管理配置 STS 客户端

在线编辑

使用安全性令牌服务 (STS) 客户机来交换令牌。 在 IBM® Verify中创建和管理 STS 客户机时,请遵循 OAuth 令牌交换的规范。 您可以使用 OAuth 作为受保护资源来验证第三方应用程序。

准备工作

  • 以管理员身份登录到 IBM Verify 管理控制台。
  • 创建要由 STS 客户机使用的定制令牌类型。 参见管理自定义令牌类型

关于此任务

配置 STS 客户机以进行令牌交换。 客户机通过使用令牌扩展授权类型机制向授权服务器的令牌端点请求安全性令牌。 使用 Verify 作为身份提供者构建的外部应用程序可以接受使用 OAuth 2.0 访问令牌和不同认证方法进行认证的 API REST 请求。 更多信息,请参见 https://www.rfc-editor.org/rfc/rfc8693.html

过程

  1. 选择应用程序 > STS 客户端
  2. 选择 添加 STS 客户机
  3. 提供常规信息。
    1. 可选: 提供客户ID。
      如果未提供客户机标识,那么将在完成设置时创建标识。
    2. 为 STS 客户机提供唯一名称。
    3. 保持选中 已启用 复选框。
      您可以启用或禁用此 STS 客户机。
    4. 允许为 SSO 会话交换访问令牌。 如果选择了 缺省值 ,那么 OIDC 应用程序常规设置将确定是否可以为 SSO 会话交换访问令牌。
  4. 选择 下一步
  5. 选择客户机认证方法。
    此设置确定如何认证客户机。
    • 对于默认、基本客户机密文和客户机密文 POST 方法,客户机密文会在完成设置时自动生成。
    • 对于专用密钥 JWT 方法,必须选择客户机断言签名算法和允许的签名验证密钥。 您还可以选择 验证客户机断言 JTI 以验证客户机断言。
    • 对于 Mutual TLS 方法,必须提供 TLS 客户机认证属性和 TLS 客户机认证属性值。
    注: 缺省客户机认证方法为 default

    如果保留为缺省值,那么同时允许客户机私钥 basic 和 POST。 如果此客户机是公共客户机,那么不允许使用客户机私钥(基础)和 POST。 如果依赖方支持,请使用专用密钥 JWT 或相互 TLS 作为配置。 有关相互 TLS 客户机认证的更多信息,请参阅 OpenID Connect 相互 TLS 客户机认证和证书绑定访问令牌

  6. 选择 下一步
  7. 为主题令牌和请求的令牌选择允许的令牌类型。
    1. 可选: 为参与者令牌选择允许的令牌类型。
    表 1. 代币交易所
    字段 描述
    主题令牌 主题令牌的令牌类型,它表示请求令牌的参与方的身份。
    参与者令牌 参与者令牌的令牌类型,它表示要向其授予已发放令牌的访问权的参与方的身份。
    已请求令牌 可以请求在令牌交换过程中生成的令牌的类型。
    客户机组 OpenID Connect 客户机组的列表。 此客户机生成的令牌可用作同一组中的令牌交换的主题令牌。 如果此列表为空,那么任何客户机都可以使用从此客户机生成的令牌作为令牌交换的主体令牌。
    要创建用于客户端的自定义令牌类型,请参阅 ManagingCreating 自定义令牌类型
  8. 选择 下一步
  9. 选择或指定请求的令牌设置。
    表 2. 请求的令牌设置
    字段 描述
    访问令牌格式 指定访问令牌的格式。 以下选项可用:

    • 缺省值

    • JWT
    访问令牌到期时间 (秒)

    这用于设置访问令牌到期之前的时间长度(以秒计)。

    设置访问令牌到期时间以限制攻击者在客户端应用程序受到威胁时可以使用被盗令牌访问资源的时间。

    只允许使用正整数。

    缺省值为 3600 秒。 允许的最小值为 1 秒,最大值为 2147483647 秒。
    签名算法 Verify 用于对标识令牌进行签名的算法。 该算法必须与依赖方向 Verify 注册的算法匹配。 从以下散列算法中选择以验证签名:
    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
    注意:
    • 如果选择了 ES256 签名算法,那么证书必须是具有 P-256 的 ECDSA。
    • 如果选择了 ES384 签名算法,那么证书必须是具有 P-384 的 ECDSA。
    • 如果选择了 ES512 签名算法,那么证书必须具有 P-521 的 ECDSA。
    对证书进行签名 选择用于签署标识令牌的证书。

