Prerequisiti per l'autenticazione token

È necessario eseguire questi task prima di poter abilitare l'autenticazione e l'autorizzazione per le distribuzioni API utilizzando i token Web JSON (JWT).

• Un provider di identità conforme a OAuth2 (ad esempio, IAM OCI con domini di Identity, Oracle Identity Cloud Service (IDCS), Auth0) deve essere già stato impostato per emettere JWT per gli utenti autorizzati ad accedere alla distribuzione API.
• Se si desidera utilizzare le richieste personalizzate nei criteri di autorizzazione, è necessario impostare il provider di identità per aggiungere le richieste personalizzate alle richieste JWT emesse.

Per ulteriori informazioni, consultare la documentazione del provider di identità (ad esempio, la documentazione di OCI IAM with Identity Domains, la documentazione di Oracle Identity Cloud Service (IDCS) e la documentazione diAuth0).

Per convalidare un JWT utilizzando una chiave di verifica pubblica corrispondente fornita dal provider di identità emittente:

• l'algoritmo di firma utilizzato per generare la firma del JWT deve essere RS256, RS384 o RS512
• la chiave di verifica pubblica deve avere una lunghezza minima di 2048 bit e non deve superare i 4096 bit

Per convalidare i token utilizzando l'endpoint di introspezione di un server di autorizzazione:

• È necessario aver già creato e registrato un'applicazione client con il server di autorizzazione per ottenere le credenziali client (ID client e segreto client). Per ulteriori informazioni, consultare la documentazione del server di autorizzazione (ad esempio, la documentazione di OCI IAM with Identity Domains, la documentazione di Oracle Identity Cloud Service (IDCS) e la documentazione diAuth0).
• È necessario aver già memorizzato il segreto client ottenuto dal server di autorizzazione come segreto in un vault nel servizio Vault (vedere Creazione di un segreto in un vault) ed è necessario conoscere l'OCID e il numero di versione del segreto.
• È necessario aver già impostato un criterio per concedere ai gateway API in un gruppo dinamico l'autorizzazione ad accedere al segreto vault contenente il segreto client (vedere Creare un criterio per concedere ai gateway API l'accesso alle credenziali memorizzate come segreti nel servizio vault).