Sicherheit im Jitterbit API-Manager
Einführung
Auf dieser Seite werden die verschiedenen Möglichkeiten beschrieben, mit denen Sie eine API-Manager API sichern können. Mit diesen Funktionen können Sie die gewünschten Sicherheitsstufen für verschiedene Anwendungsfälle innerhalb von API-Manager konfigurieren und verwalten:
Informationen zu Sicherheitsfunktionen innerhalb der Systemarchitektur von Jitterbit finden Sie unter Jitterbit-Sicherheit.
Sicherheitsprofile
Eine API ist zum Zeitpunkt ihrer Erstellung standardmäßig anonym und öffentlich zugänglich, es sei denn, es ist ein Sicherheitsprofil in den Sicherheitsprofilen des API Managers konfiguriert Seite und ist der API zugeordnet.
Ein API Sicherheitsprofil regelt und sichert die Nutzung von APIs. Sicherheitsprofile ermöglichen die Nutzung einer veröffentlichten API nur durch einen bestimmten API Verbraucher oder eine Gruppe von Verbrauchern. Sicherheitsprofile können von einem Organisationsmitglied mit einer Rolle mit Admin-Berechtigung erstellt und zugewiesen werden.
Administratoren von Harmony-Organisationen können verlangen, dass jeder API zum Zeitpunkt ihrer Erstellung Sicherheitsprofile zugewiesen werden. Dies geschieht über eine Einstellung in den Richtlinien der Harmony-Organisation.
Authentifizierungstypen für Sicherheitsprofile
Authentifizierungsoptionen in Sicherheitsprofilen steuern den Zugriff auf eine API durch API Verbraucher. Dies sind die verfügbaren Authentifizierungstypen für Sicherheitsprofile:
| Authentifizierungstyp | Beschreibung |
|---|---|
| Anonym | Durch die anonyme Authentifizierung ist die API öffentlich zugänglich, ohne dass eine Authentifizierung erforderlich ist. |
| Einfach | Die einfache Authentifizierung verwendet HTTP-Authentifizierung, um API Zugriff bereitzustellen. Bei der einfachen Authentifizierung fügen Verbraucher den Benutzernamen und das Kennwort in einer codierten Zeichenfolge in den Header jeder gestellten Anfrage ein. |
| OAuth 2.0 | Bei der OAuth 2.0-Authentifizierung wird als Identitätsanbieter entweder Microsoft Entra ID, Google, Okta oder Salesforce verwendet. Bei Verwendung der OAuth 2.0-Authentifizierung muss der Verbraucher die Anmeldeinformationen seines Identitätsanbieters validieren, um zur Laufzeit auf eine API zugreifen zu können. Weitere Informationen zum Konfigurieren eines API -Identitätsanbieters finden Sie unter Konfiguration des API -Identitätsanbieters. |
| API Schlüssel | Die API Schlüsselauthentifizierung verwendet ein Key-Value Paar, um auf eine API zuzugreifen. |
Notiz
Sicherheitsprofile werden auf dem API Gateway zwischengespeichert, daher kann es mehrere Minuten dauern, bis Änderungen an den Sicherheitsprofilen einer bereits aktiven API wirksam werden.
Verwenden mehrerer Sicherheitsprofile
Sie können mehrere Sicherheitsprofile verwenden, um unterschiedliche Authentifizierungsmethoden und Sicherheitsoptionen in derselben Umfeld einzusetzen, wobei jede Methode auf eine bestimmte Gruppe von API Verbrauchern ausgerichtet ist.
Wenn Sie beispielsweise zwei Arten von Verbrauchern (Buchhaltung und Finanzen) und zwei APIs (API-Umsatz und API-Budget) in einer Umfeld haben und API-Umsatz für Buchhaltungs-Verbraucher und API-Budget sowohl für Buchhaltungs- als auch für Finanzen-Verbraucher vorgesehen ist, können Sie ein einzelnes Sicherheitsprofil für Buchhaltungs-Verbraucher erstellen und es beiden APIs zuweisen. Sie könnten dann ein separates Sicherheitsprofil für Finanzen-Verbraucher erstellen und es API-Budget zuweisen.
