Okta 2-legged OAuth 2.0 API Sicherheitsprofil im Jitterbit API-Manager

Einführung

Innerhalb eines Sicherheitsprofils können Sie Okta als OAuth 2.0-Identitätsanbieter konfigurieren, um API Verbrauchern mithilfe der Okta Authentifizierung Zugriff auf eine API zu gewähren.

Auf dieser Seite wird gezeigt, wie Sie die zweibeinige Okta-Authentifizierung mit einer benutzerdefinierten Jitterbit-, OData oder Proxy API konfigurieren und verwenden, indem Sie die folgenden Schritte ausführen:

1. Okta als Identitätsanbieter konfigurieren
   Konfigurieren Sie die Okta Instanz als Identitätsanbieter und rufen Sie die Okta Zielgruppe und den Okta-Bereich ab, um sie als Eingabe für die Konfiguration eines Sicherheitsprofils im API-Manager zu verwenden.
2. Konfigurieren Sie ein Sicherheitsprofil im API-Manager
   Konfigurieren Sie Okta als Identitätsanbieter im API-Manager.
3. Sicherheitsprofil im API-Manager zuweisen
   Weisen Sie das Sicherheitsprofil einer oder mehreren benutzerdefinierten Jitterbit-, OData oder Proxy-APIs zu.
4. Greifen Sie mit Okta Authentifizierung auf eine API zu
   API Verbraucher können dann die Okta Authentifizierung verwenden, um benutzerdefinierte Jitterbit-, OData oder Proxy-APIs zu nutzen, denen das Sicherheitsprofil zugewiesen ist.

Weitere Informationen finden Sie in der Okta-Dokumentation Übersicht über OAuth 2.0 und OpenID Connect.

Informationen zur Konfiguration des Okta 3-legged OAuth-Sicherheitsprofils finden Sie unter Okta 3-legged OAuth 2.0 API Sicherheitsprofil.

1. Konfigurieren Sie Okta als Identitätsanbieter

1. Melden Sie sich bei der Okta Developer Console an als Benutzer mit Administratorrechten.

2. Navigieren Sie in der Entwicklerkonsole von Okta zu Anwendungen > Anwendungen und klicken Sie dann auf die Schaltfläche App-Integration erstellen.

3. Wählen Sie im Abschnitt Anmeldemethode der Seite Neue App-Integration erstellen die Option API Dienste aus und klicken Sie dann auf Weiter.

   

4. Geben Sie im Abschnitt Allgemeine Einstellungen der Seite Neue Web-App-Integration einen App-Integrationsnamen ein und klicken Sie auf Speichern:

   

5. Nachdem Sie auf Speichern geklickt haben, werden die Client-ID und das Client-Geheimnis auf der Tab Allgemein unter Client-Anmeldeinformationen angezeigt. Bewahren Sie diese für die spätere Verwendung auf, da sie beim Generieren eines OAuth-Tokens in Schritt 4 erforderlich sind.

   

6. Befolgen Sie diese zusätzlichen Schritte, um einen benutzerdefinierten Bereich zu erstellen:

   1. Navigieren Sie zu API > Autorisierungsserver und wählen Sie den entsprechenden Server aus.

   2. Klicken Sie auf der Tab Bereiche des Autorisierungsservers auf Bereich hinzufügen.

   3. Geben Sie im Dialogfeld Bereich hinzufügen einen Namen ein (z. B. CustomScope) und füllen Sie die optionalen Felder nach Wunsch aus. Bewahren Sie den eingegebenen Namen für die spätere Verwendung auf, da er beim Konfigurieren des Sicherheitsprofils erforderlich ist. Wählen Sie unter Metadaten die Option In öffentliche Metadaten einschließen aus. Klicken Sie auf Erstellen:

      

2. Konfigurieren Sie ein 2-beiniges OAuth Flow 2.0 API Sicherheitsprofil

Befolgen Sie die Anweisungen zum Konfigurieren eines Okta 2-legged OAuth Flow in Sicherheitsprofilkonfiguration.

Wählen Sie während der Konfiguration OAuth 2.0 als Authentifizierungs-Typ und Okta als OAuth-Anbieter:

Geben Sie den Namen des Bereichs in das Feld OAuth-Bereich ein. Der Bereichsname wurde vom Benutzer beim Konfigurieren des Bereichs in Okta angegeben, wie im vorherigen Abschnitt Okta als Identitätsanbieter konfigurieren gezeigt.

Das Feld Autorisierte Domänen muss leer sein:

Geben Sie zu Testzwecken die OAuth-Client-ID und das OAuth-Client-Geheimnis ein (optional):

Geben Sie das Publikum ein. Das Okta Publikum finden Sie unter Sicherheit > API auf der Tab Einstellungen des Autorisierungsservers.

Bearbeiten Sie die OpenID-Erkennungs URL, die OAuth-Autorisierungs URL, die OAuth-Token URL und die Benutzerinfo-URL, um die Platzhalterdomäne (yourOktaDomain) und der Platzhalter-Autorisierungsserver-ID (yourAuthServerId) durch die für Ihre Okta-Instanz:

• yourOktaDomain: Ersetzen Sie durch die Okta-Domäne, auch Okta URL genannt. Siehe Finden Sie Ihre Okta-Domäne.
• yourAuthServerId: Ersetzen Sie durch die ID des Okta Autorisierungsservers. Siehe Autorisierungsserver erstellen.

Wenn die Feldeingabe beispielsweise konfiguriert ist, sollte sie der hier gezeigten ähneln:

Sobald die obigen Felder ausgefüllt sind, klicken Sie auf Test, um das Authentifizierungstoken zu validieren.

3. Zuweisen eines Sicherheitsprofils im API-Manager

Um das Sicherheitsprofil mit einer API zu verwenden, folgen Sie den Anweisungen zum Konfigurieren einer benutzerdefinierten API, OData Dienst oder Proxy-API und wählen Sie das mit der Okta OAuth 2.0-Authentifizierung konfigurierte Sicherheitsprofil aus.

4. Zugriff auf eine API mit Okta Authentifizierung

Nachdem Sie eine Custom API gespeichert und veröffentlicht haben, OData Dienst oder Proxy-API, ist die API per URL in der Anwendung zugänglich, die die API unter Verwendung der konfigurierten Authentifizierungsmethode aufruft.

Die Verwendung von 2-legged OAuth 2.0 ist ein zweistufiger Prozess:

1. Generieren Sie ein OAuth-Token, indem Sie entweder die Okta Client-ID und das Client-Geheimnis übergeben, die Sie oben in Schritt 1 erhalten haben in einem RFC6749 Client Credentials Access Token Request zum neuen 2-legged OAuth Token URL-Link, der in den Sicherheitsprofilen angezeigt wird-Seite oder indem Sie das OAuth-Token direkt von Okta beziehen.

2. Senden Sie das OAuth-Token im API Header unter Verwendung des in RFC6750 definierten Tokentyps „Bearer“.

Um die API zu nutzen, verwenden Sie den Link zum Kopieren der URL und verwenden Sie ihn in der aufrufenden Anwendung:

Wenn die API GET unterstützt, können Sie die URL auch in einen Webbrowser einfügen, um die API manuell zu nutzen.

Wenn 2-legged OAuth Flow verwendet wird, ruft das API Gateway das Zugriffstoken ab und die Authentifizierung erfolgt automatisch.

Wenn die Authentifizierung erfolgreich ist, wird die erwartete Payload im Webbrowser angezeigt.