Documentation Oracle Cloud Infrastructure

Introduction à l'API REST des domaines d'identité

L'API REST des domaines d'identité gère les ressources de manière sécurisée, y compris les identités et les données de configuration. La prise en charge d'OpenID Connect permet l'intégration avec des applications et des domaines d'identité conformes. Le service OAuth2 fournit une infrastructure d'API pour l'autorisation qui prend en charge toute une gamme de types d'octroi de jeton permettant de connecter des clients aux services en toute sécurité.

L'API REST des domaines d'identité prend en charge les adresses conformes à SCIM 2.0 avec des schémas de base SCIM 2.0 standard et des extensions de schéma Oracle pour :

  • Gérer les utilisateurs, les groupes et les applications.

  • Exécuter des fonctions d'identité, notamment la génération et la réinitialisation des mots de passe.

  • Effectuer des tâches administratives, notamment des opérations en masse et la planification des travaux.

  • Configurer les paramètres d'un domaine d'identité, notamment l'authentification à plusieurs facteurs, le marquage et les modèles de notification.

Ce guide contient les sections suivantes :

  • Avis d'abandon d'adresses : découvrez les avis d'abandon d'adresses pour les domaines d'identité.
  • Démarrage rapide : démarrez rapidement l'API REST des domaines d'identité en remplissant les prérequis, en installant curl et en configurant l'autorisation pour gérer les ressources de votre domaine d'identité, telles que les utilisateurs, les groupes et les applications.
  • Limites de débit des API : découvrez la limitation de débit des API pour les différents types de domaine d'identité.
  • Structuration des demandes de ressource : suivez les instructions permettant de créer des demandes d'envoi dans un domaine d'identité.
  • Utilisation d'une cURL : découvrez comment utiliser une cURL pour accéder aux API REST.
  • Gestion de l'autorisation à l'aide de l'API : découvrez comment utiliser un client OAuth pour accéder à l'API REST des domaines d'identité. L'API REST de domaines d'identité n'est pas accessible uniquement à l'aide d'un nom utilisateur et d'un mot de passe de domaine d'identité. Pour accéder à l'API REST des domaines d'identité, vous avez besoin d'un jeton d'accès OAuth2 ou d'une clé d'API à utiliser pour l'autorisation.
  • Cas d'utilisation d'API : passez en revue les cas d'utilisation standard à l'aide des API REST de domaine d'identité.

Les ressources suivantes ne figurent pas dans ce guide, mais sont également à votre disposition.

Lors de l'utilisation de l'interface utilisateur des domaines d'identité :

Lors de l'utilisation de l'API ou de l'interface de ligne de commande :

  • Pour gérer les domaines d'identité (par exemple, créer et supprimer un domaine), reportez-vous à API IAM.
  • Pour gérer les ressources au sein d'un domaine d'identité, par exemple, utilisateurs, groupes de ressources dynamiques, groupes et fournisseurs d'identités, reportez-vous à CLI des domaines d'identité.

Avis d'abandon d'adresses

Lisez les avis d'abandon d'adresse pour les domaines d'identité dans IAM.

Reportez-vous à Annonces relatives aux modifications avec rupture de service IAM pour consulter les détails sur les modifications avec rupture Oracle Cloud Infrastructure, telles que celles en phase d'abandon, les API en phase d'abandon et les modifications de comportement.

Démarrage rapide

Lancez-vous rapidement avec l'API REST de domaines d'identité en remplissant les prérequis, en installant curl et en configurant l'autorisation pour gérer vos ressources de domaine d'identité telles que les utilisateurs, les groupes et les applications.

Prérequis

  1. Achat d'un abonnement Oracle Cloud : reportez-vous à Achat d'un abonnement Oracle Cloud.
  2. Activer la commande : Configurez votre compte ou activez la commande. Reportez-vous à Activation de votre commande à partir de votre courriel de bienvenue dans le guide Achat d'un abonnement Oracle Cloud.
  3. Obtenez les informations d'identification de compte et l'autorisation appropriées pour accéder aux API de domaine d'identité auprès de l'administrateur de domaine d'identité :

    • Pour vous connecter à votre domaine d'identité. Consultez l'administrateur de domaine d'identité pour obtenir votre nom utilisateur, votre mot de passe et votre nom de domaine d'identité.

    • Pour utiliser l'API sans compte utilisateur. Les administrateurs peuvent utiliser l'API des domaines d'identité sans compte utilisateur dans le domaine d'identité. Pour utiliser l'API des domaines d'identité sans compte utilisateur, demandez un ID client et une clé secrète client à l'administrateur de domaine d'identité.

