cliente em todos os clientes do OAuth para o aplicativo.
        • Marque a caixa de seleção Manter segredo atual para adicionar o segredo do cliente atual à lista de segredos do cliente alternados.
        • Se a caixa de seleção Manter segredo atual estiver marcada, escolha a descrição do segredo do cliente e o tempo de expiração (na hora local do navegador). Se nenhum tempo de expiração for selecionado, será aplicada a duração do segredo rotativo do locatário definida nas configurações do aplicativo.
        • Os segredos de cliente rotacionados são hashados e não podem mais ser recuperados em texto simples, mas ainda podem ser usados até a data de expiração selecionada.
        • Após a confirmação, o segredo do cliente é imediatamente alterado. O novo segredo do cliente é exibido na tela.
    4. Selecione Salvar.
  11. Excluir a API do cliente.
    1. Role até localizar o cliente da API.
    2. Escolha uma das opções a seguir:
      • Selecione um cliente da API. Quando a pane Detalhes for exibida, selecione Excluir.
      • Para excluir vários clientes da API, marque as caixas de seleção próximas dos clientes da API e selecione Excluir.
    3. Selecione Excluir.
    4. Confirme que você deseja excluir os clientes da API selecionados. Os clientes da API são excluídos permanentemente quando o aplicativo é salvo.