Einführung in API-Zugriffsrichtlinien

Definition von OAuth 2.0

Ossi Galkin avatarGeschrieben vonOssi Galkin Vor über einer Woche aktualisiertTable of contents

API-Zugriffsrichtlinien

Wenn Sie OAuth für API-Trigger verwenden, müssen Sie der API auch eine Zugriffsrichtlinie zuweisen, um Zugriff zu gewähren. Wenn keine API-Zugriffsrichtlinien festgelegt sind, wird keinem Aufruf mit OAuth-Bearer-Token Zugriff gewährt.

Verwalten von Zugriffsrichtlinien

Als Administrator können Sie neue Zugriffsrichtlinien erstellen und vorhandene bearbeiten imVerwaltung > API-ZugriffsrichtlinienSicht.

Sie müssen der Richtlinie einen beschreibenden Namen und mindestens eine Regel geben.Regelnbasieren auf den Ansprüchen des OAuth-Tokens. Die Regel kann einen Anspruch nach seinem Typ und möglicherweise auch nach seinem Wert abgleichen. DieTypdes Anspruchs ist der Name des Felds im Token. Wenn Sie nur überprüfen möchten, ob ein Anspruch vorhanden ist (z. B.isAdmin: wahr), dann müssen Sie nur den Anspruchsnamen angeben und den Wert leer lassen. Wenn Sie jedoch überprüfen möchten, ob der Anspruch einen bestimmten Wert hat, z. B."Rolle": ["Administrator", "Benutzer"]können Sie auch den passenden Wert angeben. Bitte beachten Sie, dass alle Übereinstimmungen exakt sind, d. h. Groß- und Kleinschreibung werden nicht berücksichtigt und Platzhalter werden nicht unterstützt.

Regeln zulassenDefinieren Sie die Regeln, auf deren Grundlage ein Token Zugriff gewährt. Wenn Sie mehrere Zulassungsregeln haben, müssen alle übereinstimmen, damit das Token Zugriff gewährt und der Anruf zugelassen wird.AblehnungsregelnAuf der anderen Seite wird der Zugriff blockiert, wenn eine der Regeln zutrifft. Deny-Regeln können beispielsweise zum Verwalten von Token-Blacklists verwendet werden.

Sie können die Richtlinie auch so einrichten, dass sie nur für eine bestimmteEmittentSie können beispielsweise strengere Regeln für öffentliche Token-Anbieter wie Google festlegen und alle Token aus dem internen Active Directory zulassen.

Der nächste Artikel ist der Beginn der erweiterten API-Entwicklung -Einführung in die Funktionsweise von Frends-APIs


Verwandte ArtikelAPI-ZugriffsrichtlinienEinführung in API TriggerEinführung in OAuth 2.0Einführung in die Definition der Verwendung von OAuth 2.0 in der OpenAPI-SpezifikationEinführung in die Konfiguration einer OAuth-Anwendung