Address Manager 的 API 端点 支持 OAuth 授权协议。这意味着 Address Manager API 客户端可从授权服务器获取访问令牌。授权服务器会对资源所有者(用户)进行验证,并颁发访问资源服务器的保护资源 (Address Manager API) 所需的访问令牌。配置授权服务器,以允许授权服务器向 Address Manager 的 API 客户端颁发访问令牌。
注: 在执行以下步骤之前,请确保使用授权服务器将 Address Manager 配置为资源服务器。
- 在 Address Manager 中,选择管理选项卡。
- 在用户管理下,选择身份和访问管理。
- 选择 OAuth AS 配置选项卡。
-
完成授权服务器部分:
- 名称(必填):授权服务器的名称。
- 描述(可选):授权服务器的简单描述。
- OAuth(必填):启用或禁用 OAuth。默认值为已启用。
- 在签名证书部分,可以通过以下方法上传元数据文件(XML 文件):单击文件字段中的选择文件,或在 URL 字段中输入授权服务器提供的元数据 URL。如果输入元数据 URL,您将被定向到信任页面。在信任页面上,单击是以确认授权服务器证书。
-
完成令牌验证部分:
- 用户声明名称(必填):授权服务器的用户声明名称。
- 组声明名称(必填):授权服务器的组声明名称。
- 电子邮箱声明名称(必填):授权服务器的电子邮件声明名称。
- 方法(必填):如果令牌验证在 Address Manager 中进行,则选择本地。如果令牌验证在授权服务器中进行,则选择授权服务器。
-
如果在方法下拉菜单中选择了本地,请填写以下字段:
- 颁发者(必填):令牌颁发者的名称 – IdP 会将其添加到令牌 URL 中。
- 受众(必填):从授权服务器获取的 BAM API 字符串的名称。
-
如果在方法下拉菜单中选择了授权服务器,请填写以下字段:
注: 将 Address Manager 注册为资源服务器后,可以获取以下字段所需的信息。
- 客户端 ID:应用程序的公开识别码
- 客户端密钥:仅应用程序和 AS 知道的密钥代码
-
自检端点:允许 Address Manager 检查访问令牌的有效性
注: Address Manager 会将客户 ID 和客户端密钥随自检请求发送到自检端点。
- 授权:如果选择基本,Address Manager 会将“客户端 ID”和“客户端密钥”作为请求标题的一部分发送。如果选择 Post,Address Manager 会将“客户端 ID”和“客户端密钥”作为请求正文的一部分发送。
- UserInfo 端点:有关用户的信息 –– 包括组成员信息和用户 ID。
-
单击上传。
AS 元数据将填充签名证书部分。
-
单击更新。
注: Address Manager 会发起与自检端点和 userinfo 端点的连接。如果服务器未经过 CA 签名,可能会显示有关信任服务器的确认页面。