REST-APIs für erweiterte Authentifizierung von Oracle mit Postman verwenden

Einführung

In diesem Tutorial wird gezeigt, wie Sie REST-API-Aufrufe für die erweiterte Oracle-Authentifizierung mit Postman ausführen (Software, die normalerweise für REST-API-Tests verwendet wird).

Ziele

Mit den REST-APIs für die erweiterte Authentifizierung von Oracle können Sie die erweiterte Authentifizierung von Oracle mit REST-Clients integrieren, sodass sie die erweiterte Authentifizierung von Oracle konfigurieren und verwalten können. Eine vollständige Liste der REST-API-Endpunkte finden Sie unter OAA-Admin-API.

In diesem Tutorial erfahren Sie, wie Sie die Oracle Advanced Authentication Postman-Sammlung herunterladen und importieren und einige der gängigsten Postman-Anforderungen testen.

Voraussetzungen

Um dieses Tutorial abzuschließen, benötigen Sie Folgendes:

• Eine Oracle Advanced Authentication-Installation wird ausgeführt
• Oracle Mobile Authenticator auf einem mobilen Gerät installiert
• Vertrautheit mit dem REST-Architekturstil
• Nativer Postman-Client v8.0.6 oder höher installiert
• Die json-Dateien Oracle_Advanced_Authentication_REST_API.postman_collection.json, Oracle_Advanced_Authentication_Example_Environment.postman_environment.json

Oracle Advanced Authentication Postman Collection installieren

Umgebungsparameter in Postman festlegen

1. Öffnen Sie Postman, und wählen Sie Datei > Importieren aus.

2. Wählen Sie im Dialogfeld Importieren in der Registerkarte Datei die Option Dateien hochladen aus. Wählen Sie Oracle_Advanced_Authentication_Example_Environment.postman_environment.json, und klicken Sie auf Open.

3. Klicken Sie im Menü auf der linken Seite auf .

4. Klicken Sie in der angezeigten Umgebungsliste rechts neben der Oracle Advanced Authentication Example-Umgebung auf die Auslassungspunkte und anschließend auf Duplizieren.

   

   Beschreibung der Abbildung dupl_env.jpg

5. Klicken Sie unter Oracle Advanced Authentication Example Environment Copy, das über der ursprünglichen Umgebung angezeigt wird, auf die Auslassungen, und benennen Sie sie in Oracle Advanced Authentication Environment for REST APIs um.

6. Aktualisieren Sie die Umgebungsvariablen für die neue Umgebung, indem Sie die folgenden Werte für Anfangswert und Aktueller Wert eingeben. Klicken Sie anschließend auf Speichern und anschließend auf der Registerkarte auf X, um sie zu schließen:

   • oaa-admin: Oracle Advanced Authentication Hostname und Admin Port. Beispiel: https://oaa.example.com
   • oaa-policy: Oracle Advanced Authentication Hostname und Policy-Port. Beispiel: https://oaa.example.com
   • oaa-runtime: Oracle Advanced Authentication Hostname und Laufzeitport. Beispiel: https://oaa.example.com
   • RELEASENAME: Der RELEASENAME, der dem Setup der erweiterten Oracle-Authentifizierung zugewiesen ist, z.B. oaainstall. Dieser Wert wird bei der Installation von OAA für common.deployment.name übergeben.
   • oaapolicyapikey: oaapolicyapikey für das Setup der erweiterten Oracle-Authentifizierung. Beispiel: a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Dieser Wert wird bei der Installation von OAA für install.global.policyapikey übergeben.
   • oaaapikey: oaaapikey für das Setup der erweiterten Oracle-Authentifizierung. Beispiel: a5764d4ef6b71129f38a2d8ddc88b6060653d3c8. Dieser Wert wird bei der Installation von OAA für install.global.uasapikey übergeben.

   Hinweis: Wenn Sie die URLs für oaa-admin, oaa-policy und oaa-runtime (spui) nicht kennen, führen Sie im OAA Kubernetes-Cluster Folgendes aus:

   kubectl get pods -n <namespace> | grep 'oaa-admin\|oaa-policy\|spui'
   

   Führen Sie dann für jeden Pod Folgendes aus, um die URL abzurufen:

   kubectl exec -it <pod> -n <namespace> -- cat serviceurl.txt
   

   Die Umgebung sollte wie folgt aussehen:

   

   Beschreibung der Abbildung Environment.jpg

   Hinweis: Bei den URL-Werten im obigen Beispiel wird eine OAA-Installation mit NodePort vorausgesetzt. Daher werden Portnummern für jeden der Pods in den URLs definiert. Wenn die OAA-Installation einen Ingress-Traffic verwendet, verwenden Sie in allen Fällen die Ingress-URL.

