Documentazione dell'infrastruttura Oracle Cloud

Introduzione all'API REST dei domini di Identity

L'API REST dei domini di Identity gestisce in modo sicuro le risorse, incluse le identità e i dati di configurazione. Il supporto per OpenID Connect consente l'integrazione con applicazioni e domini di identità conformi. Il servizio OAuth2 fornisce un'infrastruttura API per l'autorizzazione che supporta una serie di tipi di concessione di token che consentono di connettere in modo sicuro i client ai servizi.

L'API REST dei domini di Identity supporta endpoint conformi a SCIM 2.0 con schemi core SCIM 2.0 standard e estensioni di schema Oracle per effettuare le operazioni riportate di seguito.

  • Gestire utenti, gruppi e applicazioni.

  • Eseguire funzioni di identità, inclusa la generazione e la reimpostazione della password.

  • Eseguire task amministrativi, tra cui operazioni di massa e pianificazione dei job.

  • Configurare le impostazioni per un dominio di Identity, inclusi i modelli di autenticazione a più fattori, branding e notifica.

Questa guida contiene le sezioni riportate di seguito.

  • Avvisi di non validità degli endpoint: informazioni sugli avvisi di non validità degli endpoint per i domini di Identity.
  • Avvio rapido: consente di iniziare rapidamente a utilizzare l'API REST dei domini di Identity completando i prerequisiti, installando i curl e impostando l'autorizzazione per gestire le risorse del dominio di Identity, ad esempio utenti, gruppi e applicazioni.
  • Limiti di frequenza API: comprendere la limitazione di frequenza per le API per tipi di dominio di Identity diversi.
  • Strutturazione delle richieste di risorse: informazioni sulle linee guida per la creazione delle richieste di invio in un dominio di Identity.
  • Utilizzo di cURL: informazioni su come utilizzare cURL per accedere alle API REST.
  • Gestione dell'autorizzazione mediante l'API: informazioni su come utilizzare un client OAuth per accedere all'API REST dei domini di Identity. L'API REST dei domini di Identity non è accessibile utilizzando solo un nome utente e una password del dominio di Identity. Per accedere all'API REST dei domini di Identity, è necessario un token di accesso OAuth2 o una chiave API da utilizzare per l'autorizzazione.
  • Casi d'uso delle API: consente di analizzare i casi d'uso tipici utilizzando le API REST del dominio di Identity.

Le seguenti risorse non sono presenti in questa guida, ma sono disponibili anche per l'utente.

Quando si utilizza l'interfaccia utente dei domini di Identity:

Quando si utilizza l'API o l'interfaccia CLI:

  • Per gestire i domini di Identity (ad esempio, la creazione o l'eliminazione di un dominio), vedere API IAM.
  • Per gestire le risorse all'interno di un dominio di Identity, ad esempio utenti, gruppi di risorse dinamiche, gruppi e provider di identità, vedere CLI dei domini di Identity.

Avvisi di non validità degli endpoint

Leggere gli avvisi di non validità degli endpoint per i domini di Identity in IAM.

Per esaminare i dettagli sulle modifiche all'interruzione di Oracle Cloud Infrastructure, come funzioni non più valide, API non più valide e modifiche al comportamento dei servizi, vedere Annunci sulle modifiche al servizio IAM.

Avvio rapido

Inizia rapidamente a utilizzare l'API REST dei domini di Identity completando i prerequisiti, installando i curl e impostando l'autorizzazione per gestire le risorse del dominio di Identity come utenti, gruppi e applicazioni.

Requisiti indispensabili

  1. Acquistare una sottoscrizione a Oracle Cloud: vedere Acquistare una sottoscrizione a Oracle Cloud.
  2. Attivare l'ordine: impostare l'account o attivare l'ordine. Vedere Attiva l'ordine dall'e-mail di benvenuto in Acquista una sottoscrizione a Oracle Cloud.
  3. Ottenere le credenziali e l'autorizzazione dell'account appropriate per accedere alle API del dominio di Identity dall'amministratore del dominio di Identity:

    • Per connettersi al dominio d'identità. Contattare l'amministratore del dominio di Identity per ottenere il nome utente, la password e il nome del dominio di Identity.

    • Per utilizzare l'API senza un account utente. Gli amministratori possono utilizzare l'API dei domini di Identity senza un account utente nel dominio di Identity. Per utilizzare l'API dei domini di Identity senza un account utente, richiedere un ID client e un segreto client all'amministratore del dominio di Identity.

