เปิดใช้การเข้าถึงโทเค็น OAuth 2.0 ตามรหัสผู้ใช้และรหัสแอป

Edge for Private Cloud v4.18.05

เอกสารนี้อธิบายวิธีเปิดใช้การเรียกข้อมูลและการเพิกถอนโทเค็นการเข้าถึง OAuth 2.0 ตามรหัสผู้ใช้ปลายทาง รหัสแอป หรือทั้ง 2 อย่าง

ระบบจะเพิ่มรหัสแอปลงในโทเค็นการเข้าถึง OAuth โดยอัตโนมัติ ดังนั้นหลังจากใช้ขั้นตอนด้านล่างเพื่อเปิดใช้สิทธิ์เข้าถึงโทเค็นสําหรับองค์กรแล้ว คุณจะเข้าถึงโทเค็นตามรหัสแอปได้

หากต้องการเรียกข้อมูลและเพิกถอนโทเค็นการเข้าถึง OAuth 2.0 ตามรหัสผู้ใช้ปลายทาง จะต้องมีรหัสผู้ใช้ปลายทางในโทเค็นการเข้าถึง ขั้นตอนด้านล่างจะอธิบายวิธีเพิ่มรหัสผู้ใช้ปลายทางไปยังโทเค็นที่มีอยู่หรือในโทเค็นใหม่

โดยค่าเริ่มต้น เมื่อ Edge สร้างโทเค็นการเข้าถึง OAuth 2.0 โทเค็นจะมีรูปแบบดังนี้

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

โปรดทราบดังต่อไปนี้

• ช่อง application_name มี UUID ของแอปที่เชื่อมโยงกับโทเค็น หากคุณเปิดใช้การเรียกข้อมูลและการเพิกถอนโทเค็นการเข้าถึง OAuth 2.0 ตามรหัสแอป รหัสแอปที่คุณใช้จะเป็นรหัสนี้
• ช่อง access_token มีค่าโทเค็นการเข้าถึง OAuth 2.0

หากต้องการเปิดใช้การเรียกข้อมูลและการเพิกถอนโทเค็นการเข้าถึง OAuth 2.0 ตามรหัสผู้ใช้ปลายทาง ให้กำหนดค่านโยบาย OAuth 2.0 ให้รวมรหัสผู้ใช้ไว้ในโทเค็นตามที่อธิบายไว้ในขั้นตอนด้านล่าง

รหัสผู้ใช้ปลายทางคือสตริงที่ Edge ใช้เป็นรหัสนักพัฒนาแอป ไม่ใช่อีเมลของนักพัฒนาแอป คุณระบุรหัสของนักพัฒนาซอฟต์แวร์จากอีเมลของนักพัฒนาซอฟต์แวร์ได้โดยใช้การเรียก API สำหรับนักพัฒนาซอฟต์แวร์

หลังจากกําหนดค่า Edge ให้รวมรหัสผู้ใช้ปลายทางไว้ในโทเค็นแล้ว รหัสดังกล่าวจะรวมอยู่ในช่อง app_enduser ดังที่แสดงด้านล่าง

{
  "issued_at" : "1421847736581",
  "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
  "scope" : "READ",
  "app_enduser" : "6ZG094fgnjNf02EK",
  "status" : "approved",
  "api_product_list" : "[PremiumWeatherAPI]",
  "expires_in" : "3599",
  "developer.email" : "tesla@weathersample.com",
  "organization_id" : "0",
  "token_type" : "BearerToken",
  "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
  "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
  "organization_name" : "myorg",
  "refresh_token_expires_in" : "0",
  "refresh_count" : "0"
}

API สำหรับการเรียกข้อมูลและเพิกถอนโทเค็นการเข้าถึง OAuth 2.0 ตามรหัสผู้ใช้และรหัสแอป

ใช้ API ต่อไปนี้เพื่อเข้าถึงโทเค็น OAuth ตามรหัสผู้ใช้ รหัสแอป หรือทั้ง 2 อย่าง

• รับโทเค็นการเข้าถึง OAuth 2.0 ตามรหัสผู้ใช้ปลายทางหรือรหัสแอป
• เพิกถอน OAuth 2.0 โทเค็นการเข้าถึงตามรหัสผู้ใช้ปลายทางหรือรหัสแอป

