Oracle Cloud Infrastructure - Dokumentation

Erste Schritte mit der REST-API für Identitätsdomains

Die REST-API für Identitätsdomains verwaltet Ressourcen, einschließlich Identitäten und Konfigurationsdaten, sicher. Die Unterstützung von OpenID Connect ermöglicht die Integration in konforme Anwendungen und Identitätsdomains. Der OAuth2-Service stellt eine API-Infrastruktur für die Autorisierung bereit, die eine Reihe von Token-Berechtigungstypen unterstützt, mit denen Sie Clients sicher mit Services verbinden können.

Die REST-API für Identitätsdomains unterstützt SCIM 2.0-konforme Endpunkte mit Standard-SCIM 2.0-Core-Schemas und Oracle-Schemaerweiterungen für:

  • Benutzer, Gruppen und Apps verwalten.

  • Identitätsfunktionen ausführen, einschließlich Kennwortgenerierung und -zurücksetzung.

  • Führen Sie administrative Aufgaben aus, einschließlich Bulkvorgänge und Jobplanung.

  • Konfigurieren Sie Einstellungen für eine Identitätsdomain, einschließlich Multifaktor-Authentifizierung, Branding und Benachrichtigungsvorlagen.

Diese Dokumentation enthält die folgenden Abschnitte:

  • Hinweise zur Einstellung von Endpunkten: Erfahren Sie mehr über Hinweise zur Einstellung von Endpunkten für Identitätsdomains.
  • Schnellstart: Schnelleinstieg mit der REST-API für Identitätsdomains, indem Sie Voraussetzungen erfüllen, curl installieren und die Autorisierung zum Verwalten Ihrer Identitätsdomainressourcen wie Benutzer, Gruppen und Anwendungen einrichten.
  • API-Ratenbegrenzungen: Machen Sie sich mit der Ratenbegrenzung für APIs für verschiedene Identitätsdomaintypen vertraut.
  • Ressourcenanforderungen strukturieren: Hier finden Sie die Richtlinien zum Erstellen von Sendeanforderungen in einer Identitätsdomain.
  • cURL verwenden: Erfahren Sie, wie Sie mit cURL auf die REST-APIs zugreifen.
  • Autorisierung mit der API verwalten: Hier erfahren Sie, wie Sie mit einem OAuth-Client auf die REST-API für Identitätsdomains zugreifen. Auf die REST-API der Identitätsdomain kann nicht nur mit einem Identitätsdomainbenutzernamen und -kennwort zugegriffen werden. Um auf die REST-API für Identitätsdomains zuzugreifen, benötigen Sie ein OAuth2-Zugriffstoken oder einen API-Schlüssel für die Autorisierung.
  • API-Anwendungsfälle: Durchlaufen Sie typische Anwendungsfälle mit den REST-APIs der Identitätsdomain.

Die folgenden Ressourcen sind nicht in dieser Dokumentation enthalten, sondern stehen Ihnen auch zur Verfügung.

Bei Verwendung der Benutzeroberfläche für Identitätsdomains:

Bei Verwendung der API oder der CLI:

  • Informationen zum Verwalten von Identitätsdomains (z.B. Erstellen oder Löschen einer Domain) finden Sie unter IAM-API.
  • Informationen zum Verwalten von Ressourcen innerhalb einer Identitätsdomain, z.B. Benutzer, dynamische Ressourcengruppen, Gruppen und Identitätsprovider, finden Sie unter Identitätsdomain-CLI.

Hinweise zur Einstellung von Endpunkten

Lesen Sie die Endpunktverfallshinweise für Identitätsdomains in IAM.

Dieser Abschnitt bietet Details zu wichtigen Änderungen in der Oracle Cloud Infrastructure, wie z.B. veraltete Features, veraltete APIs und Änderungen am Serviceverhalten, siehe Ankündigungen zu IAM-Serviceänderungen.

Schnellstart

Beginnen Sie schnell mit der REST-API für Identitätsdomains, indem Sie Voraussetzungen erfüllen, curl installieren und die Autorisierung zum Verwalten Ihrer Identitätsdomainressourcen wie Benutzer, Gruppen und Anwendungen einrichten.

Voraussetzungen

  1. Oracle Cloud-Abonnement erwerben: Siehe Oracle Cloud-Abonnement erwerben.
  2. Bestellung aktivieren: Richten Sie Ihren Account ein, oder aktivieren Sie Ihre Bestellung. Siehe Bestellung über Ihre Willkommens-E-Mail aktivieren in Oracle Cloud-Abonnement kaufen.
  3. Rufen Sie die entsprechenden Accountzugangsdaten und die entsprechende Autorisierung für den Zugriff auf Identitätsdomain-APIs vom Identitätsdomainadministrator ab:

    • Zur Anmeldung bei Ihrer Identitätsdomain. Wenden Sie sich an den Identitätsdomainadministrator, um Ihren Benutzernamen, Ihr Kennwort und Ihren Identitätsdomainnamen abzurufen.