Passo 1: connettersi al dominio di Identity

Dopo aver attivato l'account, vengono inviate le credenziali di accesso e un collegamento alla home page del dominio di Identity. Selezionare il collegamento nell'e-mail, quindi immettere le credenziali di accesso fornite. Viene visualizzata la home page del dominio di Identity. Vedere Sign In to the Console.

Passo 2: Installare cURL

Gli esempi all'interno di questo documento utilizzano lo strumento della riga di comando cURL per dimostrare come accedere all'API REST dei domini di Identity.

Per connettersi in modo sicuro al server, è necessario installare una versione di cURL che supporta SSL e fornire un file o un bundle di certificati dell'autorità di certificazione SSL (CA) per l'autenticazione con il certificato CA di Verisign. Ulteriori informazioni sono disponibili per gli argomenti seguenti.

La procedura seguente mostra come installare cURL in un sistema a 64 bit di Windows.

  1. In un browser andare alla home page cURL all'indirizzo http://curl.haxx.se/download.html.

  2. Nella pagina Rilasci e download cURL, individuare la versione abilitata per SSL corrispondente al sistema operativo in uso, quindi selezionare il collegamento per scaricare il file ZIP.

  3. Installare il software.

  4. Passare alla pagina Certificazioni CA cURL all'indirizzo http://curl.haxx.se/docs/caextract.html, quindi scaricare il bundle di certificati CA (Certificate Authority) CA-bundle.crt nella cartella in cui è stato installato cURL.

  5. Impostare la variabile d'ambiente cURL:

    1. Aprire una finestra dei comandi.

    2. Andare alla directory in cui è stato installato cURL.

    3. Impostare la variabile di ambiente cURL (CURL_CA_BUNDLE) sulla posizione del bundle di certificati SSLCA. Ad esempio: C:\curl> set CURL_CA_BUNDLE=ca-bundle.crt.

Passo 3: comprendere il formato dell'URL della risorsa

È possibile accedere all'API REST dei domini di Identity utilizzando un URL, che include l'endpoint REST, la risorsa a cui si desidera accedere e qualsiasi parametro di query che si desidera includere in una richiesta.

L'endpoint di base per l'API REST dei domini di identità è:

https://<domainURL>/admin/v1/

Per informazioni specifiche sulla creazione di questi URL, vedere Invia richieste.

Passo 4: Impostazione dell'autorizzazione

È necessario generare il token di accesso che è quindi possibile utilizzare per autorizzare le richieste inviate all'API REST dei domini di Identity. Vedere Gestione dell'autorizzazione mediante l'API.

È ora possibile inviare richieste a un dominio di Identity utilizzando cURL.

Passo 5: gestire le risorse del dominio di Identity

Iniziare a utilizzare l'API REST per gestire le configurazioni, le identità e le risorse complessive del dominio di Identity.

Limiti di frequenza API

Comprendere la limitazione di frequenza per le API per diversi tipi di dominio di Identity.

Le API Oracle sono soggette a limitazioni di frequenza per proteggere l'uso del servizio API per tutti i clienti Oracle. Se si raggiunge il limite API per il tipo di dominio di Identity, IAM restituisce un codice di errore 429.

Limiti di frequenza per tutti i tipi di dominio di Identity

Gruppo API Per Gratuito Oracle Apps Oracle Apps Premium Premium Utente esterno
AuthN secondo 10 50 80 95 90
AuthN minuto 150 1.000 2.100 4.500 3.100
BasicAuthN secondo 10 100 160 95 90
BasicAuthN minuto 150 3.000 4.000 4.500 3.100
Gestione token secondo 10 40 50 65 60
Gestione token minuto 150 1.000 1.700 3.400 2.300
Altri secondo 20 50 55 90 80
Altri minuto 150 1.500 1.750 5.000 4.000
Bulk secondo 5 5 5 5 5
Bulk minuto 200 200 200 200 200
Importa ed esporta giorno 4 8 10 10 10
Nota

Il numero massimo di oggetti sicuri di propagazione delle identità che è possibile creare è limitato a 30. Contattare il supporto se il limite deve essere aumentato. Per ulteriori informazioni sui limiti degli oggetti, vedere Limiti degli oggetti del dominio di Identity IAM.

API nei gruppi API

I limiti API si applicano al totale di tutte le API all'interno di un gruppo.

