PingFederate- und PingAccess-REST-APIs mit Autorisierungstoken

Question

Ich rufe PF- und PA-REST-Webdienste unter Verwendung von Benutzername und Kennwort an, scheint jedoch verwundbar zu sein, Anmeldeinformationen bereitzustellen. Gibt es eine Möglichkeit, den einzigen Autorisierungscode für REST-AP-Dienstaufrufe anstelle von Anmeldeinformationen bereitzustellen ?.

Im Moment auf diese Weise anzurufenden

root@ubuntu:/home/joe# curl -k -u "**UserName:Password**" -H "X-Xsrf-Header: PingAccess" https://localhost:9000/pa-admin-api/v1/virtualhosts 

Answer 1

Die PingAccess Administrator-API für die Authentifizierung OAuth Zugriffstoken unterstützt. Sie müssen Zugriffstoken sein, die von PingFederate ausgegeben werden (unter Verwendung eines beliebigen Berechtigungstyps) und einen konfigurierten Bereich für den administrativen API-Zugriff enthalten. Weitere Informationen finden Sie unter: https://docs.pingidentity.com/bundle/pa_sm_AuthenticationConfiguration_pa41/page/pa_t_Configure_API_Authentication.html

PingFederate selbst unterstützt derzeit OAuth für administrative APIs nicht, jedoch gibt es eine Reihe von Optionen für die Authentifizierung. Die derzeit sicherste Form der Authentifizierung ist die Clientzertifikatauthentifizierung. Für weitere Details siehe: https://documentation.pingidentity.com/pingfederate/pf82/index.shtml#adminGuide/concept/configuringAccessToTheAdministrativeApi.html