Die beiden Sicherheitsprofile führen dazu, dass Buchhaltungskunden (mit ihrem Sicherheitsprofil) nur auf API-Revenue zugreifen können und Finanzkunden (mit ihrem separaten Sicherheitsprofil) entweder auf API-Revenue oder API-Budget zugreifen können.
Eine Mischung verschiedener Authentifizierungstypen für eine API ist nicht zulässig, es sei denn, es wird eine der unten aufgeführten spezifischen Kombinationen verwendet. Erstellen Sie stattdessen separate APIs, um verschiedene Gruppen von API Verbrauchern zu bedienen.
Diese Sicherheitsprofilkombinationen sind zulässig:
- Sie können einer einzigen API mehrere Sicherheitsprofile mit Basisauthentifizierung zuweisen.
- Sie können einer einzelnen API mehrere Sicherheitsprofile mit API Schlüsselauthentifizierung zuweisen.
- Sie können einer einzelnen API eine Kombination aus Sicherheitsprofilen zuweisen, die die Basis- und API Schlüsselauthentifizierung verwenden.
Andere Sicherheitsprofilkombinationen sind nicht zulässig.
Verwenden Sie Ratenbegrenzungen
Jede Organisation hat gemäß der Jitterbit-Lizenzvereinbarung der Organisation zwei Berechtigungen:
- Ein API Zugriffskontingent pro Monat ist das Gesamtkontingent, das einer Organisation in einem Monat zur Verfügung gestellt wird. Alle von allen APIs (in allen Umgebungen) in einem einzelnen Monat empfangenen Aufrufe werden auf dieses Limit angerechnet.
- Das Kontingent an API -Zugriffen pro Minute stellt die Höchstrate dar, mit der das Kontingent einer Organisation verbraucht werden kann.
Standardmäßig wird eine Umfeld oder Sicherheitsprofil kann innerhalb einer Minute auf das Gesamtzugriffskontingent einer Organisation über alle APIs hinweg zugreifen.
Sobald eine Organisation ihr Kontingent an Zugriffen pro Monat aufgebraucht hat, erhalten alle APIs innerhalb der Organisation eine Error 429 bis das Guthaben am ersten Tag des Folgemonats auf das Höchstguthaben zurückgesetzt wird.
Sie können Ratenbegrenzungen in der Umfeld verwenden und Sicherheitsprofil-Ebene, um eine gemeinsame maximale Anzahl von API Zugriffen pro Minute durchzusetzen, die über alle APIs in einer Umfeld erfolgen können, der ein Sicherheitsprofil zugewiesen ist. Wenn die definierte Rate pro Minute in der Organisation, Umfeld oder Sicherheitsprofil erreicht ist, wird der API Aufruf vom API -Gateway abgelehnt und ein Error 429 Es wird eine Nachricht zurückgegeben. Es werden niemals zugrunde liegende Operation oder API von Drittpartei aufgerufen.
Notiz
Die Ratenbegrenzung wird auf Organisationsebene, Umfeld und Sicherheitsprofilebene erzwungen. Sie wird nicht auf API -Ebene erzwungen.
