Documentation sur Oracle Cloud Infrastructure

Introduction à l'API REST des domaines d'identité

L'API REST des domaines d'identité gère les ressources en toute sécurité, notamment les identités et les données de configuration. La prise en charge d'OpenID Connect permet l'intégration avec des applications et des domaines d'identité conformes. Le service OAuth2 fournit une infrastructure d'API pour l'autorisation qui prend en charge un éventail de types d'octroi de jeton qui vous permettent de connecter des clients aux services en toute sécurité.

L'API REST des domaines d'identité prend en charge les points d'extrémité conformes à SCIM 2.0 avec les schémas de base SCIM 2.0 standard et les extensions de schéma Oracle pour :

  • Gérer les utilisateurs, les groupes et les applications.

  • Exécuter des fonctions d'identité, y compris la génération et la réinitialisation des mots de passe.

  • Effectuer des tâches administratives, y compris les opérations en masse et la programmation des tâches.

  • Configurer les paramètres d'un domaine d'identité, notamment l'authentification multifacteur, la marque et les modèles d'avis.

Ce guide contient les sections suivantes :

  • Avis d'abandon de points d'extrémité : En savoir plus sur les avis d'abandon de points d'extrémité pour les domaines d'identité.
  • Démarrage rapide : Démarrez rapidement avec l'API REST des domaines d'identité en remplissant les préalables, en installant curl et en configurant une autorisation pour gérer vos ressources de domaine d'identité telles que les utilisateurs, les groupes et les applications.
  • Limites de débit d'API : Découvrez la limitation de débit des API pour différents types de domaine d'identité.
  • Structuration des demandes de ressource : Découvrez les directives pour créer des demandes d'envoi dans un domaine d'identité.
  • Utilisation de cURL : Voyez comment utiliser cURL pour accéder aux API REST.
  • Gestion de l'autorisation à l'aide de l'API : Voyez comment utiliser un client OAuth pour accéder à l'API REST des domaines d'identité. L'API REST des domaines d'identité n'est pas accessible en utilisant uniquement un nom d'utilisateur et un mot de passe de domaine d'identité. Pour accéder à l'API REST des domaines d'identité, vous avez besoin d'un jeton d'accès OAuth2 ou d'une clé d'API à utiliser pour l'autorisation.
  • Cas d'utilisation d'API : Parcourez les cas d'utilisation typiques à l'aide des API REST du domaine d'identité.

Les ressources suivantes ne figurent pas dans ce guide, mais sont également à votre disposition.

Lors de l'utilisation de l'interface utilisateur des domaines d'identité :

Lors de l'utilisation de l'API ou de l'interface de ligne de commande :

  • Pour gérer des domaines d'identité (par exemple, créer ou supprimer un domaine), voir API GIA.
  • Pour gérer les ressources d'un domaine d'identité, par exemple, les utilisateurs, les groupes de ressources dynamiques, les groupes et les fournisseurs d'identités, voir Interface de ligne de commande des domaines d'identité.

Avis d'abandon de points d'extrémité

Lisez les avis d'abandon de point d'extrémité pour les domaines d'identité dans IAM.

Pour en savoir plus sur les modifications importantes apportées à Oracle Cloud Infrastructure, telles que les fonctions et les API obsolètes, et les changements de comportement des services, voir Annonces de modification des services IAM.

Démarrage rapide

Démarrez rapidement avec l'API REST des domaines d'identité en remplissant les conditions requises, en installant curl et en configurant une autorisation pour gérer vos ressources de domaine d'identité telles que les utilisateurs, les groupes et les applications.

Préalables

  1. Acheter un abonnement à Oracle Cloud : Voir Acheter un abonnement Oracle Cloud.
  2. Activez votre commande : Configurez votre compte ou activez votre commande. Voir Activer votre commande à partir de votre courriel de bienvenue dans Acheter un abonnement Oracle Cloud.
  3. Obtenez les données d'identification et l'autorisation de compte appropriées pour accéder aux API de domaine d'identité auprès de votre administrateur de domaine d'identité :

    • Pour vous connecter à votre domaine d'identité. Consultez votre administrateur de domaine d'identité pour obtenir votre nom d'utilisateur, votre mot de passe et votre nom de domaine d'identité.

    • Pour utiliser l'API sans compte d'utilisateur. Les administrateurs peuvent utiliser l'API des domaines d'identité sans compte d'utilisateur dans le domaine d'identité. Pour utiliser l'API des domaines d'identité sans compte d'utilisateur, demandez un ID client et une clé secrète client à l'administrateur du domaine d'identité.

