Seguridad en Jitterbit API Manager
Introducción
Esta página describe las diferentes formas en las que puedes asegurar una API en el API Manager. Estas características te permiten configurar y gestionar los niveles de seguridad deseados para varios casos de uso dentro del API Manager:
Para obtener información sobre las características de seguridad dentro de la arquitectura del sistema de Jitterbit, consulta Seguridad de Jitterbit.
Perfiles de seguridad
Una API es anónima y accesible públicamente por defecto en el momento en que se crea, a menos que se configure un perfil de seguridad en la página de Perfiles de Seguridad del API Manager y se asigne a la API.
Un perfil de seguridad de API gobierna y asegura el consumo de APIs. Los perfiles de seguridad permiten que una API publicada sea consumida solo por un consumidor de API específico o un grupo de consumidores. Los perfiles de seguridad pueden ser creados y asignados por un miembro de la organización que tenga un rol con permiso de Admin.
Los administradores de la organización Harmony pueden requerir que se asignen perfiles de seguridad a cada API en el momento en que se crea utilizando una configuración en las políticas de la organización Harmony.
Tipos de autenticación de perfil de seguridad
Las opciones de autenticación en los perfiles de seguridad controlan el acceso a una API por parte de los consumidores de API. Estos son los tipos de autenticación de perfil de seguridad disponibles:
| Tipo de Autenticación | Descripción |
|---|---|
| Anónimo | La autenticación anónima permite que la API sea accesible públicamente sin requerir ninguna autenticación. |
| Básica | La autenticación básica utiliza la autenticación HTTP para proporcionar acceso a la API. Al usar la autenticación básica, los consumidores incluyen el nombre de usuario y la contraseña en una cadena codificada en el encabezado de autorización de cada solicitud realizada. |
| OAuth 2.0 | La autenticación OAuth 2.0 utiliza uno de Microsoft Entra ID, Google, Okta o Salesforce como proveedor de identidad. Al usar la autenticación OAuth 2.0, el consumidor debe validar sus credenciales del proveedor de identidad para acceder a una API en tiempo de ejecución. Para obtener más información sobre cómo configurar un proveedor de identidad de API, consulta Configuración del proveedor de identidad de API. |
| Clave de API | La autenticación con clave de API utiliza un par clave-valor para acceder a una API. |
Nota
Los perfiles de seguridad se almacenan en caché en la puerta de enlace API, por lo que los cambios en los perfiles de seguridad de una API ya activa pueden tardar varios minutos en tener efecto.
Usar múltiples perfiles de seguridad
Puedes usar múltiples perfiles de seguridad para emplear diferentes métodos de autenticación y opciones de seguridad en el mismo entorno, cada uno dirigido a un grupo específico de consumidores de API.
Por ejemplo, si tienes dos tipos de consumidores (contabilidad y finanzas), y dos APIs (API-Ingresos y API-Presupuesto) en un entorno y API-Ingresos está destinada a consumidores de contabilidad y API-Presupuesto está destinada tanto a consumidores de contabilidad como de finanzas, puedes crear un único perfil de seguridad para consumidores de contabilidad y asignarlo a ambas APIs. Luego podrías crear un perfil de seguridad separado para consumidores de finanzas y asignarlo a API-Presupuesto.
El resultado de los dos perfiles de seguridad es que los consumidores de contabilidad (usando su perfil de seguridad) solo pueden acceder a API-Ingresos, y los consumidores de finanzas (usando su perfil de seguridad separado) pueden acceder a API-Ingresos o API-Presupuesto.
No se permite una mezcla de diferentes tipos de autenticación para una API a menos que se utilice una de las combinaciones específicas que se enumeran a continuación. En su lugar, crea APIs separadas para atender a diferentes grupos de consumidores de API.
Estas combinaciones de perfiles de seguridad están permitidas:
- Puedes asignar múltiples perfiles de seguridad con autenticación básica a una sola API.
- Puedes asignar múltiples perfiles de seguridad con autenticación de clave de API a una sola API.
- Puedes asignar una combinación de perfiles de seguridad que utilicen autenticación básica y autenticación de clave de API a una sola API.
Cualquier otra combinación de perfiles de seguridad no está permitida.
Usar límites de tasa
Cada organización tiene dos asignaciones, como se indica en el acuerdo de licencia de Jitterbit de la organización:
- Una asignación de accesos por mes de una API es la asignación total proporcionada a una organización en un mes. Todas las llamadas recibidas por todas las APIs (en todos los entornos) en un solo mes cuentan para este límite.
- Una asignación de accesos por minuto de una API es la tasa máxima a la que se puede consumir la asignación de una organización.
Por defecto, un entorno o perfil de seguridad puede acceder a la asignación total de una organización para solicitudes a través de todas las API en un minuto.