Etape 1 : connexion à votre domaine d'identité

Une fois votre compte activé, des informations d'identification de connexion et un lien vers la page d'accueil de votre domaine d'identité vous sont envoyés. Sélectionnez le lien dans le courriel, puis entrez les informations d'identification de connexion fournies. La page d'accueil de votre domaine d'identité apparaît. Reportez-vous à la section Connexion à la console.

Etape 2 : installation de cURL

Les exemples de ce document utilisent l'outil de ligne de commande cURL pour montrer comment accéder à l'API REST des domaines d'identité.

Pour vous connecter en toute sécurité au serveur, vous devez installer une version de cURL qui prend en charge SSL et fournir un fichier ou un groupe de certificats d'autorité de certification SSL à authentifier par rapport au certificat d'autorité de certification Verisign. Pour plus d'informations sur :

La procédure suivante explique comment installer cURL sur un système Windows 64 bits.

  1. Dans un navigateur, accédez à la page d'accueil cURL à l'adresse http://curl.haxx.se/download.html.

  2. Sur la page Versions et téléchargements de cURL, recherchez la version SSL qui correspond à votre système d'exploitation, puis sélectionnez le lien pour télécharger le fichier ZIP.

  3. Installez le logiciel.

  4. Accédez à la page Certs d'autorité de certification cURL à l'adresse http://curl.haxx.se/docs/caextract.html, puis téléchargez le groupe de certificats d'autorité de certification SSL CA-bundle.crt dans le dossier dans lequel vous avez installé cURL.

  5. Définissez la variable d'environnement cURL :

    1. Ouvrez une fenêtre de commande.

    2. Accédez au répertoire dans lequel vous avez installé cURL.

    3. Définissez la variable d'environnement cURL (CURL_CA_BUNDLE) sur l'emplacement du groupe de certificats SSLCA. Par exemple : C:\curl> set CURL_CA_BUNDLE=ca-bundle.crt.

Etape 3 : Comprendre le format de l'URL de ressource

Vous accédez à l'API REST des domaines d'identité à l'aide d'une URL, qui inclut l'adresse REST, la ressource à laquelle vous voulez accéder et tous les paramètres de requête à inclure dans une demande.

L'adresse de base de l'API REST de domaines d'identité est la suivante :

https://<domainURL>/admin/v1/

Pour plus de détails sur la création de ces URL, reportez-vous à Envoyer des demandes.

Etape 4 : configuration de l'autorisation

Vous devez générer le jeton d'accès que vous pouvez ensuite utiliser pour autoriser les demandes que vous envoyez à l'API REST de domaines d'identité. Reportez-vous à Gestion des autorisations à l'aide de l'API.

Vous êtes maintenant prêt à envoyer des demandes à un domaine d'identité à l'aide de cURL.

Etape 5 : gestion des ressources de domaine d'identité

Commencez à utiliser l'API REST pour gérer les configurations et les identités globales des domaines d'identité, ainsi que les ressources.

Limites de débit d'API

Découvrez les limitations de débit des API pour les différents types de domaine d'identité.

Les API Oracle sont soumises à une limitation de débit afin de protéger l'utilisation du service d'API pour tous les clients Oracle. Si vous atteignez la limite d'API pour votre type de domaine d'identité, IAM renvoie le code d'erreur 429.

Limites de débit pour tous les types de domaine d'identités

Groupe d'API Par Gratuit Oracle Apps Oracle Apps - Premium Premium Utilisateur externe
AuthN seconde 10 50 80 95 90
AuthN minute 150 1 000 2 100 4 500 3 100
BasicAuthN seconde 10 100 160 95 90
BasicAuthN minute 150 3 000 4 000 4 500 3 100
Gestion des jetons seconde 10 40 50 65 60
Gestion des jetons minute 150 1 000 1 700 3 400 2 300
Autres seconde 20 50 55 90 80
Autres minute 150 1 500 1 750 5 000 4 000
Traitement en masse seconde 5 5 5 5 5
Traitement en masse minute 200 200 200 200 200
Importation et exportation jour 4 8 10 10 10
Remarque

Le nombre maximal d'objets sécurisés de propagation d'identité pouvant être créés est limité à 30. Contactez le support si la limite doit être augmentée. Pour plus d'informations sur les limites d'objet, reportez-vous à Limites d'objet de domaine d'identité IAM.

API dans les groupes d'API

Les limites d'API s'appliquent au total de toutes les API d'un groupe.