Étape 1 : Se connecter à votre domaine d'identité

Après avoir activé votre compte, vous recevez des données d'identification de connexion et un lien vers la page d'accueil de votre domaine d'identité. Sélectionnez le lien dans le courriel, puis entrez les données d'identification de connexion fournies. La page d'accueil de votre domaine d'identité s'affiche. Voir Connexion à la console.

Étape 2 : Installer cURL

Les exemples de ce document utilisent l'outil de ligne de commande cURL pour démontrer comment accéder à l'API REST des domaines d'identité.

Pour vous connecter en toute sécurité au serveur, vous devez installer une version de cURL qui prend en charge SSL et fournir un fichier ou un ensemble de certificats d'autorité de certification SSL pour l'authentification par rapport au certificat de l'autorité de certification Verisign. Pour plus d'informations sur :

La procédure suivante montre comment installer cURL sur un système Windows 64 bits.

  1. Dans un navigateur, naviguez jusqu'à la page d'accueil cURL à l'adresse http://curl.haxx.se/download.html.

  2. Dans la page cURL Releases and Downloads, recherchez la version SSL qui correspond à votre système d'exploitation, puis sélectionnez le lien pour télécharger le fichier ZIP.

  3. Installer le logiciel.

  4. Naviguez jusqu'à la page Certificats d'autorité de certification cURL à l'adresse http://curl.haxx.se/docs/caextract.html, puis téléchargez l'ensemble de certificats d'autorité de certification SSL CA-bundle.crt dans le dossier où vous avez installé cURL.

  5. Définissez la variable d'environnement cURL :

    1. Ouvrez une fenêtre de commande.

    2. Accédez au répertoire où vous avez installé cURL.

    3. Réglez la variable d'environnement cURL (CURL_CA_BUNDLE) à l'emplacement de l'ensemble de certificats SSLCA. Par exemple : C:\curl> set CURL_CA_BUNDLE=ca-bundle.crt.

Étape 3 : Comprendre le format de l'URL de la ressource

Vous accédez à l'API REST des domaines d'identité à l'aide d'une URL, qui inclut le point d'extrémité REST, la ressource à laquelle vous voulez accéder et tous les paramètres d'interrogation à inclure dans une demande.

Le point d'extrémité de base pour l'API REST des domaines d'identité est :

https://<domainURL>/admin/v1/

Voir Envoyer des demandes pour plus de détails sur la création de ces URL.

Étape 4 : Configurer l'autorisation

Vous devez générer le jeton d'accès que vous pouvez ensuite utiliser pour autoriser les demandes que vous envoyez à l'API REST des domaines d'identité. Voir Gestion de l'autorisation à l'aide de l'API.

Vous êtes maintenant prêt à envoyer des demandes à un domaine d'identité à l'aide de cURL.

Étape 5 : Gérer les ressources de votre domaine d'identité

Commencez à utiliser l'API REST pour gérer les configurations générales du domaine d'identité, les identités et les ressources.

Limites d'utilisation des API

Découvrez les limites d'utilisation des API pour différents types de domaine d'identité.

Les API Oracle sont soumises à des limites afin de protéger l'utilisation du service d'API pour tous les clients Oracle. Si vous atteignez la limite d'API pour le type de domaine d'identité, le service IAM retourne un code d'erreur 429.

Limites d'utilisation pour tous les types de domaine d'identité

Groupe d'API Par Gratuit Oracle Apps Oracle Apps Premium Premium Utilisateur externe
AuthN seconde 10 50 80 95 90
AuthN minute 150 1 000 2 100 4 500 3 100
BasicAuthN seconde 10 100 160 95 90
BasicAuthN minute 150 3 000 4 000 4 500 3 100
Gestion des jetons seconde 10 40 50 65 60
Gestion des jetons minute 150 1 000 1 700 3 400 2 300
Autres seconde 20 50 55 90 80
Autres minute 150 1 500 1 750 5 000 4 000
En masse seconde 5 5 5 5 5
En masse minute 200 200 200 200 200
Importer et exporter jour 4 8 10 10 10
Note

Le nombre maximal d'objets d'approbation de propagation d'identité pouvant être créés est limité à 30. Communiquez avec le soutien technique si la limite doit être augmentée. Pour plus d'informations sur les limites d'objet, voir Limites d'objet de domaine d'identité IAM.

API dans les groupes d'API

Les limites d'API s'appliquent au total de toutes les API d'un groupe.

