U klikte in het scherm "Mijn OAuth API's" op de naam van één van de API's waarvan u eigenaar dan wel editeerder bent. In onderstaand voorbeeld gaan we zo bijvoorbeeld uit van de API "Vlaams Mandatensysteem T&I". U belandt op onderstaand scherm op het tabblad "Configuratie van de API" - zij het weliswaar zonder de zwarte kadertjes:
...
Merk tenslotte ook op dat het algortime algoritme HS256 niet aanvaard wordt. Bij dit algoritme wordt namelijk symmetrische encryptie gebruikt en zou de public key als secret gebruikt worden.
...
Toegelaten authenticatiemethodes voor Clients (doc)
Net zoals uw API zich bij de introspectie moet authenticeren bij het Toegangsbeheer (ACM) (zie sectie "Toegelaten authenticatiemethodes voor de API"), dienen de clients van uw API zich via één van de ondersteunde methodes te authenticeren bij het Toegangsbeheer (ACM) wanneer zij uw API wensen te consumeren. U kan aan deze clients, als API-eigenaar, opleggen dat zij hiervoor één welbepaalde methode gebruiken, dan wel dat uw clients zich via elk van de ondersteunde methodes mogen authenticeren. U mag deze policy volledig autonoom opleggen.
Het gebruik van x5c bij publieke JWK's is vereist (doc)
Indien u onder "Toegelaten authenticatiemethodes voor Clients" (zie boven), "Publiek JWKS-endpoint" of "Publieke JWK" selecteerde, verschijnt er een extra kopje waarbij u, als API-eigenaar, kan opleggen dat de clients van uw API hun JWK-sleutel dienen te koppelen aan een x5c-certificaat. Dat zou betekenen dat wanneer de clients van uw API zich authenticeren bij het Toegangsbeheer (ACM), het Toegangsbeheer de geldigheid (tijdframe, revocation en CA) van dit x5c-certificaat zal controleren.
Toelaten van nieuwe
U kan hier voor uw API instellen of elke aanvraag van een client die uw API wenst te consumeren eerst moet goedgekeurd worden (zie OAuth-Clients die wachten op goedkeuring), dan wel dat elke aanvraag automatisch mag goedgekeurd worden.
Vertrouwde API gateways (doc)
U kan hier instellen of en welke API gateways namens uw API introspecties van de access tokens mogen doen.
Scopes (doc)
Hier kan u een oplijsting terugvinden van de scopes die clients kunnen aanvragen bij het consumeren van uw API. U kan aangeven of deze scopes als 'default' mogen ingesteld worden, dan wel als 'preset':
- Default: default scopes wordt steeds aan uw API gevraagd, ook al vraagt de client deze niet expliciet op.
- Preset: preset scopes worden standaard aangevinkt voor nieuwe clients die uw API wensen te consumeren.
- Opgelet: de clients van uw API dienen deze preset scopes wel nog steeds expliciet toe te voegen aan hun requests om uw API via het Toegangsbeheer (ACM) te consumeren.
Wanneer u klaar bent met de configuratie van API aan te passen, dient u deze aanpassingen steeds bekrachtigen door onderaan het scherm op "Wijzigen" te klikken. Indien u de aanpassingen niet wenst op te slaan, kan u steeds op "Annuleren" klikken.
Onderaan het scherm kan u desgewenst ook de "Meta gegevens" van uw API raadplegen: wie is in het Beheerportaal geregistreerd als eigenaar van deze API, en wat is de status van deze gebruiker?