ขั้นตอนการเปิดใช้การเข้าถึงโทเค็น

ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้การดึงข้อมูลและการเพิกถอนโทเค็นเพื่อการเข้าถึง OAuth 2.0 โดยใช้รหัสผู้ใช้ปลายทางและรหัสแอป

ขั้นตอนที่ 1: เปิดใช้การสนับสนุนการเข้าถึงโทเค็นสำหรับองค์กร

คุณต้องเปิดใช้การเข้าถึงด้วยโทเค็นสําหรับแต่ละองค์กรแยกกัน เรียกใช้ PUT API ด้านล่างสําหรับแต่ละองค์กรที่คุณต้องการเปิดใช้การเรียกข้อมูลและการเพิกถอนโทเค็นการเข้าถึง OAuth 2.0 ตามรหัสผู้ใช้ปลายทางหรือรหัสแอป

ผู้ใช้ที่ทําการเรียกใช้ต่อไปนี้ต้องมีบทบาทเป็น orgadmin หรือ opsadmin ขององค์กร แทนที่ values ด้วยค่าเฉพาะองค์กร ดังนี้

curl -H "Content-type:text/xml" -X POST \
  https://management_server_IP;:8080/v1/organizations/org_name \
  -d '<Organization name="org_name">
      <Properties>
        <Property name="features.isOAuthRevokeEnabled">true</Property>
        <Property name="features.isOAuth2TokenSearchEnabled">true</Property>
      </Properties>
    </Organization>' \
  -u USER_EMAIL:PASSWORD

ขั้นตอน 2: ตั้งค่าสิทธิ์สําหรับบทบาท opsadmin ในองค์กร

มีเพียงบทบาท orgadmin และ opsadmin ในองค์กรเท่านั้นที่ควรได้รับสิทธิ์ในการดึงข้อมูล (HTTP GET) และเพิกถอน (HTTP PUT) โทเค็น OAuth 2.0 ตามรหัสผู้ใช้หรือรหัสแอป หากต้องการควบคุมการเข้าถึง ให้ตั้งค่าสิทธิ์ "รับ" และ "กำหนดสิทธิ์" ในทรัพยากร /oauth2 สำหรับองค์กร แหล่งข้อมูลดังกล่าวมี URL ในรูปแบบ

https://management_server_IP:8080/v1/organizations/org_name/oauth2

บทบาท orgadmin ควรมีสิทธิ์ที่จำเป็นอยู่แล้ว สำหรับบทบาท opsadmin ของทรัพยากร /oauth2 สิทธิ์ควรมีลักษณะดังนี้

<ResourcePermission path="/oauth2">
  <Permissions>
    <Permission>get</Permission>
    <Permission>put</Permission>
  </Permissions>
</ResourcePermission>

คุณสามารถใช้การเรียกรับสิทธิ์สําหรับ API ทรัพยากรรายการเดียวเพื่อดูว่าบทบาทใดมีสิทธิ์สําหรับทรัพยากร /oauth2

คุณสามารถใช้การเรียก API เพิ่มสิทธิ์สำหรับทรัพยากรไปยังบทบาทและ ลบสิทธิ์สำหรับทรัพยากรตามคำตอบเพื่อทำการปรับเปลี่ยนที่จำเป็นกับสิทธิ์ทรัพยากร /oauth2

ใช้คำสั่ง curl ต่อไปนี้เพื่อให้สิทธิ์ get บทบาท opsadmin และ put สำหรับทรัพยากร /oauth2 แทนที่ values ด้วยค่าเฉพาะองค์กร ดังนี้

curl -X POST -H 'Content-type:application/xml' \
  http://management_server_IP:8080/v1/organizations/org_name/userroles/opsadmin/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions>
        <Permission>get</Permission>
        <Permission>put</Permission>
      </Permissions>
    </ResourcePermission>' \
  -u USEREMAIL:PASSWORD

ใช้คำสั่ง curl ต่อไปนี้เพื่อเพิกถอนสิทธิ์ get และ put ของทรัพยากร /oauth2 จากบทบาทที่ไม่ใช่ orgadmin และ opsadmin แทนที่ values ด้วยค่าเฉพาะองค์กรดังนี้

curl -X DELETE -H 'Content-type:application/xml' \
  http://management_server_IP:8080/v1/organizations/org_name/userroles/roles/permissions \
  -d '<ResourcePermission path="/oauth2">
      <Permissions></Permissions>
    </ResourcePermission>' \
   -u USEREMAIL:PASSWORD

