Habilita el acceso a los tokens de OAuth 2.0 por ID de usuario y de app

Edge para la nube privada v. 4.17.01

En este documento, se describe cómo habilitar la recuperación y revocación de tokens de acceso de OAuth 2.0 por ID de usuario final, ID de app o ambos.

Los IDs de app se agregan automáticamente a un token de acceso de OAuth. Por lo tanto, después de seguir el procedimiento que aparece a continuación para habilitar el acceso a los tokens para una organización, puedes acceder a los tokens por ID de app.

Para recuperar y revocar tokens de acceso de OAuth 2.0 por ID de usuario final, debe haber un ID de usuario final en el token de acceso. En el siguiente procedimiento, se describe cómo agregar un ID de usuario final a un token existente o a tokens nuevos.

De forma predeterminada, cuando Edge genera un token de acceso de OAuth 2.0, el token tiene el siguiente formato:

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

Ten en cuenta lo siguiente:

• El campo application_name contiene el UUID de la app asociada con el token. Si habilitas la recuperación y revocación de tokens de acceso de OAuth 2.0 por ID de app, este es el ID de app que usas.
• El campo access_token contiene el valor del token de acceso de OAuth 2.0.

Para habilitar la recuperación y revocación de tokens de acceso de OAuth 2.0 por ID de usuario final, configura la política de OAuth 2.0 para incluir el ID de usuario en el token, como se describe en el siguiente procedimiento.

El ID del usuario final es la cadena que Edge usa como ID del desarrollador, no la dirección de correo electrónico del desarrollador. Puedes determinar el ID del desarrollador a partir de su dirección de correo electrónico con la llamada a la API de Get Developer.

Después de que configures Edge para incluir el ID de usuario final en el token, este se incluirá como el campo app_enduser, como se muestra a continuación:

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "app_enduser" : "6ZG094fgnjNf02EK",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

APIs para recuperar y revocar tokens de acceso de OAuth 2.0 por ID de usuario e ID de app

Usa las siguientes APIs para acceder a los tokens de OAuth por ID de usuario, ID de app o ambos:

• Obtén un token de acceso de OAuth 2.0 por ID de usuario final o ID de app
• Cómo revocar un token de acceso de OAuth 2.0 por ID de usuario final o ID de app

Procedimiento para habilitar el acceso de tokens

Usa el siguiente procedimiento para habilitar la recuperación y revocación de tokens de acceso de OAuth 2.0 por ID de usuario final e ID de app.

Paso 1: Habilita la compatibilidad con el acceso de tokens para una organización

Debes habilitar el acceso de tokens para cada organización por separado. Llama a la API de PUT que aparece a continuación para cada organización en la que deseas habilitar la recuperación y revocación de tokens de acceso de OAuth 2.0 por ID de usuario final o ID de app.

El usuario que realice la siguiente llamada debe tener el rol orgadmin o opsadmin de la organización. Reemplaza los valores de {curly braces} por tus valores específicos de la organización:

> curl -H "Content-type:text/xml" -X POST \
  https://<ms-ip>:8080/v1/organizations/{org_name} \
  -d '<Organization name="{org_name}">
      <Properties>
        <Property name="features.isOAuthRevokeEnabled">true</Property>
        <Property name="features.isOAuth2TokenSearchEnabled">true</Property>
      </Properties>
    </Organization>' \ 
  -u {userEmail}:{mypassword}

Paso 2: Establece permisos para el rol opsadmin en la organización

Solo los roles orgadmin y opsadmin de una organización deben tener permisos para recuperar (HTTP GET) y revocar (HTTP PUT) tokens de OAuth 2.0 según el ID de usuario o el ID de app. Para controlar el acceso, establece permisos de get y put en el recurso /oauth2 de una organización. Ese recurso tiene una URL con el siguiente formato:

https://<ms-ip>:8080/v1/organizations/{org_name}/oauth2

El rol orgadmin ya debería tener los permisos necesarios. Para el rol opsadmin del recurso /oauth2, los permisos deberían verse de la siguiente manera:

<ResourcePermission path="/oauth2">
    <Permissions>
        <Permission>get</Permission>
        <Permission>put</Permission>
    </Permissions>
</ResourcePermission>

Puedes usar la llamada a la API Obtener permiso para una API de un solo recurso para ver qué roles tienen permisos para el recurso /oauth2.

