Générer des serveurs d'autorisations
La gestion des accès aux API pouvait inclure la génération de serveurs d'autorisations personnalisés dans Okta. Utilisez ces serveurs personnalisés pour créer et appliquer des politiques d'autorisation afin de sécuriser vos points de terminaison d'API. Consultez Types de serveurs d'autorisations disponibles.
Un serveur d'autorisations définit votre frontière de sécurité (« préproduction » ou « production », par exemple). Au sein de chaque serveur d'autorisations, vous pouvez définir vos propres permissions, déclarations et politiques d'accès OAuth. Vos applications et API utilisent un point d'autorisation central et bénéficient de fonctionnalités d'Okta en matière d'identité (Universal Directory pour transformer les attributs, contrôler la Adaptive MFA pour les utilisateurs finaux, consigner les événements système et générer des données analytiques).
En fait, un serveur d'autorisations est essentiellement une machine à créer des jetons OAuth 2.0. Chaque serveur d'autorisations possède un URI émetteur unique et sa propre clé de signature pour les jetons, Afin de préserver des frontières claires entre les domaines de sécurité.
Le serveur d'autorisations agit également comme un fournisseur OpenID Connect, ce qui signifie que vous pouvez demander des jetons d'identifiant en plus des jetons d'accès aux points de terminaison du serveur d'autorisations.
Avant de commencer
Comment savoir s'il faut utiliser l'Org Authorization Server Okta ou un serveur d'autorisations personnalisé ?
Utilisez un serveur personnalisé si :
- Vous avez besoin de protéger des ressources autres que Okta ;
- Vous avez besoin de politiques d'autorisation différentes selon que la personne est un employé, un partenaire ou un utilisateur final, ou autre.
Si vos employés, partenaires et utilisateurs peuvent tous utiliser les mêmes politiques de connexion aux applications dans le cadre de l'authentification unique, essayez le Org Authorization Server intégré.
Pour gérer les autorisations personnalisées entre les clients et Okta :
- Identifiez les permissions et les déclarations dans votre application client et enregistrez cette dernière dans Okta.
- Créez un ou plusieurs serveurs d'autorisations et définissez les permissions et les déclarations de sorte qu'elles correspondent à celles indiquées dans votre application.
L'application client doit reconnaître les noms des permissions et attendre les déclarations telles qu'elles ont été définies dans le serveur d'autorisations.
Procédures
|
Tâche |
Description |
|---|---|
| Créer un serveur d'autorisations |
Utilisez des serveurs d'autorisations personnalisés pour gérer l'accès entre Okta et les applications client. |
| Créer des permissions d'accès aux API | Les permissions sont des opérations de haut niveau qui peuvent être réalisées sur les points de terminaison de vos API. |
| Créer des déclarations d'accès aux API | Les déclarations de jetons sont des instructions liées à l'objet ou à un autre objet (par ex. : le nom, le rôle ou l'adresse e-mail). |
| Créer des politiques d'accès | Les politiques d'accès contrôlent ce que les clients peuvent utiliser, et de quelle manière, sur le serveur d'autorisations. |
|
Émettez des appels d'API pour tester le serveur d'autorisations. Vous pouvez également prévisualiser les jetons. |
|
|
Par défaut, la rotation des clés est automatique. Toutefois, si nécessaire, vous pouvez configurer un serveur d'autorisations pour permettre aux administrateurs de faire tourner les clés manuellement. |
|
|
Chiffrez les jetons d'accès OAuth2 pour vous assurer que les informations contenues dans le jeton sont protégées contre un accès non autorisé. |
|
|
Indique comment supprimer un serveur. |