    • So verwenden Sie die API ohne Benutzerkonto: Administratoren können die Identitätsdomain-API ohne Benutzeraccount in der Identitätsdomain verwenden. Um die Identitätsdomain-API ohne Benutzeraccount zu verwenden, fordern Sie eine Client-ID und ein Client Secret vom Identitätsdomainadministrator an.

Schritt 1: Bei Ihrer Identitätsdomain anmelden

Nachdem Sie Ihren Account aktiviert haben, erhalten Sie Anmeldezugangsdaten und einen Link zur Homepage Ihrer Identitätsdomain. Wählen Sie den Link in der E-Mail aus, und geben Sie die angegebenen Anmeldedaten ein. Die Homepage Ihrer Identitätsdomain wird angezeigt. Siehe In der Konsole melden.

Schritt 2: cURL installieren

Die Beispiele in diesem Dokument zeigen mit dem Befehlszeilentool cURL, wie Sie auf die REST-API für Identitätsdomains zugreifen.

Um eine sichere Verbindung zum Server herzustellen, müssen Sie eine Version von cURL installieren, die SSL unterstützt, und eine SSL-Certificate-Authority-(CA-)Zertifikatsdatei oder ein SSL-Certificate-Bundle zur Authentifizierung mit dem Verisign-CA-Zertifikat bereitstellen. Weitere Informationen:

Das folgende Verfahren zeigt, wie Sie cURL auf einem Windows 64-Bit-System installieren.

  1. Navigieren Sie in einem Browser zur cURL-Homepage unter http://curl.haxx.se/download.html.

  2. Suchen Sie auf der Seite "cURL-Releases und -Downloads" die SSL-fähige Version, die Ihrem Betriebssystem entspricht, und wählen Sie den Link zum Herunterladen der ZIP-Datei aus.

  3. Installieren Sie die Software.

  4. Navigieren Sie zur Seite "cURL-CA-Zertifikate" unter http://curl.haxx.se/docs/caextract.html, und laden Sie das Zertifikats-Bundle CA-bundle.crt SSL Certificate Authority (CA) in den Ordner herunter, in dem Sie cURL installiert haben.

  5. Legen Sie die cURL-Umgebungsvariable Folgendes fest:

    1. Öffnen Sie ein Befehlsfenster.

    2. Navigieren Sie zu dem Verzeichnis, in dem Sie cURL installiert haben.

    3. Legen Sie die cURL-Umgebungsvariable (CURL_CA_BUNDLE) auf den Speicherort des SSLCA-Zertifikats-Bundles fest. Beispiel: C:\curl> set CURL_CA_BUNDLE=ca-bundle.crt.

Schritt 3: Format der Ressourcen-URL verstehen

Sie greifen mit einer URL auf die REST-API für Identitätsdomains zu, die den REST-Endpunkt, die Ressource, auf die Sie zugreifen möchten, und alle Abfrageparameter enthält, die Sie in eine Anforderung aufnehmen möchten.

Der grundlegende Endpunkt für die REST-API für Identitätsdomains lautet:

https://<domainURL>/admin/v1/

Einzelheiten zum Erstellen dieser URLs finden Sie unter Anforderungen senden.

Schritt 4: Autorisierung einrichten

Sie müssen das Zugriffstoken generieren, mit dem Sie dann Anforderungen autorisieren können, die Sie an die REST-API der Identitätsdomains senden. Siehe Autorisierung mit der API verwalten.

Jetzt können Sie Anforderungen mit cURL an eine Identitätsdomain senden.

Schritt 5: Identitätsdomainressourcen verwalten

Verwenden Sie die REST-API, um allgemeine Identitätsdomainkonfigurationen und -identitäten und -ressourcen zu verwalten.

API-Ratengrenzwerte

Machen Sie sich mit der Ratenbegrenzung für APIs für verschiedene Identitätsdomaintypen vertraut.

Oracle-APIs unterliegen einer Ratenbegrenzung zum Schutz der API-Servicenutzung für alle Kunden von Oracle. Wenn Sie das API-Limit für den Identitätsdomaintyp erreichen, gibt IAM einen 429-Fehlercode zurück.

Ratengrenzwerte für alle Identitätsdomainarten

API-Gruppe Pro Kostenlos Oracle Apps Oracle Apps Premium Premium Externer Benutzer
AuthN Sekunde 10 50 80 95 90
AuthN Minute 150 1.000 2.100 4.500 3.100
BasicAuthN Sekunde 10 100 160 95 90
BasicAuthN Minute 150 3.000 4.000 4.500 3.100
Tokenverwaltung Sekunde 10 40 50 65 60
Tokenverwaltung Minute 150 1.000 1.700 3.400 2.300
Sonstige Sekunde 20 50 55 90 80
Sonstige Minute 150 1.500 1.750 5.000 4.000
Bulk Sekunde 5 5 5 5 5
Bulk Minute 200 200 200 200 200
Importieren und exportieren Tag 4 8 10 10 10
Hinweis

Die maximale Anzahl an Trust-Objekten für die Identitätspropagierung, die erstellt werden können, ist auf 30 begrenzt. Wenden Sie sich an den Support, wenn das Limit erhöht werden muss. Weitere Informationen zu Objektlimits finden Sie unter Limits für IAM-Identitätsdomainobjekte.

