Oracle Cloud Infrastructure - Dokumentation

Zugriffstokenautorisierung mit der API "Meine Services" verwenden

Wichtig

Das Dashboard "Meine Services" und die zugehörigen APIs sind veraltet.

In diesem Thema wird erläutert, wie Sie die Zugriffstokenautorisierung mit der Oracle Cloud-API "Meine Services" einrichten und verwenden. Mit der Zugriffstokenautorisierung kann ein Entwickler auf programmgesteuerte Endpunkte (APIs) zugreifen, um Informationen (z.B. Berechtigungen, Instanzen oder Messdaten) für Ihren Cloud-Account abzurufen.

Zugriffstoken

Ein Zugriffstoken enthält die Informationen, mit denen ein Entwickler auf Informationen in Ihrem Cloud-Account zugreifen kann. Ein Entwickler präsentiert das Token bei API-Aufrufen. Die zulässigen Aktionen und Endpunkte hängen von den Geltungsbereichen (Berechtigungen) ab, die Sie beim Generieren des Tokens auswählen. Ein Zugriffstoken ist etwa eine Stunde lang gültig.

Mit einem Aktualisierungstoken können Entwickler ein neues Zugriffstoken generieren, ohne sich an einen Administrator wenden zu müssen. Ein Aktualisierungstoken ist etwa ein Jahr lang gültig.

Prozessüberblick

Setupschritte für den Administrator:

  1. Erstellen Sie eine Identity Cloud Service-Clientanwendung mit den Berechtigungen, die Sie Entwicklern erteilen möchten.
  2. Generieren Sie ein Zugriffstoken, das die erforderlichen Berechtigungen für den beabsichtigten Entwickler enthält.
  3. Geben Sie das Zugriffstoken und die erforderlichen Informationen für den Entwickler an.
  4. Konfigurieren Sie Identity Cloud Service für die Zugriffstokenvalidierung.

Schritte für Entwickler bei Verwendung des Tokens:

  1. Senden Sie Anforderungen an Endpunkte der API "Meine Services". Nehmen Sie das Zugriffstoken als Autorisierungsparameter auf.
  2. Wenn das Zugriffstoken abläuft, aktualisieren Sie das Zugriffstoken ohne Administratoreingriff, bis die Berechtigung beendet ist.

Administratoraufgaben zum Einrichten der Tokenvalidierung

Führen Sie die folgenden Aufgaben aus, um Entwicklerzugriff mit einem Zugriffstoken zu aktivieren:

IDCS-Clientanwendung erstellen
  1. Melden Sie sich als Administrator bei Identity Cloud Service an, und gehen Sie zur Administrationskonsole. Informationen zum Anmelden finden Sie unter So greifen Sie auf Oracle Identity Cloud Service zu.
  2. Klicken Sie auf die Kachel Anwendungen. Eine Liste der Anwendungen wird angezeigt.
  3. Klicken Sie auf + Hinzufügen, um eine neue Anwendung zu erstellen.
  4. Klicken Sie auf Vertrauliche Anwendung als Anwendungstyp.
  5. Geben Sie im Abschnitt App-Details einen Namen und eine Beschreibung ein. Geben Sie dabei keine vertraulichen Informationen ein.
  6. Klicken Sie auf Weiter.

  7. Führen Sie im Abschnitt Client folgende Schritte aus:

    1. Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus.
    2. Wählen Sie unter Autorisierung die folgenden Optionen für Zulässige Berechtigungstypen aus:
      • JWT-Assertion
      • Aktualisierungstoken

  8. Klicken Sie unter Tokenausgabe-Policy unter Ressourcen auf Geltungsbereich hinzufügen.

  9. Wählen Sie im Dialogfeld Geltungsbereich auswählen die Option CloudPortalResourceApp aus, und klicken Sie auf den Pfeil, um Geltungsbereiche für die Ressource auszuwählen.

  10. Aktivieren Sie das Kontrollkästchen neben jeder Autorisierung, die Sie den Entwicklern geben möchten, denen Sie ein Zugriffstoken bereitstellen. (Die Berechtigungen werden in einem anderen Schritt zugewiesen.)

  11. Klicken Sie auf Hinzufügen, um das Dialogfeld zu schließen. Ihre Auswahl wird angezeigt.

  12. Klicken Sie auf Weiter.

  13. Übernehmen Sie im Abschnitt Ressourcen die Standardeinstellung, und klicken Sie auf Weiter.
  14. Akzeptieren Sie im Abschnitt Web Tier Policy den Standardwert, und klicken Sie auf Weiter.

