Voraussetzungen für die Tokenauthentifizierung

Sie müssen diese Aufgaben ausführen, bevor Sie die Authentifizierung und Autorisierung für API-Deployments mit JSON-Web-Token (JWTs) aktivieren können.

• Ein OAuth2-konformer Identitätsprovider (z.B. OCI IAM mit Identitätsdomains, Oracle Identity Cloud Service (IDCS), Auth0) muss bereits dafür eingerichtet worden sein. JWTs für Benutzer, die auf das API-Deployment zugreifen dürfen, werden ausgegeben.
• Wenn Sie benutzerdefinierte Claims in Autorisierungs-Policys verwenden möchten, muss der Identitätsprovider so eingerichtet werden, dass er den ausgestellten JWTs die benutzerdefinierten Claims hinzufügt.

Weitere Informationen finden Sie in der Dokumentation des Identitätsproviders (z.B. in der Dokumentation zu OCI IAM mit Identitätsdomains, in der Oracle Identity Cloud Service-(IDCS-)Dokumentation und in der Dokumentation zu Auth0).

So validieren Sie ein JWT mit einem entsprechenden öffentlichen Prüfschlüssel, der vom ausstellenden Identitätsprovider bereitgestellt wird:

• Als Signaturalgorithmus zur Generierung der JWT-Signatur muss RS256, RS384 oder RS512 verwendet werden.
• Der öffentliche Prüfschlüssel muss mindestens 2048 Bit lang sein und darf 4096 Bit nicht überschreiten.

So validieren Sie Token mit dem Introspektionsendpunkt eines Autorisierungsservers:

• Sie müssen bereits eine Clientanwendung mit dem Autorisierungsserver erstellt und registriert haben, um Clientzugangsdaten (Client-ID und Client Secret) abzurufen. Weitere Informationen finden Sie in der Dokumentation des Autorisierungsservers (z.B. in der Dokumentation zu OCI IAM mit Identitätsdomains, in der Oracle Identity Cloud Service-(IDCS-)Dokumentation und in der Dokumentation zu Auth0).
• Sie müssen das Client Secret, das Sie vom Autorisierungsserver abgerufen haben, bereits als Secret in einem Vault im Vault-Service gespeichert haben (siehe Secret in einem Vault erstellen), und Sie müssen die OCID und die Versionsnummer des Secrets kennen.
• Sie müssen bereits eine Policy eingerichtet haben, um API-Gateways in einer dynamischen Gruppe die Berechtigung zum Zugriff auf das Vault Secret mit dem Client Secret zu erteilen (siehe Policy erstellen, um API-Gateways Zugriff auf Zugangsdaten zu erteilen, die als Secrets im Vault-Service gespeichert sind).