Habilita el acceso a los tokens de OAuth 2.0 por ID de usuario y de app

Edge for Private Cloud v. 4.17.05

En este documento, se describe cómo habilitar la recuperación y la revocación de tokens de acceso de OAuth 2.0 mediante ID de usuario final, ID de aplicación o ambos.

Los IDs de app se agregan automáticamente a un token de acceso de OAuth. Por lo tanto, después de usar a continuación para habilitar el acceso a los tokens para una organización, puedes acceder a los tokens por ID de app.

Para recuperar y revocar tokens de acceso de OAuth 2.0 por ID de usuario final, debe haber un ID de usuario final en el token de acceso. El siguiente procedimiento describe cómo agregar un ID de usuario final a un token o a tokens nuevos.

De forma predeterminada, cuando Edge genera un token de acceso de OAuth 2.0, el token tiene el siguiente formato:

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

Ten en cuenta lo siguiente:

  • El campo application_name contiene el UUID de la app asociada con el token. Si habilitas la recuperación y la revocación de tokens de acceso de OAuth 2.0 por ID de app, este es el ID de app que usas.
  • El campo access_token contiene el valor del token de acceso de OAuth 2.0.

Para habilitar la recuperación y revocación de tokens de acceso de OAuth 2.0 por ID de usuario final, configura el Política de OAuth 2.0 para incluir el ID de usuario en el token, como se describe en el siguiente procedimiento.

El ID de usuario final es la cadena que usa Edge como ID de desarrollador, no el correo electrónico del desarrollador. web. Puedes determinar el ID del desarrollador desde la dirección de correo electrónico del desarrollador mediante el botón llamada a la API de Developer.

Después de que configures Edge para incluir el ID de usuario final en el token, este se incluirá como app_enduser, como se muestra a continuación:

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "app_enduser" : "6ZG094fgnjNf02EK",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

APIs para recuperar y revocar Tokens de acceso de OAuth 2.0 por ID de usuario e ID de app

Usa las siguientes APIs para acceder a los tokens de OAuth por ID de usuario, ID de app o ambos:

Procedimiento para habilitar el acceso al token

Usa el siguiente procedimiento para habilitar la recuperación y revocación de los tokens de acceso de OAuth 2.0 a través de el ID del usuario final y el ID de la aplicación.

Paso 1: Habilita la compatibilidad con el acceso a los tokens para una organización

Debes habilitar el acceso a los tokens para cada organización por separado. Llama a la API de PUT que se muestra a continuación para cada uno. organización en la que deseas habilitar la recuperación y revocación de los tokens de acceso de OAuth 2.0 por ID de usuario final o ID de aplicación.

El usuario que realiza la siguiente llamada debe tener el rol administrador de la organización o opsadmin de la organización. Reemplazar los valores en {curly llaves} por los valores específicos de tu organización:

> curl -H "Content-type:text/xml" -X POST \
  https://<ms-ip>:8080/v1/organizations/{org_name} \
  -d '<Organization name="{org_name}">
      <Properties>
        <Property name="features.isOAuthRevokeEnabled">true</Property>
        <Property name="features.isOAuth2TokenSearchEnabled">true</Property>
      </Properties>
    </Organization>' \ 
  -u {userEmail}:{mypassword}

Paso 2: Establece los permisos para el rol de opsadmin en la organización

Solo los roles orgadmin y opsadmin de una organización debería tener permisos para recuperar (HTTP GET) y revocar (HTTP PUT) tokens de OAuth 2.0 basados en según el ID de usuario o de aplicación. Para controlar el acceso, configura get y put los permisos en el recurso /oauth2 para en una organización. Ese recurso tiene una URL con el siguiente formato:

https://<ms-ip>:8080/v1/organizations/{org_name}/oauth2

El rol orgadmin ya debería tener los permisos necesarios. Para el opsadmin para el recurso /oauth2, los permisos deberían verse así: esto:

<ResourcePermission path="/oauth2">
    <Permissions>
        <Permission>get</Permission>
        <Permission>put</Permission>
    </Permissions>
</ResourcePermission>

Puedes usar el botón Obtener Permiso para una llamada a la API de Single Resource para ver qué roles tienen permisos para /oauth2.