Authentification
  • /sso/v1/user/login
  • /sso/v1/user/secure/login
  • /sso/v1/user/logout
  • /sso/v1/sdk/authenticate
  • /sso/v1/sdk/session
  • /sso/v1/sdk/idp
  • /sso/v1/sdk/secure/session
  • /mfa/v1/requests
  • /mfa/v1/users/{userguid}/factors
  • /oauth2/v1/authorize
  • /oauth2/v1/userlogout
  • /oauth2/v1/consent
  • /fed/v1/user/request/login
  • /fed/v1/sp/sso
  • /fed/v1/idp/sso
  • /fed/v1/idp/usernametoken
  • /fed/v1/metadata
  • /fed/v1/mex
  • /fed/v1/sp/slo
  • /fed/v1/sp/initiatesso
  • /fed/v1/sp/ssomtls
  • /fed/v1/idp/slo
  • /fed/v1/idp/initiatesso
  • /fed/v1/idp/wsfed
  • /fed/v1/idp/wsfedsignoutreturn
  • /fed/v1/user/response/login
  • /fed/v1/user/request/logout
  • /fed/v1/user/response/logout
  • /fed/v1/user/testspstart
  • /fed/v1/user/testspresult
  • /admin/v1/SigningCert/jwk
  • /admin/v1/Asserter
  • /admin/v1/MyAuthenticationFactorInitiator
  • /admin/v1/MyAuthenticationFactorEnroller
  • /admin/v1/MyAuthenticationFactorValidator
  • /admin/v1/MyAuthenticationFactorsRemover
  • /admin/v1/TermsOfUseConsent
  • /admin/v1/MyTermsOfUseConsent
  • /admin/v1/TrustedUserAgents
  • /admin/v1/AuthenticationFactorInitiator
  • /admin/v1/AuthenticationFactorEnroller
  • /admin/v1/AuthenticationFactorValidator
  • /admin/v1/MePasswordResetter
  • /admin/v1/UserPasswordChanger
  • /admin/v1/UserLockedStateChanger
  • /admin/v1/AuthenticationFactorsRemover
  • /admin/v1/BypassCodes
  • /admin/v1/MyBypassCodes
  • /admin/v1/MyTrustedUserAgents
  • /admin/v1/Devices
  • /admin/v1/MyDevices
  • /admin/v1/TermsOfUses
  • /admin/v1/TermsOfUseStatements
  • /admin/v1/AuthenticationFactorSettings
  • /admin/v1/SsoSettings
  • /admin/v1/AdaptiveAccessSettings
  • /admin/v1/RiskProviderProfiles
  • /admin/v1/Threats
  • /admin/v1/UserDevices
  • /session/v1/SessionsLogoutValidator
  • /ui/v1/signin
Authentification de référence
  • /admin/v1/HTTPAuthenticator
  • /admin/v1/PasswordAuthenticator
Jetons
  • /oauth2/v1/token
  • /oauth2/v1/introspect
  • /oauth2/v1/revoke
  • /oauth2/v1/device
Importer/exporter
  • /job/v1/JobSchedules?jobType=UserImport
  • /job/v1/JobSchedules?jobType=UserExport
  • /job/v1/JobSchedules?jobType=GroupImport
  • /job/v1/JobSchedules?jobType=GroupExport
  • /job/v1/JobSchedules?jobType=AppRoleImport
  • /job/v1/JobSchedules?jobType=AppRoleExport
Traitement en masse
  • /admin/v1/Bulk
  • /admin/v1/BulkUserPasswordChanger
  • /admin/v1/BulkUserPasswordResetter
  • /admin/v1/BulkSourceEvents
Autre

Toute API ne figurant pas dans l'un des autres groupes d'API est incluse dans l'autre groupe d'API

Autres restrictions

Les restrictions suivantes s'appliquent aux opérations en masse, aux imports et aux exports pour tous les niveaux :

  • Taille de la charge utile : 1 Mo
  • Opérations d'API en masse : limite de 50 opérations par appel
  • Une seule des opérations suivantes peut être exécutée à la fois :
    • Import : pour les utilisateurs, les groupes et les appartenances aux rôles d'application
    • Synchronisation complète à partir des applications
    • API en masse
    • Export : pour les utilisateurs, les groupes et les appartenances aux rôles d'application
  • Import CSV : limite de 100 000 lignes par fichier CSV ; taille maximale de fichier : 10 Mo
  • Export CSV : limite de 100 000 lignes