OAuth-Einstellungen

Konfigurieren der OAuth2-Bearer-Token-Authentifizierung für API-Trigger

Ossi Galkin avatarGeschrieben vonOssi Galkin Vor über einer Woche aktualisiertTable of contents

Um die OAuth2-Bearer-Token-Authentifizierung für API-Trigger zu verwenden, müssen Sie Details zu den OAuth-Anwendungen angeben, die auf APIs zugreifen dürfen. Sie können die OAuth-Anwendungseinstellungen in der OAuth-Anwendungsansicht konfigurieren.

OAuth-Anwendungseinstellungen

Für jede OAuth-Anwendung müssen Sie mindestens Folgendes angeben:

  • Name: der eindeutige Deskriptor der OAuth-Anwendung.

  • Aussteller: die URL des OAuth-Token-Ausstellers. Dieser Wert sollte mit dem im Token angegebenen Wert übereinstimmen.

  • Zielgruppe: die beabsichtigte Zielgruppe im ausgestellten Token, normalerweise die beim OAuth-Anbieter registrierte Client- oder Ressourcen-ID. Dieser Wert muss auch derselbe sein wie in den ausgestellten Token.

Sie können auch einige zusätzliche Einstellungen für die Anwendungen konfigurieren:

  • Name-Claim-Typ: Der Claim aus dem Token, der den Namen des Benutzers enthält, sofern verfügbar. Dieser Wert wird zu Protokollierungszwecken verwendet, um anzuzeigen, wer die API aufgerufen hat.

  • Rollenanspruchstyp: der Anspruch aus dem Token, der den Rollennamen des Benutzers enthält, sofern verfügbar. Wenn dieser Wert festgelegt ist, kann er in Prozessen wie Aufrufen von ClaimsPrincipal.IsInRole() verwendet werden.

  • Bereichsanspruchstyp: der Anspruch vom Token, der die Bereiche vom Token enthält.

  • Überschreiben bekannter Metadatenspeicherorte: Wenn sich der OpenID-Endpunkt .well-known/openid-configuration des Identitätsanbieters nicht am Standardspeicherort befindet, kann dieser Parameter verwendet werden, um einen benutzerdefinierten Speicherort anzugeben, der für einige Anbieter wie Azure AD B2C erforderlich ist. Standardmäßig geht Frends davon aus, dass die Konfiguration unter der URL gefunden werden kann.[Aussteller]/.well-known/openid-configuration.

  • JSON-Details zum Signaturzertifikat: Wenn der Agent den Identitätsanbieter nicht direkt kontaktieren kann, um die bekannte OpenID-Konfiguration abzurufen, kann der öffentliche Schlüssel hier bereitgestellt werden. Die JSON-Struktur finden Sie unter der URL im Endpunkt der bekannten OpenID-Konfiguration.jwksFeld

  • VERALTET(ersetzt durch Signaturzertifikatdetails JSON)

    • Zeichenfolge für Fingerabdrücke von Signaturzertifikaten: die Fingerabdrücke der Signaturzertifikate, die bereits auf den Agent-Rechnern bereitgestellt wurden, um sie zur Validierung von Token zu verwenden. Wenn dieses Feld leer gelassen wird, versucht der Agent, die Signaturzertifikate automatisch mithilfe des OpenID-Endpunkts .well-known/openid-configuration vom Aussteller abzurufen. Beachten Sie, dass dieser automatische Abruf fehlschlagen und die Tokenvalidierung fehlschlagen kann, wenn der Aussteller aus irgendeinem Grund ausgefallen ist. Daher sollten Sie die Zertifikatbereitstellung manuell durchführen und die Fingerabdrücke hier angeben.


Verwandte ArtikelAPI-ZugriffsrichtlinienEinführung in die Konfiguration einer Authentifizierungsmethode für eine APIEinführung in die API-Authentifizierung mit FrendsEinführung in die Konfiguration einer OAuth-AnwendungSo verwenden Sie den impliziten OAuth 2.0-Flow in APIs, die in Frends veröffentlicht wurden