7. Klicken Sie auf die Dropdown-Liste Umgebung, und wählen Sie die aktualisierte Umgebung aus der Liste aus:

   

   Beschreibung der Abbildung Environment_selection.jpg

Postman-Sammlung importieren

1. To import the Oracle Advanced Authentication REST API Postman collection, on the Postman main page, select File > Import.

2. Wählen Sie im Dialogfeld Importieren in der Registerkarte Datei die Option Dateien hochladen aus. Wählen Sie die Datei Oracle_Advanced_Authentication_REST_API.postman_collection.json aus, und klicken Sie auf Öffnen und dann auf Importieren.

   Klicken Sie im linken Menü auf Sammlungen. Die Collection sollte wie folgt angezeigt werden:

   

   Beschreibung der Abbildung Collections.jpg

REST-APIs testen

In diesem Abschnitt führen Sie einige der Anforderungen in der Postman-Sammlung für die erweiterte Oracle-Authentifizierung aus.

Hinweis: Um Fehler bei der SSL-Zertifikatsverifizierung zu vermeiden, navigieren Sie zu Datei > Einstellungen, und setzen Sie auf der Registerkarte Allgemein die Option SSL-Zertifikatsverifizierung auf OFF.

API-Integrations-Agent erstellen

In diesem Abschnitt erstellen Sie einen API-Integrations-Agent.

1. On the Collections tab, navigate to Oracle Advanced Authentication REST API > REST API for Defining System Entities -> agent/v1.

2. Wählen Sie Neuen API-Integrations-Agent erstellen aus. Diese Anforderung stellt eine POST-Anforderung an den /oaa-policy/agent/v1-Endpunkt her und erstellt einen API-Integrations-Agent mit dem Namen APIAgent basierend auf den Informationen im Body:

   

   Beschreibung der Abbildung createapiagent.jpg

3. Klicken Sie auf Senden.

4. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird und der Antwortbody Details zum erstellten Integrations-Agent anzeigt. Notieren Sie sich die zurückgegebene agentgid, da diese in den folgenden Abschnitten verwendet wird.

   

   Beschreibung der Abbildung createapiagentsuccess.jpg

Versicherungsebene erstellen

In diesem Abschnitt erstellen Sie eine Sicherheitsstufe für den erstellten Integrations-Agent.

1. On the Collections tab, navigate to Oracle Advanced Authentication REST API > REST API for Defining System Entities -> AssuranceLevel/v1.

2. Wählen Sie Sicherheitsebene definieren. Diese Anforderung stellt eine POST-Anforderung an den /oaa-policy/assuranceLevel/v1-Endpunkt her und erstellt eine Sicherheitsstufe für den Integrations-Agent mit dem Namen AssuranceLevel1. Bearbeiten Sie im Body den Wert für agentid so, dass er mit dem zuvor zurückgegebenen Wert übereinstimmt:

   

   Beschreibung der Abbildung createassurancelvl.jpg

3. Klicken Sie auf Senden.

4. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird und der Antwortbody Details zur erstellten Sicherheitsebene anzeigt.

   

   Beschreibung der Abbildung createassurancelvlsuccess.jpg

Gruppen erstellen

In diesem Abschnitt erstellen Sie eine Aktionsgruppe für Faktoren und eine Gruppe für IP-Adressen. Diese Gruppen werden später einer Policy und Regel für den zuvor erstellten Integrations-Agent und die zuvor erstellte Sicherheitsstufe zugewiesen.

1. On the Collections tab, navigate to Oracle Advanced Authentication REST API > REST API for Defining System Entities -> group/v1.

2. Wählen Sie Neue Faktorgruppe erstellen aus. Diese Anforderung stellt eine POST-Anforderung an den /oaa-policy/group/v1-Endpunkt her und erstellt eine Gruppe für den Agent mit dem Namen FactorRuleGrp1. Bearbeiten Sie im Text den Wert für agentid so, dass er mit dem zuvor zurückgegebenen Wert übereinstimmt. In diesem Beispiel legt die Gruppe zwei Faktoren fest: ChallengeEmail und ChallengeOMATOTP:

   

   Beschreibung der Abbildung createfactorgrp.jpg

3. Klicken Sie auf Senden.

4. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird und der Antwortbody Details zur erstellten Gruppe anzeigt. Notieren Sie sich die groupid, da diese später verwendet wird, um diese Gruppe einer Policy zuzuweisen.

