新万博移动客户端Collibra JSON Web令牌认证指南

本教程是一个完整的指南使用JSON REST API认证网络令牌。

几乎所有的Collibra API调新万博移动客户端用需要身份验证。

了解基本身份验证,请参阅新万博移动客户端Collibra REST API认证

您可以使用JSON Web标记(JWT)应用程序的身份验证与Collibra REST API进行交互。新万博移动客户端在这个过程中,你的应用程序请求一个访问令牌从你的身份提供者(IdP)。国内流离失所者作为身份验证服务器,并返回一个签署了JWT访问令牌。当应用程序使得Collibra API调用,它提供了JWT作为一个访问令牌新万博移动客户端持票人令牌在HTTP授权头。

curl - h的授权:无记名< your_token >…

使用JWT令牌认证的好处包括:

  • 保持国内流离失所者的身份验证的细节和Collibra分开。新万博移动客户端
  • 简化你的安全管理。
  • 限制一个令牌有效的时间。

新万博移动客户端Collibra最低版本

JWT认证可从以下版本:

  • 新万博移动客户端2020.11 Collibra数据智能云。
  • 新万博移动客户端Collibra 5.7.7-1数据治理中心。

设置和使用JWT

下面的表总结了获取和使用JWT Collibra REST API请求。新万博移动客户端

过程

步骤
初始设置
  1. 创建一个客户端凭据帐户有秘密的在你的国内流离失所者。
  2. 确定JSON Web键设置为您的国内流离失所者(JWKS)端点URL。
  3. 注册与Collibra JWKS端点。新万博移动客户端
  4. 在Collibra为客户机应用程序新万博移动客户端创建一个用户帐户。

    提供一个有意义的第一个和最后一个名称来标识,这是一个服务帐户。
当你的应用程序启动
  1. 验证您的客户机应用程序与您的国内流离失所者。
  2. 保存访问令牌用于REST API调用返回。
当应用程序调用Collibra REST api新万博移动客户端
  1. 包括JWT令牌授权HTTP头的不记名令牌。
  2. 如果API调用的响应未经授权的访问令牌或JWKS凭证可能已经过期。认证和重试请求。

JWT依赖你的身份提供者

以下你的国内流离失所者提供的细节必须JWT牌Collibra接受令牌。新万博移动客户端

部分

描述
alg

加密算法。

新万博移动客户端Collibra支持所有标准的加密算法。
孩子

JWKS标识符用于签名的公钥JWT令牌。

身份提供者可能有多个公钥证书,例如多个有效的钥匙可能存在一个关键的旋转是在进步。
typ

可选字段,定义了JWT类型。

例如,使用MIME类型的格式应用程序/ jwt应用程序/ secevent + jwt应用程序/例如,前缀删除jwtsecevent + jwt
有效载荷 国际空间站

发行人的令牌。

这个字段是用来检查令牌来自预期的国内流离失所者。
经验值 令牌到期时间。
iat 时间令牌。
主题或校长ID。
签名

标题的数字签名和有效载荷。

签名验证的消息并没有改变。在令牌与私钥签署的情况下,签名也验证JWT发送者的真实性。

配置JWT设置

启用或改变JSON Web标记配置:

  1. 打开Col新万博移动客户端libra控制台。
    新万博移动客户端Collibra控制台打开的基础设施页面。
  2. 在选项卡窗格中,展开一个环境来展示它的服务。
  3. 在选项卡窗格中,单击数据治理中心服务的环境。
  4. 点击配置
  5. 点击编辑配置
  6. JWT部分,作出必要的改变。
    设置 描述
    JSON网络关键设置URL

    URL检索的公钥来验证所需的信息的真实性JSON Web标记(jwt),出具授权服务器。

    这个设置需要启用JWT身份验证。
    JWT令牌类型

    以不区分大小写的以逗号分隔的接受JWT的媒体类型typ头参数。

    留下空白如果授权服务器不提供一个媒体类型参数。

    默认值是在+ jwt, jwt
    JWT算法

    一个以逗号分隔的接受了JWT算法进来alg头参数。看到https://tools.ietf.org/html/rfc7518部分- 3.1获取详细信息。

    留下空白的接受所有的数字签名算法。
    JWT发行人

    接受发行人进来国际空间站JWT索赔。

    留下空白如果授权服务器不提供一个发行人索赔。
    JWT观众

    一个以逗号分隔的观众接受的值澳元索赔。

    这个字段的值是一个在您的授权服务器配置设置,确定你Collibra JWT的环境预期的接收者。新万博移动客户端

    留下空白如果授权服务器不提供观众。
    JWT主要ID要求名称。

    JWT声称的名称包含主体的身份。看到https://tools.ietf.org/html/rfc7519 section-4.1.2获取详细信息。

    默认为标准的主题要求,

    改变这个设置只有在授权服务器还有其他的识别的主要手段,例如,一个client_id索赔。

    这个设置是必需的,如果启用了JWT身份验证。
    JWT最大时钟歪斜

    最大可接受的差异在几秒钟内时钟之间的机器运行授权服务器和Collibra。新万博移动客户端

    差异小于给定的被忽略在执行时间比较令牌验证。

    默认值是60秒如果留空。
  7. 点击保存所有
  8. 重新启动环境应用您的更改。看到停止一个环境开始一个环境

JWT故障排除

下表包含JWT身份验证错误代码,可能会出现在的主体401年未经授权HTTP响应。您可以使用错误代码来确定适当的行动为您的应用程序。

错误代码 描述 可能的行动

malformedToken

JWT令牌是错误编码或者语法有错误。

检查你的国内流离失所者配置以确保它返回一个令牌JWT格式。

expiredToken

JWT令牌已经过期。

在您的应用程序,请求一个新的令牌的国内流离失所者并重试。

invalidToken

JWT令牌是无效的。

常见的原因有:

  • 糟糕的签名。
  • 错误的观众。
  • 错误的发行人。
  • 错误的媒体类型。
  • 不允许签名算法。

检查你的国内流离失所者和Collibr新万博移动客户端a JWT配置以确保设置是一致的。

unableToProcessToken

JWT令牌不能被处理。

检查你的国内流离失所者和Collibr新万博移动客户端a JWT配置,如果问题持续接触新万博移动客户端Collibra支持

额外的资源狗万新闻c