Saltar al contenido

Perfil de seguridad de API de OAuth 2.0 de Okta de 2 patas en Jitterbit API Manager

Introducción

Dentro de un perfil de seguridad, se puede configurar Okta como un proveedor de identidad OAuth 2.0 para proporcionar a los consumidores de API acceso a una API utilizando la autenticación de Okta.

Esta página muestra cómo configurar y usar la autenticación de 2 patas de Okta con una API personalizada de Jitterbit, OData o proxy siguiendo estos pasos:

  1. Configurar Okta como un proveedor de identidad
    Configurar la instancia de Okta como un proveedor de identidad y obtener el Público y el Alcance de Okta para usar como entrada para configurar un perfil de seguridad en API Manager.
  2. Configurar un perfil de seguridad en API Manager
    Configurar Okta como el proveedor de identidad en API Manager.
  3. Asignar un perfil de seguridad en API Manager
    Asignar el perfil de seguridad a una o más APIs personalizadas de Jitterbit, OData o proxy.
  4. Acceder a una API con autenticación de Okta
    Los consumidores de API podrán utilizar la autenticación de Okta para consumir APIs personalizadas de Jitterbit, OData o proxy a las que se haya asignado el perfil de seguridad.

Para información adicional, consulte la documentación de Okta Descripción general de OAuth 2.0 y OpenID Connect.

Para la configuración del perfil de seguridad de OAuth de 3 patas de Okta, consulte Perfil de seguridad de API de OAuth 2.0 de Okta de 3 patas.

1. Configurar Okta como un proveedor de identidad

  1. Inicie sesión en el Consola de Desarrolladores de Okta como un usuario con privilegios administrativos.

  2. En la barra lateral de la Consola de Desarrolladores de Okta, navegue a Aplicaciones > Aplicaciones, luego haga clic en el botón Crear Integración de Aplicación.

  3. En la sección de Método de inicio de sesión de la página Crear una nueva integración de aplicación, selecciona Servicios API y luego haz clic en Siguiente.

    attachment

  4. En la sección de Configuración general de la página Nueva integración de aplicación de Servicios API, ingresa un nombre de integración de aplicación y haz clic en Guardar:

    attachment

  5. Después de hacer clic en Guardar, se muestran el ID de cliente y un secreto de cliente generado en la pestaña General bajo Credenciales de cliente. Retén estos datos para uso posterior, ya que serán necesarios al generar un token OAuth en el paso 4.

    attachment

  6. En la pestaña General bajo Configuración general, haz clic en Editar, desactiva Requerir demostrar prueba de posesión (DPoP) en las solicitudes de token, y haz clic en Guardar:

    attachment

  7. Sigue estos pasos para crear un alcance:

    1. En la barra lateral de la Consola de desarrolladores de Okta, navega a Seguridad > API > Servidores de autorización y selecciona el servidor apropiado. Retén el URI del emisor del servidor para uso posterior.

    2. En la pestaña Alcances del servidor, haz clic en Agregar alcance.

    3. En el cuadro de diálogo Agregar alcance, ingresa un Nombre (como CustomScope) y completa los campos opcionales según desees. Retén el Nombre que ingreses para uso posterior, ya que será necesario al configurar el perfil de seguridad. Bajo Metadatos, selecciona Incluir en metadatos públicos. Haz clic en Crear:

      attachment

  8. Sigue estos pasos para crear una política de acceso y una regla:

    1. Navega de regreso al mismo servidor de autorización utilizado al crear un alcance.

    2. En la pestaña de Políticas de Acceso del servidor, haz clic en Agregar Política si aún no existe una.

    3. En el cuadro de diálogo Agregar Política, ingresa un Nombre (como CustomPolicy) y completa los campos opcionales según desees. Haz clic en Crear Política:

      attachment

    4. Haz clic en Agregar regla.

    5. En el cuadro de diálogo Agregar Regla, ingresa un Nombre de Regla (como CustomRule) y completa los campos opcionales según desees. Los valores predeterminados funcionan con Jitterbit. Haz clic en Crear regla:

      attachment

2. Configurar un perfil de seguridad de API de flujo OAuth 2.0 de 2 patas

Configura estos campos para un perfil de seguridad:

okta 2-legged

  • Tipo de autenticación: Selecciona OAuth 2.0.