Authentication
  • /sso/v1/user/login
  • /sso/v1/user/secure/login
  • /sso/v1/user/logout
  • /sso/v1/sdk/authenticate
  • /sso/v1/sdk/session
  • /sso/v1/sdk/idp
  • /sso/v1/sdk/secure/session
  • /mfa/v1/requests
  • /mfa/v1/users/{userguid}/factors
  • /oauth2/v1/authorize
  • /oauth2/v1/userlogout
  • /oauth2/v1/consent
  • /fed/v1/user/request/login
  • /fed/v1/sp/sso
  • /fed/v1/idp/sso
  • /fed/v1/idp/usernametoken
  • /fed/v1/metadata
  • /fed/v1/mex
  • /fed/v1/sp/slo
  • /fed/v1/sp/initiatesso
  • /fed/v1/sp/ssomtls
  • /fed/v1/idp/slo
  • /fed/v1/idp/initiatesso
  • /fed/v1/idp/wsfed
  • /fed/v1/idp/wsfedsignoutreturn
  • /fed/v1/user/response/login
  • /fed/v1/user/request/logout
  • /fed/v1/user/response/logout
  • /fed/v1/user/testspstart
  • /fed/v1/user/testspresult
  • /admin/v1/SigningCert/jwk
  • /admin/v1/Asserter
  • /admin/v1/MyAuthenticationFactorInitiator
  • /admin/v1/MyAuthenticationFactorEnroller
  • /admin/v1/MyAuthenticationFactorValidator
  • /admin/v1/MyAuthenticationFactorsRemover
  • /admin/v1/TermsOfUseConsent
  • /admin/v1/MyTermsOfUseConsent
  • /admin/v1/TrustedUserAgents
  • /admin/v1/AuthenticationFactorInitiator
  • /admin/v1/AuthenticationFactorEnroller
  • /admin/v1/AuthenticationFactorValidator
  • /admin/v1/MePasswordResetter
  • /admin/v1/UserPasswordChanger
  • /admin/v1/UserLockedStateChanger
  • /admin/v1/AuthenticationFactorsRemover
  • /admin/v1/BypassCodes
  • /admin/v1/MyBypassCodes
  • /admin/v1/MyTrustedUserAgents
  • /admin/v1/Devices
  • /admin/v1/MyDevices
  • /admin/v1/TermsOfUses
  • /admin/v1/TermsOfUseStatements
  • /admin/v1/AuthenticationFactorSettings
  • /admin/v1/SsoSettings
  • /admin/v1/AdaptiveAccessSettings
  • /admin/v1/RiskProviderProfiles
  • /admin/v1/Threats
  • /admin/v1/UserDevices
  • /session/v1/SessionsLogoutValidator
  • /ui/v1/signin
Authentification de base
  • /admin/v1/HTTPAuthenticator
  • /admin/v1/PasswordAuthenticator
Jetons
  • /oauth2/v1/token
  • /oauth2/v1/introspect
  • /oauth2/v1/revoke
  • /oauth2/v1/device
Importer/Exporter
  • /job/v1/JobSchedules?jobType=UserImport
  • /job/v1/JobSchedules?jobType=UserExport
  • /job/v1/JobSchedules?jobType=GroupImport
  • /job/v1/JobSchedules?jobType=GroupExport
  • /job/v1/JobSchedules?jobType=AppRoleImport
  • /job/v1/JobSchedules?jobType=AppRoleExport
Vrac
  • /admin/v1/Bulk
  • /admin/v1/BulkUserPasswordChanger
  • /admin/v1/BulkUserPasswordResetter
  • /admin/v1/BulkSourceEvents
Autres

Toute API qui ne figure pas dans l'un des autres groupes d'API est incluse dans l'autre groupe d'API

Autres restrictions

Ces restrictions s'appliquent aux opérations en masse, aux importations et aux exportations pour tous les niveaux :

  • Taille des données utiles : 1 Mo
  • Opérations d'API en masse : limite de 50 opérations par appel
  • Une seule de ces opérations peut être exécutée à la fois :
    • Importation : Pour les utilisateurs, les groupes et les appartenances aux rôles d'application
    • Synchronisation complète à partir des applications
    • Opérations d'API en masse
    • Exportation : Pour les utilisateurs, les groupes et les appartenances aux rôles d'application
  • Importation CSV : Limite de 100 000 rangées par fichier CSV et taille maximale de fichier : 10 Mo
  • Exportation CSV : Limite de 100 000 rangées