Application API Clients
Introduction
Cet article décrit comment une application native intégrée à IBM Security Verify peut obtenir des autorisations d'accès aux API REST d' IBM Security Verify pour le compte d'utilisateurs authentifiés.
L'autorité déléguée est meilleure pour la sécurité
L'octroi d'un accès à une application par le biais d'une délégation d'autorité est bon pour la sécurité, car il ne donne pas à l'application un accès privilégié de plein droit. L'application ne peut effectuer que les actions accordées à un utilisateur qui s'est authentifié et a accédé à l'application.
Client API d'application
Lorsqu'une définition d'application personnalisée dans IBM Security Verify est configurée pour OpenID Connect, un client API d'application est créé lors du premier enregistrement de la définition. Ce client API, identifié par un client_id et un client_secret (facultatif), est utilisé pour exécuter les flux OAuth et OIDC afin d'acquérir des jetons d'identité et d'accès.
Un jeton d'accès acquis lors de l'exécution d'un flux OIDC ou OAuth basé sur l'utilisateur (c'est-à-dire tout flux autre que le flux d'informations d'identification du client), accorde au client de l'API de l'application l'autorité d'agir au nom de l'utilisateur authentifié au cours du flux.
Permissions requises pour l'accès à l'API REST
L'accès à une API REST IBM Security Verify n'est accordé que si le client de l'application API et l' utilisateur associé au jeton d'accès présenté disposent tous deux des autorisations requises.
Autorisations utilisateur
Un ensemble d'autorisations de base IBM Security Verify est accordé à tous les utilisateurs. Il s'agit d'autorisations telles que la possibilité de mettre à jour son propre enregistrement dans l'annuaire, de modifier son propre mot de passe ou de rechercher et d'initier un flux d'authentification forte pour lui-même. Des autorisations supplémentaires sont accordées aux utilisateurs par le biais de rôles administratifs.
Droits d'accès aux applications
Un client API d'application se voit accorder des autorisations pour les API IBM Security Verify dans la définition de l'application. Une entrée pour le client API de l'application apparaît dans l'onglet Accès API de la définition de l'application.
Vous pouvez distinguer l'entrée du client API de l'application de toutes les entrées du client API privilégiées pour les raisons suivantes :
- Il est toujours listé en premier
- Elle porte le même nom que l'application
- Il n'y a pas d'informations d'identification du client définies dans la page de détails du client de l'API

Jon Harry, IBM Security
Updated about 2 months ago