Autenticazione
  • /sso/v1/user/login
  • /sso/v1/user/secure/login
  • /sso/v1/user/logout
  • /sso/v1/sdk/authenticate
  • /sso/v1/sdk/session
  • /sso/v1/sdk/idp
  • /sso/v1/sdk/secure/session
  • /mfa/v1/requests
  • /mfa/v1/users/{userguid}/factors
  • /oauth2/v1/authorize
  • /oauth2/v1/userlogout
  • /oauth2/v1/consent
  • /fed/v1/user/request/login
  • /fed/v1/sp/sso
  • /fed/v1/idp/sso
  • /fed/v1/idp/usernametoken
  • /fed/v1/metadata
  • /fed/v1/mex
  • /fed/v1/sp/slo
  • /fed/v1/sp/initiatesso
  • /fed/v1/sp/ssomtls
  • /fed/v1/idp/slo
  • /fed/v1/idp/initiatesso
  • /fed/v1/idp/wsfed
  • /fed/v1/idp/wsfedsignoutreturn
  • /fed/v1/user/response/login
  • /fed/v1/user/request/logout
  • /fed/v1/user/response/logout
  • /fed/v1/user/testspstart
  • /fed/v1/user/testspresult
  • /admin/v1/SigningCert/jwk
  • /admin/v1/Asserter
  • /admin/v1/MyAuthenticationFactorInitiator
  • /admin/v1/MyAuthenticationFactorEnroller
  • /admin/v1/MyAuthenticationFactorValidator
  • /admin/v1/MyAuthenticationFactorsRemover
  • /admin/v1/TermsOfUseConsent
  • /admin/v1/MyTermsOfUseConsent
  • /admin/v1/TrustedUserAgents
  • /admin/v1/AuthenticationFactorInitiator
  • /admin/v1/AuthenticationFactorEnroller
  • /admin/v1/AuthenticationFactorValidator
  • /admin/v1/MePasswordResetter
  • /admin/v1/UserPasswordChanger
  • /admin/v1/UserLockedStateChanger
  • /admin/v1/AuthenticationFactorsRemover
  • /admin/v1/BypassCodes
  • /admin/v1/MyBypassCodes
  • /admin/v1/MyTrustedUserAgents
  • /admin/v1/Devices
  • /admin/v1/MyDevices
  • /admin/v1/TermsOfUses
  • /admin/v1/TermsOfUseStatements
  • /admin/v1/AuthenticationFactorSettings
  • /admin/v1/SsoSettings
  • /admin/v1/AdaptiveAccessSettings
  • /admin/v1/RiskProviderProfiles
  • /admin/v1/Threats
  • /admin/v1/UserDevices
  • /session/v1/SessionsLogoutValidator
  • /ui/v1/signin
Autenticazione Basic
  • /admin/v1/HTTPAuthenticator
  • /admin/v1/PasswordAuthenticator
Token
  • /oauth2/v1/token
  • /oauth2/v1/introspect
  • /oauth2/v1/revoke
  • /oauth2/v1/device
Importa/Esporta
  • /job/v1/JobSchedules?jobType=UserImport
  • /job/v1/JobSchedules?jobType=UserExport
  • /job/v1/JobSchedules?jobType=GroupImport
  • /job/v1/JobSchedules?jobType=GroupExport
  • /job/v1/JobSchedules?jobType=AppRoleImport
  • /job/v1/JobSchedules?jobType=AppRoleExport
Bulk
  • /admin/v1/Bulk
  • /admin/v1/BulkUserPasswordChanger
  • /admin/v1/BulkUserPasswordResetter
  • /admin/v1/BulkSourceEvents
Altro

Qualsiasi API non presente in uno degli altri gruppi di API è inclusa nel gruppo Altre API

Altre limitazioni

Queste limitazioni sono relative a bulk, importazione ed esportazione per tutti i livelli:

  • Dimensione payload: 1 MB
  • API bulk: limite di 50 operazioni per chiamata
  • Solo uno di questi può essere eseguito alla volta:
    • Importa: per utenti, gruppi e appartenenze ai ruoli applicazione
    • Sincronizzazione completa dalle app
    • API di massa
    • Esporta: per utenti, gruppi e appartenenze ai ruoli applicazione
  • Importazione CSV: limite di righe 100 K per CSV e dimensione massima file: 10 MB
  • Esportazione CSV: limite righe 100 K