Seguridad en Jitterbit API Manager
Introducción
En esta página se describen las distintas formas en las que se puede proteger una API de API Manager. Estas funciones permiten configurar y gestionar los niveles de seguridad deseados para distintos casos de uso dentro de API Manager:
Para obtener información sobre las características de seguridad dentro de la arquitectura del sistema de Jitterbit, consulte Seguridad de Jitterbit.
Perfiles de seguridad
Una API es anónima y de acceso público de forma predeterminada en el momento de su creación, a menos que se configure un perfil de seguridad dentro de Perfiles de seguridad de API Manager) página y se asigna a la API.
Un perfil de seguridad de API regula y protege el consumo de las APIs. Los perfiles de seguridad permiten que una API publicada sea consumida únicamente por un consumidor de API específico o un grupo de consumidores. Los perfiles de seguridad pueden ser creados y asignados por un miembro de la organización que tenga un rol con permiso_Admin_.
Los administradores de la organización Harmony pueden exigir que se asignen perfiles de seguridad a cada API en el momento de su creación mediante una configuración en Políticas de la organización Harmony.
Tipos de autenticación de perfiles de seguridad
Las opciones de autenticación en los perfiles de seguridad controlan el acceso a una API por parte de los consumidores de API. Estos son los tipos de autenticación de perfil de seguridad disponibles:
| Tipo de autenticación | Descripción |
|---|---|
| Anónimo | La autenticación anónima permite que la API sea accesible públicamente sin necesidad de ninguna autenticación. |
| Básica | La autenticación básica utiliza la autenticación HTTP para proporcionar acceso a la API. Cuando se utiliza la autenticación básica, los consumidores incluyen el nombre de usuario y la contraseña en una cadena codificada en el encabezado de autorización de cada solicitud realizada. |
| OAuth 2.0 | La autenticación OAuth 2.0 utiliza uno de los siguientes proveedores de identidad: Microsoft Entra ID, Google, Okta o Salesforce. Cuando se utiliza la autenticación OAuth 2.0, el consumidor debe validar las credenciales de su proveedor de identidad para acceder a una API en tiempo de ejecución. Para obtener más información sobre cómo configurar un proveedor de identidad de API, consulte Configuración del proveedor de identidad de API. |
| Clave API | La autenticación de clave API utiliza un par clave-valor para acceder a una API. |
Nota
Los perfiles de seguridad se almacenan en caché en la puerta de enlace de API, por lo que los cambios en los perfiles de seguridad de una API ya activa pueden tardar varios minutos en surtir efecto.
Utilice múltiples perfiles de seguridad
Puede utilizar varios perfiles de seguridad para emplear diferentes métodos de autenticación y opciones de seguridad en el mismo ambiente, cada uno dirigido a un grupo específico de consumidores de API.
Por ejemplo, si tiene dos tipos de consumidores (accounting y finance) y dos APIs (API-Revenue y API-Budget) en un ambiente y API-Revenue está destinada a consumidores accounting y API-Budget está destinada tanto a consumidores accounting como finance, puede crear un único perfil de seguridad para los consumidores accounting y asignarlo a ambas APIs. A continuación, puede crear un perfil de seguridad independiente para los consumidores finance y asignarlo a API-Budget.
El resultado de los dos perfiles de seguridad es que los consumidores de contabilidad (que usan su perfil de seguridad) solo pueden acceder a API-Revenue, y los consumidores de finanzas (que usan su perfil de seguridad separado) pueden acceder a API-Revenue o API-Budget.
No se permite una combinación de distintos tipos de autenticación para una API, a menos que se utilice una de las combinaciones específicas que se indican a continuación. En su lugar, cree APIs independientes para atender a distintos grupos de consumidores de API.
Se permiten estas combinaciones de perfiles de seguridad:
- Puede asignar múltiples perfiles de seguridad con autenticación básica a una sola API.
- Puede asignar varios perfiles de seguridad con autenticación de clave API a una sola API.
- Puede asignar una combinación de perfiles de seguridad que utilicen autenticación básica y de clave API a una sola API.
No se permite ninguna otra combinación de perfiles de seguridad.
Utilice límites de velocidad
Cada organización tiene dos permisos, como se establece en el acuerdo de licencia Jitterbit de la organización:
- Una asignación de visitas de API por mes es la asignación total proporcionada a una organización en un mes. Todas las llamadas recibidas por todas las APIs (en todos los ambientes) en un solo mes cuentan para este límite.
- Una asignación de hits por minuto de API es la velocidad máxima a la que se puede consumir la asignación de una organización.
De forma predeterminada, un ambiente o perfil de seguridad puede acceder a la asignación total de visitas de una organización en todas las APIs en un minuto.
Una vez que una organización haya agotado su asignación de visitas por mes, todas las APIs dentro de la organización recibirán una Error 429 hasta que la asignación se restablezca a su asignación máxima el primer día del mes siguiente.