Una vez que una organización ha agotado su asignación de solicitudes por mes, todas las API dentro de la organización recibirán un Error 429 hasta que la asignación se restablezca a su máximo permitido el primer día del mes siguiente.
Se pueden utilizar límites de tasa a nivel de entorno y perfil de seguridad para hacer cumplir un número máximo compartido de solicitudes a la API por minuto que se pueden realizar a través de todas las API dentro de un entorno al que se le ha asignado un perfil de seguridad. Si se alcanza el límite definido por minuto a nivel de organización, entorno o perfil de seguridad, la llamada a la API es rechazada por la puerta de enlace de la API y se devuelve un mensaje de Error 429. Cualquier operación subyacente o API de terceros nunca se llama.
Nota
La limitación de tasa se aplica a nivel de organización, nivel de entorno y nivel de perfil de seguridad. No se aplica a nivel de API.
Esta tabla proporciona ejemplos de formas en que se pueden utilizar los perfiles de seguridad y los entornos para hacer cumplir los límites de tasa:
| Asignaciones | APIs en una Organización | APIs en un Entorno | APIs en un Perfil de Seguridad | Uso | Resultado |
|---|---|---|---|---|---|
Organización: 25 solicitudes por minuto Perfil de Seguridad: 5 solicitudes por minuto | 10 | 5 | 5 | 1 solicitud por minuto en cada API asignada al perfil de seguridad. | A medida que se alcanza el límite para el perfil de seguridad (5 solicitudes por minuto), cualquier solicitud adicional a cualquier API asignada al perfil de seguridad dentro del minuto es rechazada y se devuelve un mensaje de Error 429. 20 solicitudes por minuto están disponibles a través de las 5 APIs restantes en la organización. |
Organización: 30 solicitudes por minuto Entorno: 10 solicitudes por minuto Perfil de Seguridad: 6 solicitudes por minuto | 15 | 7 | 5 | 5 solicitudes por minuto en ambas APIs no asignadas a un perfil de seguridad dentro del entorno. | A medida que se alcanza el límite para el entorno (10 solicitudes por minuto), cualquier solicitud adicional a cualquiera de las 7 APIs en el entorno dentro del minuto es rechazada y se devuelve un mensaje de Error 429. 20 solicitudes por minuto están disponibles a través de las 8 APIs restantes en la organización. |
Organización: 10 solicitudes por minuto Perfil de Seguridad: 5 solicitudes por minuto | 10 | 10 | 1 | 2 de las APIs no asignadas a un perfil de seguridad reciben 5 solicitudes por minuto cada una. | A medida que se alcanza el límite de la organización (10 solicitudes por minuto), cualquier solicitud adicional a cualquier API en la organización dentro del minuto es rechazada y se devuelve un mensaje de Error 429.Nota La asignación de la organización tiene prioridad sobre cualquier límite establecido dentro de un perfil de seguridad. |
Nota
Los intentos contra URLs inválidas que devuelven Error 404 no se cuentan contra ninguno de los límites o concesiones.
Para más información sobre la configuración de límites de tasa, consulta Entornos y Perfiles de Seguridad.
Usar rangos de IP confiables
Por defecto, un perfil de seguridad no limita el acceso a ningún rango de direcciones IP predeterminado. Puedes limitar el acceso a las APIs dentro de un perfil de seguridad a consumidores desde una única dirección IP o un rango de direcciones IP durante la configuración del perfil de seguridad.
Cuando un consumidor intenta acceder a una API con un perfil de seguridad que está limitado a una cierta dirección IP o un rango de direcciones IP, se verificará la dirección IP del consumidor contra los rangos permitidos. Las direcciones IP que no cumplen con los criterios son rechazadas y se devuelve un mensaje de Error 429.
Para información sobre cómo crear y usar grupos de IP confiables, consulta estos recursos:
Modo solo SSL
Cualquier API puede configurarse para usar cifrado SSL. Por defecto, cada API admite tanto transferencia HTTP como HTTPS.
La opción Solo SSL te permite redirigir el tráfico HTTP para asegurar que toda la comunicación esté cifrada. La identidad de la URL HTTPS es verificada por Symantec Class 3 Secure Server SHA256 SSL CA. La conexión a la URL HTTPS está cifrada con criptografía moderna.
Puedes habilitar la opción Solo SSL durante la configuración de una API personalizada, servicio OData, o API proxy.
Registros de API
Para cada acceso a una API, el perfil de seguridad utilizado para acceder a la API se registra en un registro. La página de Registros de API muestra una tabla de todos los registros de procesamiento de API, así como registros de depuración (si el registro de depuración está habilitado) para ayudar a editores y consumidores en la resolución de problemas relacionados. Los registros se muestran para APIs personalizadas, de servicio OData y proxy cuando se llaman a través del gateway de API en la nube o un gateway de API privado.