  15. Klicken Sie im Abschnitt Autorisierung auf Fertigstellen.

    Die Benachrichtigung Anwendung hinzugefügt zeigt die neue Client-ID und das neue Client Secret für die Anwendung an.

    Wichtig

    Kopieren und speichern Sie die Client-ID und das Client Secret an einem sicheren Ort. Klicken Sie dann auf Schließen. Die Client-ID und das Client Secret sind Zugangsdaten, die speziell für die gerade erstellte Anwendung gelten. Sie benötigen diese Zugangsdaten später.
  16. Um den Erstellungsprozess abzuschließen, klicken Sie oben auf der Seite auf Aktivieren.
Zugriffstoken generieren

  1. Navigieren Sie zur IDCS-Anwendung, die Sie in der vorherigen Aufgabe erstellt haben, und wählen Sie die Registerkarte Details aus.

  2. Klicken Sie auf Zugriffstoken generieren.

  3. Wählen Sie im Dialogfeld Token generieren die Option Benutzerdefinierte Geltungsbereiche und dann Ruft weitere APIs auf aus.

  4. Wählen Sie die Geltungsbereiche aus, die dem Entwickler zugewiesen werden sollen, der dieses Zugriffstoken erhält.

    Hinweis

    Oracle empfiehlt, nur die minimal erforderlichen Berechtigungen zu erteilen.

  5. Wählen Sie Aktualisierungstoken einbeziehen aus.

  6. Klicken Sie auf Token herunterladen. Sie werden vom Browser aufgefordert, eine Tokendatei (.tok) herunterzuladen. Die Tokendatei enthält ein Zugriffstoken und ein Aktualisierungstoken.

  7. Geben Sie diese Datei an den Entwickler weiter.
Zugriffsinformationen an einen Entwickler senden

Zum Aufrufen von API-Endpunkten benötigen Entwickler Folgendes:

  • Eine Tokendatei, die Sie generiert haben.

  • Die Client-ID und das Client Secret für die IDCS-Anwendung, mit der die Tokendatei generiert wurde. Die Client-ID und das Client Secret sind erforderlich, damit der Entwickler ein neues Zugriffstoken aus dem Aktualisierungstoken generieren kann.

  • Die Endpunkte für die APIs.

    • Endpunkte im Zusammenhang mit den itas:myservices-Geltungsbereichen: https://itra.oraclecloud.com/itas/<tenant-IDCS-ID>/myservices/api/v1
    • Endpunkte im Zusammenhang mit den itas:metering-Geltungsbereichen: https://itra.oraclecloud.com/metering/api/v1

Stellen Sie sicher, dass Sie die obigen Informationen auf sichere Weise senden. Wenn Sie der Meinung sind, dass diese Informationen kompromittiert wurden, lesen Sie Fähigkeit eines Entwicklers zum Aktualisieren von Zugriffstoken entziehen.

Identity Cloud Service für Zugriffstokenvalidierung konfigurieren

So lassen Sie zu, dass Clients auf das Mandantensignaturzertifikat zugreifen können, ohne sich bei Oracle Identity Cloud Service anmelden zu müssen:

  1. Melden Sie sich bei der Admin-Konsole von Oracle Identity Cloud Service an. Informationen zum Anmelden finden Sie unter So greifen Sie auf Oracle Identity Cloud Service zu.
  2. Öffnen Sie das Navigationsmenü. Wählen Sie unter Einstellungen die Option Standardeinstellungen aus.
  3. Aktivieren Sie den Umschalter für Zugriff auf das Signaturzertifikat.

Zugriffstoken verwenden

Die Tokendatei hat die Erweiterung ".tok". Die Datei enthält das Zugriffstoken und das Aktualisierungstoken. Der Inhalt sieht wie folgt aus:

{"app_access_token":"eyJ4N...aabb...CpNwA","refresh_token":"AQID...9NCA="}

So verwenden Sie das Token mit der API "Meine Services":

  1. Öffnen Sie die Tokendatei.

  2. Senden Sie eine Anforderung an einen gültigen Endpunkt, und fügen Sie das Zugriffstoken für den Parameter Authorization ein.