   

   Beschreibung der Abbildung createfactorgrpsuccess.jpg

5. Wählen Sie in der aktuellen Sammlung unter group/v1 die Option Neue Gruppe vom Typ IP erstellen aus. Diese Anforderung stellt eine POST-Anforderung an den /oaa-policy/group/v1-Endpunkt her und erstellt eine Gruppe für den Integrations-Agent mit dem Namen SecureIP. Bearbeiten Sie im Text den Wert für agentgid so, dass er mit dem zuvor zurückgegebenen Wert übereinstimmt. In diesem Beispiel setzt der Wertabschnitt die IPs von 198.51.100.1 auf 198.51.100.3:

   

   Beschreibung der Abbildung createipgrp.jpg

6. Klicken Sie auf Senden.

7. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird und der Antwortbody Details zur erstellten Gruppe anzeigt. Notieren Sie sich die groupid, da diese später verwendet wird, um diese Gruppe einer Policy zuzuweisen.

   

   Beschreibung der Abbildung createipgrpsuccess.jpg

Policy erstellen

In diesem Abschnitt erstellen Sie eine Police für die zuvor erstellte Sicherheitsstufe und den Integrations-Agent.

1. On the Collections tab, navigate to Oracle Advanced Authentication REST API > REST API for Defining System Entities -> policy/v1.

2. Wählen Sie Neue Policy erstellen aus. Diese Anforderung stellt eine POST-Anforderung an den /oaa-policy/policy/v1-Endpunkt her und erstellt eine Policy für den zuvor erstellten Integrations-Agent und die zuvor erstellte Sicherheitsstufe Policy1. Bearbeiten Sie im Body den Wert für agentgid so, dass er mit dem zuvor zurückgegebenen Wert übereinstimmt:

   

   Beschreibung der Abbildung createpolicy.jpg

3. Klicken Sie auf Senden.

4. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird und der Antwortbody Details zur erstellten Policy anzeigt. Notieren Sie sich die policygid, da diese später dieser Policy eine Regel zugewiesen wird.

   

   Beschreibung der Abbildung createpolicyuccess.jpg

Policy-Regel erstellen

In diesem Abschnitt erstellen Sie eine Policy-Regel für die Policy.

1. On the Collections tab, navigate to Oracle Advanced Authentication REST API > REST API for Defining System Entities -> policy/v1 -> {policygid} -> rule > {ruleid}.

2. Wählen Sie Neue Regel für die Policy definieren aus. Diese Anforderung stellt eine POST-Anforderung an den /oaa-policy/policy/v1/:policygid/rule-Endpunkt her. Bearbeiten Sie auf der Registerkarte "Parameter" den Wert für policygid so, dass er mit dem zuvor zurückgegebenen Wert für die Policy übereinstimmt. Bearbeiten Sie im Body unter conditionMap die Werte unter expression und values, und legen Sie den Wert auf groupId der zuvor erstellten Gruppe SecureIP fest. Legen Sie unter results den Wert für action so fest, dass er mit groupId der zuvor erstellten Gruppe FactorGroup1 übereinstimmt:

   

   Beschreibung der Abbildung createrule.jpg

   Im obigen Beispiel gibt die Regel an, dass wenn die IP-Adresse des Endbenutzers, der die Authentifizierungsanforderung ausführt, einer der in der Gruppe SecureIP definierten ist, die Faktoren für die Authentifizierung auf die in FactorGroup1 definierten Faktoren festlegen.

3. Klicken Sie auf Senden.

4. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird und der Antwortbody Details zur erstellten Regel anzeigt. Notieren Sie sich die rulegid für eine spätere Referenz.

   

   Beschreibung der Abbildung createrulesuccess.jpg

Benutzereinstellungen erstellen

In diesem Abschnitt erstellen Sie einen Benutzer user1 und registrieren dessen Faktorvoreinstellungen.

1. On the Collections tab, navigate to Oracle Advanced Authentication REST API > REST API for User Preferences -> preferences/v1.

2. Wählen Sie Benutzervoreinstellungen werden erstellt/registriert aus. Diese Anforderung stellt eine POST-Anforderung an den /oaa/runtime/preferences/v1-Endpunkt her. Geben Sie im Text die zu erstellende userId und die entsprechende groupId ein. Im folgenden Beispiel wird user1 in der Gruppe Default erstellt und registriert den Benutzer für E-Mail- und OMATOTP-Faktoren. Ändern Sie den Wert der E-Mail-Adresse in eine gültige E-Mail-Adresse. Ändern Sie secret_key für OMATOTP in einen Wert Ihrer Wahl, der in der Oracle Mobile Authenticator-Anwendung verwendet werden soll.

   

   Beschreibung der Abbildung createuserprefs.jpg

3. Klicken Sie auf Senden.

4. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird und der Benutzer und seine Voreinstellungen erfolgreich erstellt und registriert wurden.

   

   Beschreibung der Abbildung createuserprefssuccess.jpg

Challenge für Benutzer, Initialisieren der Challenge und Validieren

In diesem Abschnitt testen Sie eine Benutzerherausforderung für user1 anhand der Regel, die vorher unter Policy-Regel erstellen erstellt wurde. Wenn die Regel validiert wird, werden die für diesen Benutzer registrierten Faktoren zurückgegeben. Nachdem Sie einen zu authentifizierenden Faktor gewählt haben, wird eine Initialisierungsanforderung gesendet, um den OTP für diesen Faktor aufzufordern. Ein gültiger Faktor OTP wird eingegeben und validiert.

Stellen Sie vor dem Starten dieses Abschnitts sicher, dass für Ihren Oracle Mobile Authenticator ein Oracle-Account hinzugefügt wurde, wobei Key auf den Wert secret_key gesetzt ist, der unter Benutzervoreinstellungen erstellen eingegeben wurde. Siehe Account in Oracle Mobile Authenticator konfigurieren

1. On the Collections tab, navigate to Oracle Advanced Authentication REST API > REST API for User Challenge -> Challenge User, Initalize Challenge, Validate Challenge.

2. Wählen Sie Herausforderungsbenutzer aus. Diese Anforderung stellt eine POST-Anforderung an den /oaa/runtime/authn/v1-Endpunkt her. Geben Sie im Text die userId für user1 und die entsprechende groupId ein. Im folgenden Beispiel wird die Challenge für user1 mit dem API Integration Agent durchgeführt, den Sie zuvor unter Integrations-Agent-API erstellen erstellt haben. Geben Sie die Werte für clientSecret und clientId für diesen API-Agent ein. Geben Sie in ipAddr eine IP ein, die in der zuvor erstellten Gruppe SecureIP definiert wurde:

   

   Beschreibung der Abbildung Challengeuser.jpg

3. Klicken Sie auf Senden.

4. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird. Eine OAA-40001-Nachricht mit der Angabe Authentication Required wird zurückgegeben. Die für user1 (E-Mail und OMATOTP) registrierten Faktoren werden zusammen mit einem correlationId zurückgegeben. Notieren Sie sich die correlationId, die in nachfolgenden Anforderungen verwendet werden soll:

   

   Beschreibung der Abbildung Challengeusersuccess.jpg

5. Wählen Sie unter Challenge-Benutzer, Challenge initiieren, Herausforderung validieren die Option Challenge initialisieren aus. Dadurch wird eine PUT-Anforderung an den /oaa/runtime/authn/v1-Endpunkt gesendet. Geben Sie im Text die correlationId ein, die in der vorherigen Antwort zurückgegeben wurde. In diesem Beispiel wird der OMATOTP-Faktor verwendet:

   

   Beschreibung der Abbildung initchallenge.jpg

6. Klicken Sie auf Senden.

7. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird. Eine OAA-40001-Nachricht mit der Angabe Authentication Required für OMATOTP wird zurückgegeben. Für die zugehörige correlationId wird ein nonce-Wert zurückgegeben. Notieren Sie sich den Wert nonce, um die nächste Anforderung zu verwenden:

   

   Beschreibung der Abbildung initchallengesuccess.jpg

8. Wählen Sie unter Herausforderungsbenutzer, Herausforderung initiieren, Herausforderung validieren die Option Challenge validieren aus. Dadurch wird eine PUT-Anforderung an den /oaa/runtime/authn/v1-Endpunkt gesendet. Geben Sie im Body correlationId und nonce ein, die in der vorherigen Antwort zurückgegeben wurden. Geben Sie einen gültigen OTP aus Oracle Mobile Authenticator in ChallengeAnswer ein:

   

   Beschreibung der Abbildung validate.jpg

9. Klicken Sie auf Senden.

10. Bestätigen Sie in der Antwort, dass Status: 200 OK angezeigt wird. Wenn die Validierung des OTP erfolgreich war, wird eine OAA-40004-Nachricht zurückgegeben, die angibt, dass der Benutzer Authenticated ist:

    

    Beschreibung der Abbildung validatesuccess.jpg

Weitere Informationen

• Oracle Advanced Authentication
• OAA-Admin-API
• OAA-Laufzeit-API
• Oracle RADIUS Agent mit erweiterter Oracle-Authentifizierung für Multifaktor-Authentifizierung verwenden
• Integration von Oracle Access Management mit Oracle Advanced Authentication

Feedback

Um Feedback zu diesem Tutorial zu geben, wenden Sie sich an idm_user_assistance_ww_grp@oracle.com

Danksagungen

• Autor - Russ Hodgson

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere Inhalte für kostenloses Lernen im Oracle Learning YouTube-Kanal zu. Außerdem besuchen Sie education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Use Oracle Advanced Authentication REST APIs with Postman

F53380-01

February 2022

Copyright © 2022, Oracle and/or its affiliates.