Sicherheit im Jitterbit API Manager
Einführung
Diese Seite beschreibt die verschiedenen Möglichkeiten, wie Sie eine API im API Manager sichern können. Diese Funktionen ermöglichen es Ihnen, die gewünschten Sicherheitsstufen für verschiedene Anwendungsfälle innerhalb des API Managers zu konfigurieren und zu verwalten:
Für Informationen zu Sicherheitsfunktionen innerhalb der Systemarchitektur von Jitterbit siehe Jitterbit-Sicherheit.
Sicherheitsprofile
Eine API ist standardmäßig anonym und öffentlich zugänglich, sobald sie erstellt wird, es sei denn, ein Sicherheitsprofil wird auf der Seite Sicherheitsprofile des API Managers konfiguriert und der API zugewiesen.
Ein API-Sicherheitsprofil regelt und sichert den Zugriff auf APIs. Sicherheitsprofile ermöglichen es, dass eine veröffentlichte API nur von einem bestimmten API-Nutzer oder einer Gruppe von Nutzern konsumiert werden kann. Sicherheitsprofile können von einem Mitglied der Organisation erstellt und zugewiesen werden, das über eine Rolle mit Admin-Berechtigung verfügt.
Administratoren der Harmony-Organisation können verlangen, dass Sicherheitsprofile jeder API zum Zeitpunkt ihrer Erstellung zugewiesen werden, indem sie eine Einstellung in den Richtlinien der Harmony-Organisation verwenden.
Authentifizierungstypen für Sicherheitsprofile
Die Authentifizierungsoptionen in Sicherheitsprofilen steuern den Zugriff auf eine API durch API-Nutzer. Dies sind die verfügbaren Authentifizierungstypen für Sicherheitsprofile:
| Authentifizierungstyp | Beschreibung |
|---|---|
| Anonym | Anonyme Authentifizierung ermöglicht den öffentlichen Zugriff auf die API, ohne dass eine Authentifizierung erforderlich ist. |
| Basis | Die Basis-Authentifizierung verwendet die HTTP-Authentifizierung, um den Zugriff auf die API zu ermöglichen. Bei der Verwendung der Basis-Authentifizierung fügen die Nutzer den Benutzernamen und das Passwort in einer codierten Zeichenfolge im Autorisierungsheader jeder Anfrage hinzu. |
| OAuth 2.0 | Die OAuth 2.0-Authentifizierung verwendet einen der Identitätsanbieter Microsoft Entra ID, Google, Okta oder Salesforce. Bei der Verwendung der OAuth 2.0-Authentifizierung muss der Nutzer seine Anmeldeinformationen des Identitätsanbieters validieren, um zur Laufzeit auf eine API zuzugreifen. Für weitere Informationen zur Konfiguration eines API-Identitätsanbieters siehe Konfiguration des API-Identitätsanbieters. |
| API-Schlüssel | Die API-Schlüssel-Authentifizierung verwendet ein Schlüssel-Wert-Paar, um auf eine API zuzugreifen. |
Hinweis
Sicherheitsprofile werden im API-Gateway zwischengespeichert, sodass Änderungen an den Sicherheitsprofilen einer bereits aktiven API mehrere Minuten in Anspruch nehmen können, um wirksam zu werden.
Verwenden Sie mehrere Sicherheitsprofile
Sie können mehrere Sicherheitsprofile verwenden, um unterschiedliche Methoden der Authentifizierung und Sicherheitsoptionen in derselben Umgebung einzusetzen, wobei jedes auf eine bestimmte Gruppe von API-Nutzern abzielt.
Wenn Sie beispielsweise zwei Arten von Nutzern (Buchhaltung und Finanzen) und zwei APIs (API-Umsatz und API-Budget) in einer Umgebung haben und API-Umsatz für Buchhaltungs-_Nutzer und _API-Budget für sowohl Buchhaltungs- als auch Finanzen-_Nutzer gedacht ist, können Sie ein einzelnes Sicherheitsprofil für _Buchhaltungs-_Nutzer erstellen und es beiden APIs zuweisen. Dann könnten Sie ein separates Sicherheitsprofil für _Finanzen-_Nutzer erstellen und es _API-Budget zuweisen.
