Configuración del Perfil de Seguridad
Descripción General
Esta página describe cómo crear y configurar un perfil de seguridad de los Perfiles de seguridad página de Harmony API Manager.
Después de crear un perfil de seguridad, se puede asignar a una o más APIs en el ambiente al que pertenece el perfil de seguridad. Para obtener más información sobre cómo asignar perfiles de seguridad a una API, consulte estos recursos:
Nota
Los perfiles de seguridad se almacenan en caché en la puerta de enlace de API, por lo que los cambios en los perfiles de seguridad de una API ya activa pueden tardar varios minutos en surtir efecto.
Configurar un Perfil de Seguridad
La pantalla de configuración del perfil de seguridad incluye estos campos y acciones:
-
Nombre del perfil: Ingrese un nombre para identificar el perfil de seguridad. El nombre no debe comenzar ni terminar con un espacio.
Precaución
Si configura el perfil de seguridad con un Tipo de OAuth 2.0 y usa Azure AD o Google como proveedor de identidad de OAuth 2.0 (configurado a continuación), el Nombre del perfil no debe contener espacios. Si el Nombre del perfil contiene espacios, recibirá un error al intentar acceder a una API a la que está asignado el perfil de seguridad.
-
Ambiente: Utilice el menú desplegable para seleccionar un ambiente existente donde se puede asignar el perfil de seguridad. Puede escribir cualquier parte del nombre del ambiente en el menú para filtrar la lista de ambientes. Los resultados del menú se filtran en tiempo real con cada pulsación de tecla. Para obtener más información sobre la relación de los ambientes con los perfiles de seguridad, consulte Usar varios perfiles de seguridad en un ambiente en Seguridad del API Manager.
-
Descripción: Ingrese una descripción opcional del perfil de seguridad.
-
Tipo: Use el menú desplegable para seleccionar un tipo de autenticación para el perfil de seguridad. Consulte Tipos de autenticación a continuación para obtener más detalles.
-
Registro: En el campo Registro, seleccione el valor que se enviará en el encabezado de la solicitud de API para indicar el tipo de autorización a través del cual se está accediendo a una API a la que se le asignó este perfil de seguridad. Para cada acceso a la API, este valor se identifica en el Registro de API en el campo Establecido por el usuario como.
-
Uno de los siguientes: Anónimo, Igual que el nombre de usuario, OAuth o Clave API: La etiqueta del primer botón de opción corresponde al Tipo de autorización configurado para el perfil de seguridad:
- Anónimo: Envía el valor Anónimo. Disponible únicamente con el tipo de autenticación Anónimo.
- Igual que el nombre de usuario: Envía el valor del campo Nombre de usuario (como se definió anteriormente). Disponible únicamente con el tipo de autenticación Básica.
- OAuth: Envía el valor OAuth2.0. Disponible únicamente con el tipo de autenticación OAuth 2.0.
- Clave API: Envía el valor APIKEY. Disponible solo con el tipo de autenticación Clave API.
-
Campo de encabezado de solicitud personalizado: Envía el valor ingresado en el cuadro de texto:
-
-
Direcciones IP de confianza: Seleccione si desea restringir el acceso a las APIs dentro del perfil de seguridad a los consumidores desde una única dirección IP o un rango de direcciones IP. Consulte Direcciones IP de confianza a continuación para obtener más detalles.
-
Límites de velocidad y Accesos por minuto: Seleccione Límites de velocidad para aplicar una cantidad máxima compartida de accesos a la API por minuto que se pueden realizar en todas las APIs a las que está asignado este perfil de seguridad. Cuando se selecciona esta opción, debe ingresar una cantidad máxima de Accesos por minuto.
Cuando está habilitado, se rechazan las llamadas que superan el máximo establecido. Por lo tanto, las llamadas a las APIs asignadas a este perfil de seguridad pueden experimentar una mayor cantidad de rechazos. Para obtener más información, consulte Usar límites de frecuencia en Seguridad del API Manager.
