Documentación de Oracle Cloud Infrastructure

Introducción a la API de REST de dominios de identidad

La API de REST de los dominios de identidad gestiona de forma segura los recursos, incluidas las identidades y los datos de configuración. El soporte para OpenID Connect permite la integración con aplicaciones y dominios de identidad compatibles. El servicio OAuth2 proporciona una infraestructura de API para la autorización que soporta un rango de tipos de otorgamiento de token que le permiten conectar de forma segura clientes a servicios.

La API de REST de los dominios de identidad admite puntos finales compatibles con SCIM 2.0 con esquemas principales estándar de SCIM 2.0 y extensiones de esquema de Oracle para:

  • Gestionar usuarios, grupos y aplicaciones.

  • Realizar funciones de identidad, incluida la generación y el restablecimiento de contraseñas.

  • Realizar tareas administrativas, incluidas operaciones masivas y programación de trabajos.

  • Permite configurar los valores de un dominio de identidad, incluidas la autenticación multifactor, la marca y las plantillas de notificación.

Esta guía contiene las siguientes secciones:

  • Avisos de desuso de puntos finales: obtenga información sobre los avisos de desuso de puntos finales para los dominios de identidad.
  • Inicio rápido: comience rápidamente con la API de REST de los dominios de identidad completando los requisitos, instalando curl y configurando la autorización para gestionar los recursos del dominio de identidad, como usuarios, grupos y aplicaciones.
  • Límites de frecuencia de API: conozca la limitación de frecuencia de las API para diferentes tipos de dominio de identidad.
  • Estructuración de solicitudes de recursos: aprenda las directrices para crear solicitudes de envío en un dominio de identidad.
  • Uso de cURL: aprenda a utilizar cURL para acceder a las API de REST.
  • Gestión de autorización mediante la API: aprenda a utilizar un cliente OAuth para acceder a la API de REST de los dominios de identidad. No se puede acceder a la API de REST de los dominios de identidad solo mediante un nombre de usuario y una contraseña de dominio de identidad. Para acceder a la API de REST de los dominios de identidad, necesita un token de acceso OAuth2 o una clave de API para utilizarla para la autorización.
  • Casos de uso de API: realice un recorrido por los casos de uso habituales mediante las API de REST del dominio de identidad.

Los siguientes recursos no se encuentran en esta guía, pero también están disponibles para usted.

Al utilizar la interfaz de usuario de los dominios de identidad:

Al utilizar la API o la CLI:

  • Para gestionar dominios de identidad (por ejemplo, crear o suprimir un dominio), consulte API de IAM.
  • Para gestionar recursos en un dominio de identidad, por ejemplo, usuarios, grupos de recursos dinámicos, grupos y proveedores de identidad, consulte la sección sobre la CLI de dominios de identidad.

Avisos de Desuso de Puntos Finales

Lea los avisos de desuso de punto final para los dominios de identidad en IAM.

Para revisar los detalles sobre los cambios de última hora de Oracle Cloud Infrastructure, como los cambios en desuso, las APIs en desuso y los cambios en la conducta del servicio, consulte Anuncios de cambio del servicio IAM.

Inicio rápido

Comience rápidamente con la API de REST de los dominios de identidad completando los requisitos, instalando curl y configurando la autorización para gestionar los recursos del dominio de identidad, como usuarios, grupos y aplicaciones.

Requisitos

  1. Adquisición de una suscripción a Oracle Cloud: consulte Compra una suscripción a Oracle Cloud.
  2. Activa tu pedido: configura tu cuenta o activa tu pedido. Consulte Activación de la orden desde el correo electrónico de bienvenida en Compra una suscripción a Oracle Cloud.
  3. Obtenga las credenciales de cuenta y la autorización adecuadas para acceder a las API del dominio de identidad del administrador del dominio de identidad:

    • Para conectarse a su dominio. Consulte al administrador del dominio de identidad para obtener su nombre de usuario, contraseña y nombre de dominio de identidad.

    • Para utilizar la API sin una cuenta de usuario. Los administradores pueden utilizar la API de los dominios de identidad sin una cuenta de usuario en el dominio de identidad. Para utilizar la API de los dominios de identidad sin una cuenta de usuario, solicite un ID de cliente y un secreto de cliente al administrador del dominio de identidad.

Paso 1: Conectarse al dominio de identidad

Después de activar la cuenta, se le envían las credenciales de conexión y un enlace a la página de inicio del dominio de identidad. Seleccione el enlace en el correo electrónico y, a continuación, introduzca las credenciales de inicio de sesión proporcionadas. Aparece la página de inicio del dominio de identidad. Consulte Sign In to the Console.

Paso 2: Instalar cURL

En los ejemplos de este documento se utiliza la herramienta de línea de comandos cURL para demostrar cómo acceder a la API de REST de los dominios de identidad.

Para conectarse de forma segura al servidor, debe instalar una versión de cURL que admita SSL y proporcionar un archivo o paquete de certificado de autoridad de certificación (CA) SSL para autenticarse en el certificado de CA de Verisign. Para obtener más información sobre:

El siguiente procedimiento muestra cómo instalar cURL en un sistema Windows de 64 bits.

  1. En un explorador, navegue a la página de inicio de cURL en http://curl.haxx.se/download.html.

  2. En la página Versiones y descargas de cURL, busque la versión habilitada para SSL que corresponda a su sistema operativo y, a continuación, seleccione el enlace para descargar el archivo ZIP.

  3. Instale el software.

  4. Navigate to the cURL CA Certs page at http://curl.haxx.se/docs/caextract.html, and then download the ca-bundle.crt SSL certificate authority (CA) certificate bundle into the folder where you installed cURL.

  5. Defina la variable del entorno cURL:

    1. Abra una ventana de comandos.

    2. Navegue hasta el directorio donde instaló cURL.

    3. Defina la variable de entorno cURL (CURL_CA_BUNDLE) en la ubicación del grupo de certificados SSLCA. Por ejemplo: C:\curl> set CURL_CA_BUNDLE=ca-bundle.crt.

Paso 3: Descripción del formato de URL de recurso

Puede acceder a la API de REST de los dominios de identidad mediante una URL, que incluye el punto final de REST, el recurso al que desea acceder y cualquier parámetro de consulta que desee incluir en una solicitud.

El punto final básico para la API de REST de los dominios de identidad es:

https://<domainURL>/admin/v1/

Consulte Enviar solicitudes para obtener detalles específicos sobre la creación de estas URL.

Paso 4: Configurar autorización

Debe generar el token de acceso que, a continuación, puede utilizar para autorizar las solicitudes que envía a la API de REST de los dominios de identidad. Consulte Gestión de autorización mediante la API.

Ya puede enviar solicitudes a un dominio de identidad mediante cURL.

Paso 5: Gestionar los recursos de dominio de identidad

Empiece a utilizar la API de REST para gestionar las configuraciones y las identidades y los recursos generales del dominio de identidad.

Límites de frecuencia de API

Conozca la limitación de frecuencia de las API para diferentes tipos de dominio de identidad.

Las APIs de Oracle están sujetas a límites de frecuencia Para proteger el uso de los servicios de API para todos los clientes de Oracle. Si alcanza el límite de ratio de API para el tipo de dominio de identidad, IAM devolverá el código de error 429.

Límites de frecuencia para todos los tipos de dominios de identidad

Grupo de API Por Gratis Oracle Apps Oracle Apps Premium Premium Usuario externo
Autenticación segundo 10 50 80 95 90
Autenticación minuto 150 1000 2100 4500 3100
BasicAuthN segundo 10 100 160 95 90
BasicAuthN minuto 150 3.000 4000 4500 3100
Gestión de tokens segundo 10 40 50 65 60
Gestión de tokens minuto 150 1000 1700 3400 2300
Otros segundo 20 50 55 90 80
Otros minuto 150 1500 1750 5000 4000
Bloque segundo 5 5 5 5 5
Bloque minuto 200 200 200 200 200
Importar y Exportar día 4 8 10 10 10
Nota

El número máximo de objetos de confianza de propagación de identidad que se pueden crear está restringido a 30. Póngase en contacto con el servicio de soporte si es necesario aumentar el límite. Para obtener más información sobre los límites de objetos, consulte Límites de objetos de dominio de identidad de IAM.

API en grupos de API

Los límites de API se aplican al total de todas las API de un grupo.

Autenticación
  • /sso/v1/user/login
  • /sso/v1/user/secure/login
  • /sso/v1/user/logout
  • /sso/v1/sdk/authenticate
  • /sso/v1/sdk/session
  • /sso/v1/sdk/idp
  • /sso/v1/sdk/secure/session
  • /mfa/v1/requests
  • /mfa/v1/users/{userguid}/factors
  • /oauth2/v1/authorize
  • /oauth2/v1/userlogout
  • /oauth2/v1/consent
  • /fed/v1/user/request/login
  • /fed/v1/sp/sso
  • /fed/v1/idp/sso
  • /fed/v1/idp/usernametoken
  • /fed/v1/metadata
  • /fed/v1/mex
  • /fed/v1/sp/slo
  • /fed/v1/sp/initiatesso
  • /fed/v1/sp/ssomtls
  • /fed/v1/idp/slo
  • /fed/v1/idp/initiatesso
  • /fed/v1/idp/wsfed
  • /fed/v1/idp/wsfedsignoutreturn
  • /fed/v1/user/response/login
  • /fed/v1/user/request/logout
  • /fed/v1/user/response/logout
  • /fed/v1/user/testspstart
  • /fed/v1/user/testspresult
  • /admin/v1/SigningCert/jwk
  • /admin/v1/Asserter
  • /admin/v1/MyAuthenticationFactorInitiator
  • /admin/v1/MyAuthenticationFactorEnroller
  • /admin/v1/MyAuthenticationFactorValidator
  • /admin/v1/MyAuthenticationFactorsRemover
  • /admin/v1/TermsOfUseConsent
  • /admin/v1/MyTermsOfUseConsent
  • /admin/v1/TrustedUserAgents
  • /admin/v1/AuthenticationFactorInitiator
  • /admin/v1/AuthenticationFactorEnroller
  • /admin/v1/AuthenticationFactorValidator
  • /admin/v1/MePasswordResetter
  • /admin/v1/UserPasswordChanger
  • /admin/v1/UserLockedStateChanger
  • /admin/v1/AuthenticationFactorsRemover
  • /admin/v1/BypassCodes
  • /admin/v1/MyBypassCodes
  • /admin/v1/MyTrustedUserAgents
  • /admin/v1/Devices
  • /admin/v1/MyDevices
  • /admin/v1/TermsOfUses
  • /admin/v1/TermsOfUseStatements
  • /admin/v1/AuthenticationFactorSettings
  • /admin/v1/SsoSettings
  • /admin/v1/AdaptiveAccessSettings
  • /admin/v1/RiskProviderProfiles
  • /admin/v1/Threats
  • /admin/v1/UserDevices
  • /session/v1/SessionsLogoutValidator
  • /ui/v1/signin
Autenticación Básica
  • /admin/v1/HTTPAuthenticator
  • /admin/v1/PasswordAuthenticator
Tokens
  • /oauth2/v1/token
  • /oauth2/v1/introspect
  • /oauth2/v1/revoke
  • /oauth2/v1/device
Importar/exportar
  • /job/v1/JobSchedules?jobType=UserImport
  • /job/v1/JobSchedules?jobType=UserExport
  • /job/v1/JobSchedules?jobType=GroupImport
  • /job/v1/JobSchedules?jobType=GroupExport
  • /job/v1/JobSchedules?jobType=AppRoleImport
  • /job/v1/JobSchedules?jobType=AppRoleExport
Bloque
  • /admin/v1/Bulk
  • /admin/v1/BulkUserPasswordChanger
  • /admin/v1/BulkUserPasswordResetter
  • /admin/v1/BulkSourceEvents
Otros

Cualquier API que no esté en ninguno de los otros grupos de API se incluye en el otro grupo de API

Otras restricciones

Las siguientes restricciones son para las operaciones masivas, de importación y de exportación para todos los niveles:

  • Tamaño de carga útil: 1 MB
  • API masiva: límite de 50 operaciones por llamada
  • Sólo se puede ejecutar una de estas acciones a la vez:
    • Importar: para usuarios, grupos y afiliaciones a roles de aplicación
    • Sincronización completa desde las aplicaciones
    • API masivas
    • Exportar: para usuarios, grupos y afiliaciones a roles de aplicación
  • Importación de CSV: límite de 100 000 filas por CSV; tamaño máximo de archivo: 10 MB
  • Exportación de CSV: límite de 100 000 filas