Das Ergebnis der beiden Sicherheitsprofile ist, dass Buchhaltungs-_Nutzer (mit ihrem Sicherheitsprofil) nur auf _API-Umsatz zugreifen können, während Finanzen-_Nutzer (mit ihrem separaten Sicherheitsprofil) entweder auf _API-Umsatz oder API-Budget zugreifen können.
Eine Mischung aus verschiedenen Authentifizierungstypen für eine API ist nicht erlaubt, es sei denn, es wird eine der spezifischen Kombinationen verwendet, die unten aufgeführt sind. Erstellen Sie stattdessen separate APIs, um verschiedene Gruppen von API-Nutzern zu bedienen.
Diese Kombinationen von Sicherheitsprofilen sind erlaubt:
- Sie können mehrere Sicherheitsprofile mit grundlegender Authentifizierung einer einzelnen API zuweisen.
- Sie können mehrere Sicherheitsprofile mit API-Schlüssel-Authentifizierung einer einzelnen API zuweisen.
- Sie können eine Kombination von Sicherheitsprofilen, die grundlegende und API-Schlüssel-Authentifizierung verwenden, einer einzelnen API zuweisen.
Jede andere Kombination von Sicherheitsprofilen ist nicht erlaubt.
Verwenden Sie Ratenlimits
Jede Organisation hat zwei Zulassungen, wie im Lizenzvertrag von Jitterbit für die Organisation angegeben:
- Eine API Aufrufe pro Monat Zulassung ist die gesamte Zulassung, die einer Organisation in einem Monat zur Verfügung steht. Alle Anfragen, die von allen APIs (in allen Umgebungen) in einem einzigen Monat empfangen werden, zählen zu diesem Limit.
- Eine API Aufrufe pro Minute Zulassung ist die maximale Rate, mit der die Zulassung einer Organisation verbraucht werden kann.
Standardmäßig kann ein Umfeld oder ein Sicherheitsprofil auf das gesamte Kontingent an Zugriffen einer Organisation über alle APIs innerhalb einer Minute zugreifen.
Sobald eine Organisation ihr monatliches Kontingent an Zugriffen aufgebraucht hat, erhalten alle APIs innerhalb der Organisation einen Error 429, bis das Kontingent am ersten Tag des folgenden Monats auf das maximale Kontingent zurückgesetzt wird.
Sie können Ratenlimits auf der Ebene des Umfelds und des Sicherheitsprofils verwenden, um eine gemeinsame maximale Anzahl von API-Zugriffen pro Minute durchzusetzen, die über alle APIs innerhalb eines Umfelds, dem ein Sicherheitsprofil zugewiesen ist, getätigt werden können. Wenn das definierte Ratenlimit pro Minute auf der Ebene der Organisation, des Umfelds oder des Sicherheitsprofils erreicht wird, wird der API-Aufruf vom API-Gateway abgelehnt und eine Error 429-Nachricht zurückgegeben. Jede zugrunde liegende Operation oder Drittanbieter-API wird niemals aufgerufen.
Hinweis
Die Ratenbegrenzung wird auf der Ebene der Organisation, des Umfelds und des Sicherheitsprofils durchgesetzt. Sie wird nicht auf der API-Ebene durchgesetzt.