-
Hacer que este perfil de seguridad sea el predeterminado y agregarlo automáticamente a las nuevas APIs: Seleccione esta opción para que este perfil de seguridad sea el predeterminado para el ambiente seleccionado. El perfil de seguridad predeterminado se preseleccionará cuando se cree una nueva API. Solo se puede seleccionar un perfil de seguridad predeterminado en cada ambiente. Una vez que se ha especificado un perfil de seguridad predeterminado para un ambiente, la selección de un perfil de seguridad diferente como predeterminado reemplazará la selección del perfil de seguridad predeterminado existente. Seleccionar o cambiar el perfil de seguridad predeterminado no cambiará el perfil de seguridad asignado a las APIs existentes.
-
Guardar: Haga clic para guardar y cerrar la configuración del perfil de seguridad.
-
Cancelar: Haga clic para cerrar la configuración sin guardar.
-
Eliminar perfil: Elimina permanentemente el perfil de seguridad. Un mensaje le solicita que confirme que desea eliminar el perfil de seguridad. Si el perfil de seguridad está asignado a alguna APIs, primero debe anular su asignación o reemplazarlo antes de eliminarlo.
Tipos de Autenticación
Una vez que utilice el menú Tipo para seleccionar el tipo de autenticación, se encontrarán disponibles campos adicionales para configurar, que se describen en esta sección para cada tipo:
Anónimo
Seleccione el tipo de autenticación Anónima si no se requiere autenticación HTTP.
Nota
Si no asigna un perfil de seguridad a una API, también se utiliza la autenticación anónima. Sin embargo, es posible que desee utilizar un perfil de seguridad anónimo (en lugar de ningún perfil de seguridad) para poder configurar opciones de seguridad adicionales para Registro, Intervalos de IPs Confiables o Límites de velocidad, como se describe en los puntos siguientes.
Básico
Seleccione el tipo de autenticación Básica para utilizar la autenticación HTTP básica para acceder a una API a la que se le haya asignado este perfil de seguridad. Cuando se selecciona este tipo, se utilizan estos campos para crear las credenciales necesarias:
-
Nombre de usuario: Ingrese un nombre de usuario para crear y acceder a la API. El nombre de usuario distingue entre mayúsculas y minúsculas y no debe contener dos puntos (
:
) si desea utilizar las credenciales en un encabezado HTTP al llamar a la API. -
Contraseña: Ingrese una contraseña para crear el acceso a la API.
Consejo
Para usar las credenciales en un encabezado HTTP al llamar a una API asignada a este perfil de seguridad, proporcione una cadena codificada en Base64 del nombre de usuario y la contraseña combinada con dos puntos. Por ejemplo, utilizando la función Jitterbit Base64Encode
:
Base64Encode("exampleuser"+":"+"examplepassword")
OAuth 2.0
Seleccione el tipo de autenticación OAuth 2.0 para utilizar un token de autorización OAuth 2.0 para acceder a una API a la que se le haya asignado este perfil de seguridad. Cuando se selecciona este tipo, se utilizan estos campos para crear las credenciales necesarias:
-
Proveedor de OAuth: Use el menú desplegable para seleccionar un proveedor de identidad compatible: Azure AD, Google, Okta o Salesforce.
-
URL de redireccionamiento de OAuth: Este campo se completa previamente y no se puede editar. Este valor es obligatorio como entrada al obtener el ID y el secreto del cliente para Azure AD, Google, Okta, o Salesforce.
-
Flujo OAuth de 2 vías: De forma predeterminada, se utiliza OAuth de 3 vías para todos los proveedores de identidad, lo que requiere interacción manual para autenticarse al acceder a una API asignada a este perfil de seguridad. La opción Flujo OAuth de 2 vías, disponible solo para Azure AD y Okta, le permite configurar un alcance y una audiencia para eliminar ese paso manual.