Die folgende Tabelle enthält Beispiele dafür, wie Sicherheitsprofile und Umgebungen zum Durchsetzen von Ratenbegrenzungen verwendet werden können:
| Zulagen | APIs in einer Organisation | APIs in einer Umgebung | APIs in einem Sicherheitsprofil | Verwendung | Ergebnis |
|---|---|---|---|---|---|
Organisation: 25 Treffer pro Minute Sicherheitsprofil: 5 Treffer pro Minute | 10 | 5 | 5 | 1 Treffer pro Minute auf jede dem Sicherheitsprofil zugewiesene API. | Wenn das Limit für das Sicherheitsprofil (5 Treffer pro Minute) erreicht ist, werden alle weiteren Treffer auf eine dem Sicherheitsprofil zugewiesene API innerhalb der Minute abgelehnt und ein Error 429 Nachricht wird zurückgegeben. Über die 5 verbleibenden APIs in der Organisation sind 20 Treffer pro Minute verfügbar. |
Organisation: 30 Treffer pro Minute Umgebung: 10 Treffer pro Minute Sicherheitsprofil: 6 Treffer pro Minute | 15 | 7 | 5 | 5 Treffer pro Minute auf beide APIs, die keinem Sicherheitsprofil innerhalb der Umfeld zugewiesen sind. | Wenn das Limit für die Umfeld (10 Treffer pro Minute) erreicht ist, werden alle weiteren Treffer auf eine der 7 APIs in der Umfeld innerhalb der Minute abgelehnt und ein Error 429 Nachricht wird zurückgegeben. Über die 8 verbleibenden APIs in der Organisation sind 20 Zugriffe pro Minute verfügbar. |
Organisation: 10 Treffer pro Minute Sicherheitsprofil: 5 Treffer pro Minute | 10 | 10 | 1 | 2 der APIs, denen kein Sicherheitsprofil zugewiesen ist, erhalten jeweils 5 Treffer pro Minute. | Wenn das Limit der Organisation (10 Treffer pro Minute) erreicht ist, werden alle weiteren Treffer auf eine beliebige API in der Organisation innerhalb der Minute abgelehnt und ein Error 429 Nachricht wird zurückgegeben.Hinweis Die Organisationszulage hat Vorrang vor allen in einem Sicherheitsprofil festgelegten Grenzen. |
Notiz
Versuche gegen ungültige URLs, die zurückgeben Error 404 werden nicht auf die Limits oder Freibeträge angerechnet.
Weitere Informationen zum Konfigurieren von Ratenlimits finden Sie unter Umgebungen und Sicherheitsprofilkonfiguration.
Verwenden Sie vertrauenswürdige IP-Bereiche
Standardmäßig beschränkt ein Sicherheitsprofil den Zugriff nicht auf einen vorgegebenen Bereich von IP-Adressen. Sie können den Zugriff auf die APIs innerhalb eines Sicherheitsprofils auf Verbraucher von einer einzelnen IP-Adresse oder einem Bereich von IP-Adressen während der Sicherheitsprofilkonfiguration beschränken.
Wenn ein Verbraucher versucht, auf eine API mit einem Sicherheitsprofil zuzugreifen, das auf eine bestimmte IP-Adresse oder einen Bereich von IP-Adressen beschränkt ist, wird die IP-Adresse des Verbrauchers anhand der zulässigen Bereiche überprüft. IP-Adressen, die die Kriterien nicht erfüllen, werden abgelehnt und ein Error 429 Nachricht wird zurückgegeben.
Informationen zum Erstellen und Verwenden vertrauenswürdiger IP-Gruppen finden Sie in diesen Ressourcen:
Nur-SSL-Modus
Jede API kann für die Verwendung der SSL Verschlüsselung konfiguriert werden. Standardmäßig unterstützt jede API sowohl HTTP- als auch HTTPS-Übertragung.
Mit der Option Nur SSL können Sie HTTP-Datenverkehr weiterleiten, um sicherzustellen, dass die gesamte Kommunikation verschlüsselt ist. Die Identität der HTTPS URL wird von Symantec Class 3 Secure Server SHA256 SSL CA überprüft. Die Verbindung zur HTTPS URL wird mit moderner Kryptografie verschlüsselt (bei der TLS 1.2- Verschlüsselung wird die Verbindung mit AES_128_GCM verschlüsselt und authentifiziert und verwendet ECDHE_RSA als Schlüsselaustauschmechanismus).
Sie können die Option Nur SSL während der Konfiguration einer benutzerdefinierten API aktivieren, OData Dienst oder Proxy-API.
API Protokolle
Bei jedem Zugriff auf eine API wird das für den Zugriff auf die API verwendete Sicherheitsprofil in einem Protokoll aufgezeichnet. Die API Protokolle zeigt eine Tabelle aller API Verarbeitungsprotokolle sowie debuggen (sofern die debuggen aktiviert ist) an, um Herausgebern und Verbrauchern bei der Behebung verwandter Probleme zu helfen. Protokolle werden für benutzerdefinierte, OData Dienst- und Proxy APIs angezeigt, wenn sie über das Cloud API Gateway aufgerufen werden oder ein privates API Gateway.