ขั้นตอนที่ 3: ตั้งค่าพร็อพเพอร์ตี้ oauth_max_search_limit

ตรวจสอบว่าได้ตั้งค่าพร็อพเพอร์ตี้ conf_keymanagement_oauth_max_search_limit ในไฟล์ /opt/apigee/customer/application/management-server.properties เป็น 100

conf_keymanagement_oauth_max_search_limit = 100

หากไม่มีไฟล์นี้ ให้สร้างไฟล์

พร็อพเพอร์ตี้นี้กำหนดขนาดหน้าที่ใช้เมื่อดึงข้อมูลโทเค็น Apigee แนะนำให้ใช้ค่า 100 แต่คุณตั้งค่าได้ตามที่เห็นสมควร

ในการติดตั้งใหม่ ระบบควรตั้งค่าพร็อพเพอร์ตี้เป็น 100 อยู่แล้ว หากต้องการเปลี่ยนแปลงค่าของพร็อพเพอร์ตี้นี้ ให้รีสตาร์ทเซิร์ฟเวอร์การจัดการและโปรแกรมประมวลผลข้อความโดยใช้คำสั่งต่อไปนี้

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

ขั้นตอนที่ 4: กำหนดค่านโยบาย OAuth 2.0 ที่สร้างโทเค็นให้รวมรหัสผู้ใช้ปลายทาง

กำหนดค่านโยบาย OAuth 2.0 ที่ใช้สร้างโทเค็นการเข้าถึงให้รวมรหัสผู้ใช้ปลายทางไว้ในโทเค็น การใส่รหัสผู้ใช้ปลายทางในโทเค็นเพื่อการเข้าถึงจะทําให้คุณเรียกและเพิกถอนโทเค็นได้โดยใช้รหัส

หากต้องการกำหนดค่านโยบายให้รวมรหัสผู้ใช้ปลายทางไว้ในโทเค็นการเข้าถึง คำขอที่สร้างโทเค็นการเข้าถึงต้องมีรหัสผู้ใช้ปลายทาง และคุณต้องระบุตัวแปรอินพุตที่มีรหัสผู้ใช้ปลายทาง

นโยบาย OAuth 2.0 ด้านล่างที่ชื่อ GenerateAccessTokenClient จะสร้างโทเค็นเพื่อการเข้าถึง OAuth 2.0 โปรดสังเกตการเพิ่มแท็ก <AppEndUser> ตัวหนาที่ระบุตัวแปรที่มีรหัสผู้ใช้ปลายทาง

<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient">
    <DisplayName>OAuth 2.0.0 1</DisplayName>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>GenerateAccessToken</Operation>
    <SupportedGrantTypes>
         <GrantType>client_credentials</GrantType>
    </SupportedGrantTypes>
    <GenerateResponse enabled="true"/>
    <GrantType>request.queryparam.grant_type</GrantType> 
    <AppEndUser>request.header.appuserID</AppEndUser> 
    <ExpiresIn>960000</ExpiresIn>
</OAuthV2>

จากนั้นใช้คําสั่ง curl ต่อไปนี้เพื่อสร้างโทเค็นการเข้าถึง OAuth 2.0 โดยส่งรหัสผู้ใช้เป็นส่วนหัว appuserID

curl -H "appuserID:6ZG094fgnjNf02EK" \
  https://myorg-test.apigee.net/oauth/client_credential/accesstoken?grant_type=client_credentials \
  -X POST -d 'client_id=k3nJyFJIA3p62TKIkLO6OJNXFmP&client_secret=gk5K5lIp943AY4'

ในตัวอย่างนี้ ระบบจะส่ง appuserID เป็นส่วนหัวของคำขอ คุณส่งข้อมูลเป็นส่วนหนึ่งของคำขอได้หลายวิธี ตัวอย่างเช่น คุณอาจใช้วิธีอื่นแทนได้ ดังนี้

• ใช้ตัวแปรพารามิเตอร์แบบฟอร์ม: request.formparam.appuserID
• ใช้ตัวแปรโฟลว์ที่ให้รหัสผู้ใช้ปลายทาง