Según la respuesta, puedes usar el botón Agregar Permisos de recurso para un rol y Delete Permission para llamadas a la API de Resource para realizar los ajustes necesarios en /oauth2 permisos de recursos.

Usa el siguiente comando cURL para otorgar a la función opsadmin los permisos get y put para el recurso /oauth2. Reemplaza los valores de {curly braces} por los valores específicos de tu organización:

> curl -X POST -H 'Content-type:application/xml' \
  http://<ms-ip>:8080/v1/organizations/{org}/userroles/opsadmin/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions>
        <Permission>get</Permission>
        <Permission>put</Permission>
      </Permissions>
    </ResourcePermission>' \
  -u {USEREMAIL}:{PWD} 

Usa el siguiente comando cURL para revocar los permisos get y put del recurso /oauth2 de roles que no sean orgadmin y opsadmin. Reemplazar los valores en {curly llaves} por los valores específicos de tu organización:

> curl -X DELETE -H 'Content-type:application/xml' \
  http://<msip>:8080/v1/organizations/{org-name}/userroles/{roles}/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions></Permissions>
    </ResourcePermission>' \
   -u {USEREMAIL}:{PWD} 

Paso 3: Configurar la propiedad oauth_max_search_limit

Asegúrate de que conf_keymanagement_oauth_max_search_limit Propiedad en /opt/apigee/customer/application/management-server.properties archivo se configura en 100:

conf_keymanagement_oauth_max_search_limit = 100

Si este archivo no existe, créalo.

Esta propiedad establece el tamaño de la página que se usa para recuperar tokens. Apigee recomienda un valor de 100, pero puedes configurarlo como estimes conveniente.

En una instalación nueva, la propiedad debería estar configurada en 100. Si tienes que cambiar de esta propiedad, reinicia el servidor de administración y el procesador de mensajes mediante el comandos:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
> /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

Paso 4: Configura la política de OAuth 2.0 que genera tokens para incluir el ID del usuario final

Configura la política de OAuth 2.0 que se usa para generar tokens de acceso para incluir el ID de usuario final en el token. Si incluyes los ID de usuario final en el token de acceso, puedes recuperar y revocar tokens mediante ID.

Para configurar que la política incluya un ID de usuario final en un token de acceso, la solicitud que crea el token de acceso debe incluir el ID de usuario final y debes especificar la variable de entrada que contiene el ID del usuario final.

La siguiente política de OAuth 2.0, denominada GenerateAccessTokenClient, genera acceso de OAuth 2.0 token. Observa el agregado de la etiqueta &lt;AppEndUser&gt; en negrita que especifica la variable que contiene el ID del usuario final:

<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient">
    <DisplayName>OAuth 2.0.0 1</DisplayName>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>GenerateAccessToken</Operation>
    <SupportedGrantTypes>
         <GrantType>client_credentials</GrantType>
    </SupportedGrantTypes>
    <GenerateResponse enabled="true"/>
    <GrantType>request.queryparam.grant_type</GrantType> 
    <AppEndUser>request.header.appuserID</AppEndUser> 
    <ExpiresIn>960000</ExpiresIn>
</OAuthV2>

Luego, puedes usar el siguiente comando cURL para generar el token de acceso de OAuth 2.0 y pasar el ID de usuario como appuserID encabezado:

> curl -H "appuserID:6ZG094fgnjNf02EK" \
https://myorg-test.apigee.net/oauth/client_credential/accesstoken?grant_type=client_credentials \
  -X POST \
  -d 'client_id=k3nJyFJIA3p62TKIkLO6OJNXFmP&client_secret=gk5K5lIp943AY4'

En este ejemplo, el appuserID se pasa como un encabezado de la solicitud. Puedes pasar información como parte de una solicitud de muchas maneras. Por ejemplo, como alternativa puedes hacer lo siguiente:

  • Usa una variable de parámetro de formulario: request.formparam.appuserID
  • Usa una variable de flujo que proporcione el ID de usuario final