    默认选项指的是您在 “安全 > 证书 ”中配置的默认设置。

    .
    加密算法 用于加密或确定内容加密密钥 (CEK) 值的加密算法。 支持以下算法。
    • RSA-OAEP
    • RSA-OAEP-256
    内容算法 用于在纯文本上认证加密以生成密文和认证标记的内容加密算法。 支持以下算法:
    • A128GCM
    • A192GCM
    • A256GCM
    加密证书 输入值或从已上载到租户的签署者证书列表中进行选择。
    注意: 有关上传签名者证书的说明,请参阅《 证书管理》。
    JWKS URI 令牌签发者或依赖方以 JSON Web 密钥集 (JWKS) 格式发布其公用密钥的 URI。 此 URI 将用于 JWT 签名验证或加密。 系统可以拒绝无法访问或无响应的 JWKS URI。 如果 JWKS 大小过大,那么系统还可以拒绝 JWKS URI。 如果令牌发布者未发布 JWKS URI ,那么可以将公用密钥 (以 X509 证书的形式) 添加到系统中。 参见管理证书。 与公共证书关联的“友好名称”是 JWT 的密钥标识 (kid) 标头的值。 例如,
    https://{yourDomain}/.well-known/jwks.json
  10. 选择 下一步
  11. 选中 "拥有证明" 设置的复选框。
    表 3. 持有证明设置
    字段 描述
    证书绑定的访问令牌 指示生成的令牌是否为证书绑定的令牌。 有关绑定证书的访问令牌的更多信息,请参阅 OpenID Connect 相互 TLS 客户机认证和证书绑定访问令牌
    强制执行 DPoP-bound访问令牌。 指示令牌请求是否需要 DPoP 头。
    验证 DPoP JWT 的 JTI 指示是否验证 DPoP JWT 中的 JTI 以供单次使用。
    DPoP JWT 的签名算法

    DPoP JWT 的预期签名算法。

    从以下算法中进行选择。

    • RS256
    • RS384
    • RS512
    • PS256
    • PS384
    • PS512
    • ES256
    • ES384
    • ES512
  12. 选择 下一步
  13. 为每个端点配置请求映射和响应映射。
    1. 配置自省映射以添加和修改从自省端点返回的属性。
      参见 OpenID 连接 introspect、ID token 和用户信息映射
    2. 配置用户信息和标识令牌属性映射,以添加和修改从 userinfo 端点返回的属性以及标识令牌中的属性。
      参见 OpenID 连接 introspect、ID token 和用户信息映射
  14. 选择 下一步
  15. 限制定制作用域
    OIDC/OAuth 客户机可以在受支持的 OIDC/OAuth 授权流中请求定制作用域。 如果启用了缺省设置限制定制作用域,那么在流程结束时授予客户机的作用域将限制为本部分中指定的作用域。 如果 限制定制作用域 不可用,那么在流完成时将授予所请求的任何定制作用域。
    注: 不能限制标准作用域 openidprofileemailphoneaddress
    1. 确保选中 限制定制作用域 复选框。
    2. 输入您想要授予的定制作用域的名称和描述。
      作用域名称指的是信赖方/客户机所请求的 OAuth2/OIDC 作用域。 描述是对作用域的通俗解释。
      这将显示另一个作用域字段集。
    3. 对于要授予的每个定制作用域重复上一步。
  16. 选择要授予访问令牌的用户和非用户许可权。
    限制 API 访问是缺省设置。 要授予 API 访问权,请执行以下步骤。 如果取消选中限制 API 访问权复选框,那么将向令牌授予一组缺省权利。 参见默认登录令牌 API 权限
  17. 选择 完成设置