    Beispiel:

    curl -X GET  https://itra.oraclecloud.com/itas/<tenant-IDCS-ID>/myservices/api/v1/serviceEntitlements   -H 'Authorization: Bearer eyJ4N...aabb...CpNwA'

Neues Zugriffstoken von einem Aktualisierungstoken anfordern

Ein Zugriffstoken ist etwa eine Stunde lang gültig. Wenn das Token nicht mehr gültig ist, erhalten Sie einen 401-Antwortcode und einen Fehlermeldungen-(errorMessage-)Wert mit "Abgelaufen".

Sie können ein neues Zugriffstoken mit kurzer Gültigkeit aus dem Aktualisierungstoken generieren. Sie benötigen die Client-ID und das Client Secret, um das neue Token zu generieren. Sie können nur Token mit demselben oder niedrigerem Zugriff (Geltungsbereich) wie das ursprüngliche Token generieren.

Beispiel mit dem curl-Befehl:

curl -i -H 'Authorization: Basic <base64Encoded clientid:secret>' -H 'Content-Type: application/x-www-form-urlencoded;charset=UTF-8' --request POST https://<tenant-IDCS-ID>/oauth2/v1/token -d 'grant_type=refresh_token&refresh_token=<refresh-token>'

Bei Verwendung der Beispieltokendatei aus dem vorherigen Abschnitt wäre der Wert für <refresh-token> AQID...9NCA=.

Beispielantwort:

{ "access_token": "eyJraWQiO....2nqA", "token_type": "Bearer", "expires_in": 3600, "refresh_token": "AQIDBAUn…VkxNCB7djF9NCA=" }
Hinweis

Wenn ein Entwickler ein neues Zugriffstoken und Aktualisierungstoken generiert, wird das vorherige Aktualisierungstoken ungültig.

Fähigkeit eines Entwicklers zum Aktualisieren von Zugriffstoken entziehen

Wenn Sie das Aktualisieren von Zugriffstoken für einen Entwickler widerrufen müssen, können Sie entweder das vorhandene Aktualisierungstoken invalidieren, indem Sie ein neues Client Secret für das Token generieren, oder den Zugriff vorübergehend widerrufen, indem Sie die Anwendung deaktivieren.

Wichtig

Diese Aktionen beenden oder unterbrechen die Fähigkeit aller Entwickler, das aktuelle Client Secret oder die aktuelle Anwendung zu verwenden. Wenn Sie Token für mehrere Entwickler generieren, sollten Sie mehrere IDCS-Anwendungen erstellen, um Entwickler voneinander zu isolieren.

So beenden Sie die Fähigkeit eines Entwicklers, das Zugriffstoken zu aktualisieren

  1. Melden Sie sich als Administrator bei Identity Cloud Service an, und gehen Sie zur Administrationskonsole. Informationen zum Anmelden finden Sie unter So greifen Sie auf Oracle Identity Cloud Service zu.
  2. Klicken Sie auf die Kachel Anwendungen. Eine Liste der Anwendungen wird angezeigt.
  3. Klicken Sie auf die Anwendung, mit der das Token generiert wurde, um die zugehörigen Details anzuzeigen.
  4. Klicken Sie auf Konfiguration.
  5. Klicken Sie unter Allgemeine Informationen neben Client Secret auf Neu generieren, um ein neues Client Secret zu generieren.

Um wieder zuzulassen, dass Entwickler ein Zugriffstoken aus einem Aktualisierungstoken generieren können, generieren Sie ein neues Zugriffstoken. Leiten Sie das Token dann zusammen mit dem neuen Client Secret an den Entwickler weiter.

So unterbrechen Sie vorübergehend die Fähigkeit eines Entwicklers, das Zugriffstoken zu aktualisieren

  1. Melden Sie sich als Administrator bei Identity Cloud Service an, und gehen Sie zur Administrationskonsole. Informationen zum Anmelden finden Sie unter So greifen Sie auf Oracle Identity Cloud Service zu.
  2. Klicken Sie auf die Kachel Anwendungen. Eine Liste der Anwendungen wird angezeigt.
  3. Klicken Sie auf die Anwendung, mit der das Token generiert wurde, um die zugehörigen Details anzuzeigen.
  4. Klicken Sie in der oberen rechten Ecke der Seite auf Deaktivieren.
  5. Klicken Sie beim Prompt auf Anwendung deaktivieren.

Um Entwickler für die Verwendung derselben Token erneut zu aktivieren, klicken Sie auf Aktivieren.