Diese Tabelle bietet Beispiele dafür, wie Sicherheitsprofile und Umfelder verwendet werden können, um Ratenlimits durchzusetzen:
| Kontingente | APIs in einer Organisation | APIs in einem Umfeld | APIs in einem Sicherheitsprofil | Nutzung | Ergebnis |
|---|---|---|---|---|---|
Organisation: 25 Zugriffe pro Minute Sicherheitsprofil: 5 Zugriffe pro Minute | 10 | 5 | 5 | 1 Zugriff pro Minute auf jede API, die dem Sicherheitsprofil zugewiesen ist. | Da das Limit für das Sicherheitsprofil (5 Zugriffe pro Minute) erreicht ist, werden alle zusätzlichen Zugriffe auf eine API, die dem Sicherheitsprofil innerhalb der Minute zugewiesen ist, abgelehnt und eine Error 429-Nachricht zurückgegeben. 20 Zugriffe pro Minute sind über die 5 verbleibenden APIs in der Organisation verfügbar. |
Organisation: 30 Zugriffe pro Minute Umfeld: 10 Zugriffe pro Minute Sicherheitsprofil: 6 Zugriffe pro Minute | 15 | 7 | 5 | 5 Zugriffe pro Minute auf beide APIs, die nicht einem Sicherheitsprofil innerhalb des Umfelds zugewiesen sind. | Da das Limit für das Umfeld (10 Zugriffe pro Minute) erreicht ist, werden alle zusätzlichen Zugriffe auf eine der 7 APIs im Umfeld innerhalb der Minute abgelehnt und eine Error 429-Nachricht zurückgegeben. 20 Zugriffe pro Minute sind über die 8 verbleibenden APIs in der Organisation verfügbar. |
Organisation: 10 Zugriffe pro Minute Sicherheitsprofil: 5 Zugriffe pro Minute | 10 | 10 | 1 | 2 der APIs, die keinem Sicherheitsprofil zugewiesen sind, erhalten jeweils 5 Zugriffe pro Minute. | Da das Limit der Organisation (10 Zugriffe pro Minute) erreicht ist, werden alle zusätzlichen Zugriffe auf eine API in der Organisation innerhalb der Minute abgelehnt und eine Error 429-Nachricht zurückgegeben.Hinweis Das Kontingent der Organisation hat Vorrang vor jedem Limit, das innerhalb eines Sicherheitsprofils festgelegt ist. |
Hinweis
Versuche gegen ungültige URLs, die Error 404 zurückgeben, werden nicht gegen die Limits oder Zulassungen angerechnet.
Für weitere Informationen zur Konfiguration von Ratenlimits siehe Umgebungen und Sicherheitsprofile.
Verwenden von vertrauenswürdigen IP-Bereichen
Standardmäßig limitiert ein Sicherheitsprofil den Zugriff nicht auf einen vorher festgelegten Bereich von IP-Adressen. Sie können den Zugriff auf die APIs innerhalb eines Sicherheitsprofils auf Verbraucher von einer einzelnen IP-Adresse oder einem Bereich von IP-Adressen während der Konfiguration des Sicherheitsprofils beschränken.
Wenn ein Verbraucher versucht, auf eine API mit einem Sicherheitsprofil zuzugreifen, das auf eine bestimmte IP-Adresse oder einen Bereich von IP-Adressen beschränkt ist, wird die IP-Adresse des Verbrauchers mit den erlaubten Bereichen überprüft. IP-Adressen, die die Kriterien nicht erfüllen, werden abgelehnt und eine Error 429-Nachricht wird zurückgegeben.
Für Informationen zur Erstellung und Verwendung von vertrauenswürdigen IP-Gruppen siehe diese Ressourcen:
Nur SSL-Modus
Jede API kann so konfiguriert werden, dass sie SSL-Verschlüsselung verwendet. Standardmäßig unterstützt jede API sowohl HTTP- als auch HTTPS-Übertragungen.
Die Nur SSL-Option ermöglicht es Ihnen, HTTP-Verkehr weiterzuleiten, um sicherzustellen, dass alle Kommunikationen verschlüsselt sind. Die Identität der HTTPS-URL wird von Symantec Class 3 Secure Server SHA256 SSL CA verifiziert. Die Verbindung zur HTTPS-URL ist mit moderner Kryptografie verschlüsselt.
Sie können die Nur SSL-Option während der Konfiguration einer benutzerdefinierten API, eines OData-Dienstes oder einer Proxy-API aktivieren.
API-Protokolle
Für jeden Zugriff auf eine API wird das verwendete Sicherheitsprofil in einem Protokoll aufgezeichnet. Die API-Protokolle Seite zeigt eine Tabelle aller API-Verarbeitungsprotokolle sowie Debug-Protokolle (wenn das Debug-Logging aktiviert ist), um Herausgebern und Verbrauchern bei der Fehlersuche zu helfen. Protokolle werden für benutzerdefinierte, OData-Dienste und Proxy-APIs angezeigt, wenn sie über das Cloud-API-Gateway oder ein privates API-Gateway aufgerufen werden.