Según la respuesta, puedes usar las llamadas a la API Add Permissions for Resource to a Role y Delete Permission for Resource para realizar los ajustes necesarios en los permisos de recursos de /oauth2.

Usa el siguiente comando cURL para otorgar al rol opsadmin los permisos get y put para el recurso /oauth2. Reemplaza los valores en {curly braces} con los valores específicos de tu organización:

> curl -X POST -H 'Content-type:application/xml' \
  http://<ms-ip>:8080/v1/organizations/{org}/userroles/opsadmin/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions>
        <Permission>get</Permission>
        <Permission>put</Permission>
      </Permissions>
    </ResourcePermission>' \
  -u {USEREMAIL}:{PWD} 

Usa el siguiente comando de cURL para revocar los permisos get y put para el recurso /oauth2 de roles que no sean orgadmin ni opsadmin. Reemplaza los valores de {curly braces} por tus valores específicos de la organización:

> curl -X DELETE -H 'Content-type:application/xml' \
  http://<msip>:8080/v1/organizations/{org-name}/userroles/{roles}/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions></Permissions>
    </ResourcePermission>' \
   -u {USEREMAIL}:{PWD} 

Paso 3: Establece la propiedad oauth_max_search_limit

Asegúrate de que la propiedad conf_keymanagement_oauth_max_search_limit en el archivo /opt/apigee/customer/application/management-server.properties esté configurada en 100:

conf_keymanagement_oauth_max_search_limit = 100

Si este archivo no existe, créalo.

Esta propiedad establece el tamaño de página que se usa cuando se recuperan los tokens. Apigee recomienda un valor de 100, pero puedes establecerlo como desees.

En una instalación nueva, la propiedad ya debería estar configurada en 100. Si tienes que cambiar el valor de esta propiedad, reinicia el servidor de administración y el procesador de mensajes con los siguientes comandos:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
> /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

Paso 4: Configura la política de OAuth 2.0 que genera tokens para incluir el ID del usuario final

Configura la política de OAuth 2.0 que se usa para generar tokens de acceso para incluir el ID del usuario final en el token. Si incluyes los ID de usuario final en el token de acceso, puedes recuperar y revocar tokens por ID.

Para configurar que la política incluya un ID de usuario final en un token de acceso, la solicitud que crea el token de acceso debe incluir el ID de usuario final y debes especificar la variable de entrada que lo contiene.

La siguiente política de OAuth 2.0, llamada GenerateAccessTokenClient, genera un token de acceso de OAuth 2.0. Ten en cuenta que se agregó la etiqueta <AppEndUser> en negrita que especifica la variable que contiene el ID de usuario final:

<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient">
    <DisplayName>OAuth 2.0.0 1</DisplayName>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>GenerateAccessToken</Operation>
    <SupportedGrantTypes>
         <GrantType>client_credentials</GrantType>
    </SupportedGrantTypes>
    <GenerateResponse enabled="true"/>
    <GrantType>request.queryparam.grant_type</GrantType> 
    <AppEndUser>request.header.appuserID</AppEndUser> 
    <ExpiresIn>960000</ExpiresIn>
</OAuthV2>

Luego, puedes usar el siguiente comando cURL para generar el token de acceso de OAuth 2.0 y pasar el ID de usuario como el encabezado appuserID:

> curl -H "appuserID:6ZG094fgnjNf02EK" \
https://myorg-test.apigee.net/oauth/client_credential/accesstoken?grant_type=client_credentials \
  -X POST \
  -d 'client_id=k3nJyFJIA3p62TKIkLO6OJNXFmP&client_secret=gk5K5lIp943AY4'

En este ejemplo, appuserID se pasa como un encabezado de solicitud. Puedes pasar información como parte de una solicitud de muchas maneras. Por ejemplo, como alternativa puedes hacer lo siguiente:

• Usa una variable de parámetro de formulario: request.formparam.appuserID
• Usa una variable de flujo que proporcione el ID de usuario final