APIs in API-Gruppen

API-Limits gelten für die Summe aller APIs innerhalb einer Gruppe.

Authentifizierung
  • /sso/v1/user/login
  • /sso/v1/user/secure/login
  • /sso/v1/user/logout
  • /sso/v1/sdk/authenticate
  • /sso/v1/sdk/session
  • /sso/v1/sdk/idp
  • /sso/v1/sdk/secure/session
  • /mfa/v1/requests
  • /mfa/v1/users/{userguid}/factors
  • /oauth2/v1/authorize
  • /oauth2/v1/userlogout
  • /oauth2/v1/consent
  • /fed/v1/user/request/login
  • /fed/v1/sp/sso
  • /fed/v1/idp/sso
  • /fed/v1/idp/usernametoken
  • /fed/v1/metadata
  • /fed/v1/mex
  • /fed/v1/sp/slo
  • /fed/v1/sp/initiatesso
  • /fed/v1/sp/ssomtls
  • /fed/v1/idp/slo
  • /fed/v1/idp/initiatesso
  • /fed/v1/idp/wsfed
  • /fed/v1/idp/wsfedsignoutreturn
  • /fed/v1/user/response/login
  • /fed/v1/user/request/logout
  • /fed/v1/user/response/logout
  • /fed/v1/user/testspstart
  • /fed/v1/user/testspresult
  • /admin/v1/SigningCert/jwk
  • /admin/v1/Asserter
  • /admin/v1/MyAuthenticationFactorInitiator
  • /admin/v1/MyAuthenticationFactorEnroller
  • /admin/v1/MyAuthenticationFactorValidator
  • /admin/v1/MyAuthenticationFactorsRemover
  • /admin/v1/TermsOfUseConsent
  • /admin/v1/MyTermsOfUseConsent
  • /admin/v1/TrustedUserAgents
  • /admin/v1/AuthenticationFactorInitiator
  • /admin/v1/AuthenticationFactorEnroller
  • /admin/v1/AuthenticationFactorValidator
  • /admin/v1/MePasswordResetter
  • /admin/v1/UserPasswordChanger
  • /admin/v1/UserLockedStateChanger
  • /admin/v1/AuthenticationFactorsRemover
  • /admin/v1/BypassCodes
  • /admin/v1/MyBypassCodes
  • /admin/v1/MyTrustedUserAgents
  • /admin/v1/Devices
  • /admin/v1/MyDevices
  • /admin/v1/TermsOfUses
  • /admin/v1/TermsOfUseStatements
  • /admin/v1/AuthenticationFactorSettings
  • /admin/v1/SsoSettings
  • /admin/v1/AdaptiveAccessSettings
  • /admin/v1/RiskProviderProfiles
  • /admin/v1/Threats
  • /admin/v1/UserDevices
  • /session/v1/SessionsLogoutValidator
  • /ui/v1/signin
Basisauthentifizierung
  • /admin/v1/HTTPAuthenticator
  • /admin/v1/PasswordAuthenticator
Token
  • /oauth2/v1/token
  • /oauth2/v1/introspect
  • /oauth2/v1/revoke
  • /oauth2/v1/device
Importieren/Exportieren
  • /job/v1/JobSchedules?jobType=UserImport
  • /job/v1/JobSchedules?jobType=UserExport
  • /job/v1/JobSchedules?jobType=GroupImport
  • /job/v1/JobSchedules?jobType=GroupExport
  • /job/v1/JobSchedules?jobType=AppRoleImport
  • /job/v1/JobSchedules?jobType=AppRoleExport
Bulk
  • /admin/v1/Bulk
  • /admin/v1/BulkUserPasswordChanger
  • /admin/v1/BulkUserPasswordResetter
  • /admin/v1/BulkSourceEvents
Sonstiges

Jede API, die nicht in einer der anderen API-Gruppen enthalten ist, ist in der anderen API-Gruppe enthalten

Weitere Einschränkungen

Die folgenden Einschränkungen gelten für Bulk-, Import- und Exportvorgänge für alle Tiers:

  • Payload-Größe: 1 MB
  • Bulk-API: Maximal 50 Vorgänge pro Aufruf
  • Die folgenden Vorgänge können immer nur einzeln ausgeführt werden:
    • Import: Für Benutzer, Gruppen und Anwendungsrollenmitgliedschaften
    • Vollständige Synchronisierung aus Anwendungen
    • Bulk-APIs
    • Export: Für Benutzer, Gruppen und Anwendungsrollenmitgliedschaften
  • CSV-Import: Maximal 100.000 Zeilen pro CSV-Datei und maximale Dateigröße: 10 MB
  • CSV-Export: Maximal 100.000 Zeilen