Nota
Aquellos que utilizan una puerta de enlace API privada debe utilizar una versión de puerta de enlace 10.48 o posterior para que esta opción tenga efecto. Si la puerta de enlace no es 10.48 o posterior, se utiliza OAuth de 3 vías incluso si se configura OAuth de 2 vías. Si no utiliza una puerta de enlace de API privada, esta opción no tiene requisitos de versión.
Cuando se selecciona esta opción, estos campos quedan disponibles para configurar:
- Ámbito de OAuth: Ingrese el ámbito que se utilizará para OAuth de dos vías. Consulte las instrucciones para Azure AD o Okta.
- URL de detección de OpenID: Este campo se rellena previamente con valores predeterminados estándar del proveedor de identidad. Estos valores se deben editar con valores específicos de la instancia de Azure AD u Okta. Consulte las instrucciones para Azure AD o Okta.
- Audiencia: Ingrese la audiencia que se utilizará para OAuth de dos vías. Consulte las instrucciones para Azure AD o Okta.
-
Dominios autorizados: Ingrese los nombres de dominio separados por comas para restringir el acceso a los dominios incluidos en la lista de permitidos. Déjelo en blanco para un acceso sin restricciones.
-
ID de cliente de OAuth y secreto de cliente de OAuth: ingrese el ID de cliente y el secreto de cliente obtenidos del proveedor de identidad. Consulte las instrucciones para obtener el ID de cliente y el secreto de cliente para Azure AD, Google, Okta, o Salesforce.
-
URL de autorización de OAuth, URL de token de OAuth y URL de información de usuario: Estos campos se rellenan previamente con valores predeterminados estándar del proveedor de identidad. Es posible que sea necesario editarlos según el proveedor de identidad:
-
Google o Salesforce: Normalmente, no es necesario editar estos valores. Si está utilizando una despliegue personalizada y necesita anular los valores predeterminados, puede editarlos aquí. Para obtener más ayuda, comuníquese con soporte de Jitterbit.
-
Azure AD u Okta: Estos valores se deben editar con valores específicos de la instancia de Azure AD u Okta. Consulta las instrucciones para Azure AD o Okta.
-
-
Agregue esta URL de redireccionamiento a su cuenta de OAuth: Este campo está precargado y no se puede editar. Este valor es obligatorio como entrada al obtener el ID y el secreto del cliente para Azure AD, Google, Okta, o Salesforce.
-
Identificación de cliente de prueba + secreto: Haga clic para verificar la conectividad con el proveedor de identidad mediante la configuración proporcionada. El comportamiento resultante depende de si se utiliza la opción Flujo OAuth de dos vías:
- OAuth de dos vías: Para Azure AD y Okta, cuando se usa Flujo OAuth de dos vías, la puerta de enlace de API obtiene el token de acceso y la autenticación se realiza automáticamente. Luego, se lo redirige a API Manager con un mensaje que indica los resultados de la prueba.
- OAuth de 3 vías: Para Google y Salesforce, y para Azure AD y Okta cuando no se utiliza Flujo OAuth de 2 vías, una nueva pestaña del navegador muestra la interfaz de inicio de sesión nativa para el proveedor de identidad. Después de proporcionar sus credenciales para el proveedor de identidad, se lo redirecciona a API Manager con un mensaje que indica los resultados de la prueba.
Clave API
Seleccione el tipo de autenticación Clave API para utilizar un par de clave API y valor para acceder a una API asignada a este perfil de seguridad. Cuando se selecciona este tipo, se utilizan estos campos para crear las credenciales requeridas:
- Clave: Ingrese el nombre del encabezado que desea utilizar, como Autorización o X- API-KEY. Se permite un máximo de 256 caracteres.
- Valor: Se genera automáticamente un valor para usar con el nombre del encabezado Clave. Puede editar el valor o usar el icono de actualización para generar un nuevo valor. Se permite un máximo de 256 caracteres.