  • Proveedor de OAuth: Selecciona Okta.

  • Flujo OAuth de 2 patas: Usa el interruptor para habilitar este campo.

  • Alcance de OAuth: Ingresa el nombre del alcance que especificaste al configurar el alcance en Okta. Consulta Configurar Okta como un proveedor de identidad para más información.

  • Dominios autorizados: Deja este campo vacío.

  • ID de cliente OAuth: Opcionalmente ingresa el ID de cliente del paso 1 para pruebas.

  • Secreto de cliente OAuth: Opcionalmente ingresa el secreto de cliente del paso 1 para pruebas.

  • URL de descubrimiento de OpenID: Reemplaza {{SUBDOMAIN}} y yourAuthServerId con el subdominio de Okta y el ID del servidor de la URI de Emisor del servidor de autenticación de Okta elegido del paso 1. Por ejemplo, https://example-1234.okta.com/oauth2/default se convierte en https://example-1234.okta.com/oauth2/default/.well-known/openid-configuration.

  • Audiencia: Ingrese la audiencia de Okta. Se puede encontrar en Seguridad > API en la pestaña Configuración del servidor de autorización.

  • URL de autorización OAuth: Reemplace {{SUBDOMAIN}} y yourAuthServerId con el subdominio de Okta y el ID del servidor de la URI del emisor del servidor de autenticación de Okta elegido de paso 1. Por ejemplo, https://example-1234.okta.com/oauth2/default se convierte en https://example-1234.okta.com/oauth2/default/v1/authorize.

  • URL de token OAuth: Reemplace {{SUBDOMAIN}} y yourAuthServerId con el dominio de Okta y el ID del servidor de la URI del emisor del servidor de autenticación de Okta elegido de paso 1. Por ejemplo, https://example-1234.okta.com/oauth2/default se convierte en https://example-1234.okta.com/oauth2/default/v1/token.

  • URL de información del usuario: Reemplace {{SUBDOMAIN}} y yourAuthServerId con el subdominio de Okta y el ID del servidor de la URI del emisor del servidor de autenticación de Okta elegido de paso 1. Por ejemplo, https://example-1234.okta.com/oauth2/default se convierte en https://example-1234.okta.com/oauth2/default/v1/userinfo.

  • Probar conectividad: Haga clic para validar el token de autenticación.

3. Asignar un perfil de seguridad en el Administrador de API

Para usar el perfil de seguridad con una API, siga las instrucciones para configurar una API personalizada, servicio OData o API proxy y seleccione el perfil de seguridad configurado con autenticación OAuth 2.0 de Okta.

4. Acceder a una API con autenticación de Okta

Una vez que haya guardado y publicado una API personalizada, servicio OData o API proxy, su API es accesible por URL en la aplicación que llama a la API utilizando el método de autenticación configurado.

Usar OAuth 2.0 de 2 patas es un proceso de dos pasos:

  1. Generar un token OAuth ya sea pasando el ID de cliente de Okta y el secreto de cliente obtenidos arriba en el paso 1 en una Solicitud de Token de Acceso de Credenciales de Cliente RFC6749 al nuevo enlace de URL de Token OAuth de 2 patas que se muestra en la página de Perfiles de Seguridad o obteniendo el token OAuth directamente de Okta.

  2. Enviar el token OAuth en el encabezado de la API utilizando el tipo de token "bearer" definido en RFC6750.

Para consumir la API, utiliza el enlace para Copiar URL y úsalo dentro de la aplicación que realiza la llamada:

copy url

Si la API admite GET, también puedes pegar la URL en un navegador web para consumir la API manualmente.

Cuando se utiliza el Flujo OAuth de 2 patas, el gateway de la API obtiene el token de acceso y la autenticación se realiza automáticamente.

Si la autenticación es exitosa, la carga útil esperada se muestra en el navegador web.