Puede utilizar límites de velocidad en el ambiente y perfil de seguridad nivel para aplicar un número máximo compartido de visitas a la API por minuto que se pueden realizar en todas las APIs dentro de un ambiente al que se le asigna un perfil de seguridad. Si el límite de frecuencia por minuto definido en la organización, ambiente, o perfil de seguridad, la puerta de enlace API rechaza la llamada API y se produce una Error 429 Se devuelve el mensaje. Nunca se llama a ninguna operación subyacente ni a ninguna API de externo.
Nota
La limitación de velocidad se aplica a nivel de organización, ambiente y perfil de seguridad. No se aplica a nivel de API.
Esta tabla proporciona ejemplos de formas en que se pueden utilizar los perfiles y ambientes de seguridad para aplicar límites de velocidad:
| Asignaciones | APIs en una organización | APIs en un ambiente | APIs en un perfil de seguridad | Uso | Resultado |
|---|---|---|---|---|---|
Organización: 25 visitas por minuto Perfil de seguridad: 5 visitas por minuto | 10 | 5 | 5 | 1 visita por minuto en cada API asignada al perfil de seguridad. | A medida que se alcanza el límite del perfil de seguridad (5 visitas por minuto), cualquier visita adicional a cualquier API asignada al perfil de seguridad dentro del minuto se rechaza y se envía un correo electrónico a la API. Error 429 Se devuelve el mensaje. Hay 20 visitas por minuto disponibles en las 5 APIs restantes de la organización. |
Organización: 30 visitas por minuto Ambiente: 10 visitas por minuto Perfil de seguridad: 6 visitas por minuto | 15 | 7 | 5 | 5 visitas por minuto en ambas APIs no asignadas a un perfil de seguridad dentro del ambiente. | A medida que se alcanza el límite del ambiente (10 visitas por minuto), cualquier visita adicional a cualquiera de las 7 APIs en el ambiente dentro del minuto se rechaza y se envía una solicitud de seguridad. Error 429 Se devuelve el mensaje. Hay 20 visitas por minuto disponibles en las 8 APIs restantes de la organización. |
Organización: 10 visitas por minuto Perfil de seguridad: 5 visitas por minuto | 10 | 10 | 1 | 2 de las APIs que no tienen asignado un perfil de seguridad reciben 5 visitas por minuto cada una. | A medida que se alcanza el límite de la organización (10 visitas por minuto), cualquier visita adicional a cualquier API en la organización dentro del minuto se rechaza y se envía una solicitud de seguridad. Error 429 Se devuelve el mensaje.Nota La asignación de la organización tiene prioridad sobre cualquier límite establecido dentro de un perfil de seguridad. |
Nota
Intentos contra URLs no válidas que devuelven Error 404 no se tienen en cuenta en ninguno de los límites ni asignaciones.
Para obtener más información sobre cómo configurar los límites de velocidad, consulte Ambientes y Configuración del perfil de seguridad.
Utilice rangos de IP confiables
De manera predeterminada, un perfil de seguridad no limita el acceso a ningún rango predeterminado de direcciones IP. Puede limitar el acceso a las APIs dentro de un perfil de seguridad a los consumidores desde una única dirección IP o un rango de direcciones IP durante la configuración del perfil de seguridad.
Cuando un consumidor intenta acceder a una API con un perfil de seguridad limitado a una determinada dirección IP o a un rango de direcciones IP, la dirección IP del consumidor se comparará con los rangos permitidos. Las direcciones IP que no cumplan con los criterios se rechazarán y se enviará una notificación. Error 429 Se devuelve el mensaje.
Para obtener información sobre cómo crear y utilizar grupos de IP confiables, consulte estos recursos:
Modo solo SSL
Cualquier API puede configurarse para utilizar cifrado SSL. De forma predeterminada, todas las API admiten transferencias HTTP y HTTPS.
La opción Sólo SSL le permite reenviar el tráfico HTTP para garantizar que toda la comunicación esté cifrada. La identidad de la URL HTTPS está verificada por la CA SSL SHA256 de Symantec Class 3 Secure Server. La conexión a la URL HTTPS está cifrada con criptografía moderna (con cifrado TLS 1.2, la conexión está cifrada y autenticada mediante AES_128_GCM y utiliza ECDHE_RSA como mecanismo de intercambio de claves).
Puede habilitar la opción Solo SSL durante la configuración de una API personalizada, servicio OData, o API proxy.
Registros de API
Por cada acceso a una API, el perfil de seguridad utilizado para acceder a la API se registra en un registro. Los Registros de API La página muestra una tabla de todos los registros de procesamiento de API, así como registros de depurar (si el registro de depurar está habilitado) para brindarles a los editores y consumidores ayuda para solucionar problemas relacionados. Los registros se muestran para las APIs personalizadas, de servicio OData y de proxy cuando se las llama a través de Cloud API Gateway o una puerta de enlace API privada.