Nota
El par de clave y valor que se ingresa se acepta tanto como encabezado como parámetro de consultar. Por ejemplo, una Clave de X- API-KEY con un Valor de abc123 se pasa en un encabezado como X-API-KEY:abc123
y en un parámetro de consultar como ?X-API-KEY=abc123
.
Direcciones IP Confiables
Puede seleccionar si desea restringir el acceso a las APIs dentro del perfil de seguridad a los consumidores desde una única dirección IP o un rango de direcciones IP:
- Sin restricciones: No limita el acceso a las APIs por dirección IP.
-
Confiar en solicitudes solo de los siguientes rangos de IP: Restringe el acceso a las APIs dentro de un perfil de seguridad a los consumidores de determinadas direcciones IP. Solo las direcciones IP que se incluyen dentro de los rangos especificados pueden acceder a las APIs mediante este perfil de seguridad.
-
Intervalos de IPs Confiables: Si tiene un rango de IP confiable que se configuró antes del lanzamiento de Harmony 10.58, se presenta esta interfaz de usuario:
Precaución
Se recomienda que todos los usuarios cambien a usar Grupos de IPs Confiables, ya que los Intervalos de IPs Confiables están obsoletos y se eliminarán en una versión futura.
- Dirección IP inicial: Ingrese la primera dirección IP que se incluirá en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.
- Dirección IP final: Ingrese la última dirección IP que se incluirá en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.
- Agregar rango: Haga clic para agregar un rango de IP adicional.
- Eliminar: Pase el cursor sobre cualquier rango de direcciones IP y haga clic en el eliminar icono para eliminar esa fila de rango de direcciones IP.
-
** Grupos de IPs Confiables:** Seleccione un grupo de IP confiables existente o agregue un nuevo grupo de IP confiables al perfil de seguridad:
-
Buscar: Ingrese el nombre de un grupo de IP confiables existente. Al hacer clic en el cuadro de búsqueda, se completa una lista de grupos de IP de confianza existentes. La lista se filtra en tiempo real con cada pulsación de tecla dentro del cuadro de búsqueda. Haga clic en el nombre del grupo de IP de confianza para agregarlo al perfil de seguridad.
-
Agregar: Haga clic para agregar un nuevo grupo de IP confiables. Una vez que se haya guardado el perfil de seguridad, este grupo de IP confiables se agregará a Grupos de IPs Confiables como un grupo de IP de confianza existente para utilizarlo en otros perfiles de seguridad según sea necesario.
-
Nombre: Ingrese un nombre para identificar el grupo de IP de confianza. Para los grupos de IP de confianza existentes, haga clic en el nombre de un grupo de IP de confianza para cambiarle el nombre.
-
Dirección IP inicial: Ingrese la primera dirección IP que se incluirá en el rango. Solo se admiten las direcciones IP ingresadas en formato IPv4.
-
Dirección IP final: Ingrese la última dirección IP que se incluirá en el rango. Solo se admiten las direcciones IP ingresadas en formato IPv4.
-
Descripción: Ingrese una descripción del rango de direcciones IP (opcional).
-
Agregar rango: Haga clic para agregar un rango adicional al grupo de IP de confianza.
-
Editar: Haga clic en el ícono de edición para editar los grupos de IP de confianza existentes que se seleccionaron para usar con el perfil de seguridad.
Nota
Cualquier cambio realizado en un grupo de IP de confianza existente afectará a todos los perfiles de seguridad que utilicen el grupo de IP de confianza.
-
Eliminar: Haga clic en el botón eliminar icono junto al nombre del grupo de IP de confianza para eliminar todo el grupo de IP de confianza del perfil de seguridad. Pase el cursor sobre cualquier rango de direcciones IP y haga clic en el icono eliminar icono para eliminar esa fila de rango de direcciones IP.
-
-
Próximos Pasos
Después de crear un perfil de seguridad, se puede asignar a una o más APIs en el ambiente al que pertenece el perfil de seguridad. Para obtener más información sobre cómo asignar perfiles de seguridad a una API, consulte estos recursos: