Página de Perfiles de Seguridad en Jitterbit API Manager

Introducción

Utiliza la página de Perfiles de Seguridad en API Manager para configurar y gestionar perfiles de seguridad. Los perfiles de seguridad controlan el acceso de los usuarios a las APIs de API Manager.

Alternativamente, crea y gestiona perfiles de seguridad utilizando el Asistente AI de APIM.

Para realizar acciones o hacer ediciones en la página de Perfiles de Seguridad, se requiere un rol con permiso de Admin. Los usuarios en roles no administrativos con acceso de Lectura o superior tienen acceso solo de lectura.

Para obtener información sobre los perfiles de seguridad, consulta Perfiles de seguridad en Conceptos clave.

Acceder a la página de Perfiles de Seguridad

Para acceder a la página de Perfiles de Seguridad, utiliza el menú del portal Harmony para seleccionar API Manager > Perfiles de Seguridad.

Encabezado de la página de Perfiles de Seguridad

El encabezado en la parte superior de la página de Perfiles de Seguridad incluye un cuadro de búsqueda, filtros y un botón para crear un nuevo perfil de seguridad:

• Filtros: Puedes filtrar los perfiles de seguridad por cualquiera de las siguientes opciones:

  

  • Tipo de autenticación: Selecciona los tipos de autenticación para los perfiles de seguridad. Las opciones incluyen OAuth 2.0, Clave API, Básica o Anónima. Cuando todos los filtros están deseleccionados, aparecen los perfiles de seguridad con cualquier tipo de autenticación.

• Perfil de seguridad predeterminado: Seleccione si desea mostrar perfiles predeterminados o no predeterminados.

• Entorno: Seleccione los entornos donde se encuentran los perfiles de seguridad. Cuando todos los filtros están deseleccionados, aparecen los perfiles de seguridad para todos los entornos en su organización (limitado a los entornos a los que puede acceder).

• Grupo de IP de confianza: Seleccione los grupos de IP de confianza incluidos en los perfiles de seguridad.

• Buscar: Ingrese cualquier parte del nombre de un perfil de seguridad para filtrar los perfiles de seguridad por nombre. La búsqueda no distingue entre mayúsculas y minúsculas.

• Filtrar columnas: Haga clic para cambiar la disposición y visibilidad de las columnas. Se abre el panel de Columnas:

  

  El panel incluye estos controles:

  • Mostrar todo: Hacer visibles todas las columnas.
  • Mover: Arrastre y suelte para cambiar la posición de la columna en relación con las demás.
  • Ocultar: La columna es visible. Haga clic para ocultarla.
  • Mostrar: La columna está oculta. Haga clic para mostrarla.
  • Guardar: Guardar los cambios en las columnas.
  • Cancelar: Cerrar el panel de columnas sin guardar cambios.

• Nuevo: Haga clic para seleccionar una de las siguientes opciones:

  • Crear con IA: Abre el Asistente de APIM para crear un perfil de seguridad utilizando indicaciones en lenguaje natural. Para más información, consulte Uso del Asistente de IA.

    Nota

    Para usar el Asistente de IA de APIM, su licencia de Harmony debe incluir la opción de Asistente de IA de APIM. Contacte a su Gerente de Éxito del Cliente (CSM) para agregar esta opción a su licencia.

  • Perfil de seguridad: Abre el panel de configuración del perfil de seguridad para crear manualmente un nuevo perfil de seguridad.

Configurar un perfil de seguridad

El panel de configuración del perfil de seguridad incluye estos campos y acciones:

• Nombre del perfil: Ingresa un nombre para identificar el perfil de seguridad. El nombre no debe comenzar ni terminar con un espacio.

  Advertencia

  Si configuras el perfil de seguridad con OAuth 2.0 y usas Microsoft Entra ID o Google como el proveedor de identidad de OAuth 2.0 (configurado a continuación), el Nombre del perfil no debe contener espacios. Si el Nombre del perfil contiene espacios, recibirás un error al intentar acceder a una API a la que se le ha asignado el perfil de seguridad.

• Entorno: Usa el menú desplegable para seleccionar un entorno existente donde se pueda asignar el perfil de seguridad. Puedes escribir cualquier parte del nombre del entorno en el menú para filtrar la lista de entornos. Los resultados del menú se filtran en tiempo real con cada pulsación de tecla. Para aprender más sobre la relación entre entornos y perfiles de seguridad, consulta Múltiples perfiles de seguridad en Conceptos clave.

• Predeterminado: Selecciona para hacer de este perfil de seguridad el predeterminado para el entorno seleccionado. El perfil de seguridad predeterminado se preseleccionará cuando se cree una nueva API. Solo se puede seleccionar un perfil de seguridad predeterminado en cada entorno. Después de que se haya especificado un perfil de seguridad predeterminado para un entorno, seleccionar un perfil de seguridad diferente como predeterminado reemplazará la selección del perfil de seguridad predeterminado existente. Seleccionar o cambiar el perfil de seguridad predeterminado no afectará al perfil de seguridad asignado a las APIs existentes.

• Descripción: Ingresa una descripción opcional del perfil de seguridad.

• Límites de tasa y hits por minuto: Habilita Límites de tasa para hacer cumplir un número máximo compartido de hits de API por minuto que se pueden realizar en todas las APIs a las que se le ha asignado este perfil de seguridad. Cuando se selecciona esta opción, debes ingresar un número máximo de hits por minuto.

  Cuando está habilitado, las llamadas que superen el máximo establecido son rechazadas. Como tal, las llamadas a APIs asignadas a este perfil de seguridad pueden experimentar un aumento en el número de rechazos. Para más información, consulta Límites de tasa en Conceptos clave.

• Tipo de autenticación: Seleccione un tipo de autenticación para el perfil de seguridad. Consulte Tipos de autenticación a continuación para más detalles.

• Registro: Seleccione el identificador que se incluirá en los encabezados de las solicitudes de API para rastrear qué método de autorización se utilizó para acceder a este perfil de seguridad. Este valor aparece en el campo Usuario establecido en en los registros de API para cada solicitud de API, lo que le permite monitorear y auditar diferentes métodos de acceso.

  La etiqueta del primer botón de opción corresponde con el Tipo de autenticación configurado para el perfil de seguridad:

  • Anónimo: Envía el valor Anónimo.

  • Básico: Envía el valor del campo Nombre de usuario (como se define en Autenticación básica).

  • OAuth: Envía el valor OAuth2.0.

  • Clave de API: Envía el valor APIKEY.

  Cuando se selecciona Personalizado para Registro, este campo se vuelve disponible:

  • Campo de encabezado de solicitud: Envía el valor ingresado en el cuadro de texto, por ejemplo, X-API-Key.

• Dirección IP de confianza: Seleccione si desea limitar el acceso a las API dentro del perfil de seguridad a consumidores de una sola dirección IP o un rango de direcciones IP. Consulte Direcciones IP de confianza a continuación para más detalles.

• Guardar: Haga clic para guardar y cerrar la configuración del perfil de seguridad.

• Cancelar: Haga clic para cerrar la configuración sin guardar.

Tipos de autenticación

Después de usar el menú Tipo de autenticación para seleccionar el tipo de autenticación, se vuelven disponibles campos adicionales para configurar. Esta sección describe los campos para cada tipo:

• Anónimo
• Clave de API
• Básico
• OAuth 2.0

Anónimo

Seleccione el tipo de autenticación Anónimo si no se requiere autenticación.

Clave API

Seleccione el tipo de autenticación Clave API para usar un par de clave y valor de API para acceder a una API asignada a este perfil de seguridad. Cuando se selecciona este tipo, se utilizan estos campos para crear las credenciales requeridas:

• Clave: Ingrese el nombre del encabezado que desea utilizar, como Authorization o X-API-KEY. Se permite un máximo de 256 caracteres.
• Valor: Se genera automáticamente un valor para usar con el nombre del encabezado Clave. Puede editar el valor o usar el ícono de para generar un nuevo valor. Se permite un máximo de 256 caracteres.
• Copiar: Copia el Valor en su portapapeles.

Básico

Seleccione el tipo de autenticación Básico para usar autenticación HTTP básica para acceder a una API asignada a este perfil de seguridad. Cuando se selecciona este tipo, se utilizan estos campos para crear las credenciales requeridas:

• Nombre de usuario: Ingrese un nombre de usuario para crear para acceder a la API. El nombre de usuario es sensible a mayúsculas y minúsculas y no debe contener dos puntos (:) si tiene la intención de usar las credenciales en un encabezado HTTP al llamar a la API.

• Contraseña: Ingrese una contraseña para crear para acceder a la API.

Base64Encode("exampleuser"+":"+"examplepassword")

OAuth 2.0

Seleccione el tipo de autenticación OAuth 2.0 para usar un token de autorización OAuth 2.0 para acceder a una API asignada a este perfil de seguridad. OAuth 2.0 es un estándar abierto para la delegación de acceso. Cuando se selecciona este tipo, se utilizan estos campos para crear las credenciales requeridas:

• Proveedor de OAuth: Utiliza el menú desplegable para seleccionar un proveedor de identidad compatible. Elige uno de Azure AD (Microsoft Entra ID), Google, Okta o Salesforce.

• URL de redirección de OAuth: Este campo está prellenado y no se puede editar. Este valor es necesario como entrada cuando obtienes el ID de cliente y el secreto de cliente para Microsoft Entra ID, Google, Okta o Salesforce.

• Flujo de OAuth de 2 piernas: Por defecto, se utiliza OAuth de 3 piernas para todos los proveedores de identidad. Este proceso requiere interacción manual para autenticar al acceder a una API asignada a este perfil de seguridad. La opción de Flujo de OAuth de 2 piernas está disponible solo para Microsoft Entra ID (Microsoft Entra ID) y Okta. Esta opción te permite configurar un alcance y una audiencia para eliminar el paso manual.

  Nota

  Si utilizas un gateway de API privado, debes usar la versión 10.48 o posterior del gateway para que esta opción funcione. Si el gateway no es de la versión 10.48 o posterior, se utiliza OAuth de 3 piernas incluso si se configura OAuth de 2 piernas. Si no estás utilizando un gateway de API privado, esta opción no tiene requisitos de versión.

• Alcance de OAuth: (Visible solo cuando Flujo de OAuth de 2 piernas está habilitado.) Ingresa el alcance que se utilizará para OAuth de 2 piernas. Consulta las instrucciones para Microsoft Entra ID (Microsoft Entra ID) o Okta.

• Dominios autorizados: Ingrese nombres de dominio separados por comas para limitar el acceso a los dominios permitidos. Deje en blanco para acceso sin restricciones.

• ID de cliente OAuth y secreto de cliente OAuth: Ingrese el ID de cliente y el secreto de cliente que obtuvo del proveedor de identidad. Consulte las instrucciones para obtener el ID de cliente y el secreto de cliente para Microsoft Entra ID, Google, Okta o Salesforce.

• URL de descubrimiento OpenID: (Visible solo cuando Flujo OAuth de 2 piernas está habilitado.) Este campo se completa automáticamente con valores predeterminados estándar del proveedor de identidad. Estos valores deben ser editados con valores específicos de la instancia de Microsoft Entra ID o Okta. Consulte las instrucciones para Microsoft Entra ID (Microsoft Entra ID) o Okta.

• Audiencia: (Visible solo cuando Flujo OAuth de 2 piernas está habilitado.) Ingrese la audiencia que se utilizará para OAuth de 2 piernas. Consulte las instrucciones para Microsoft Entra ID o Okta.

• URL de autorización OAuth, URL de token OAuth y URL de información del usuario: Estos campos se completan automáticamente con valores predeterminados estándar del proveedor de identidad. Es posible que necesiten ser editados dependiendo del proveedor de identidad:

• Google o Salesforce: Normalmente, estos valores no deberían necesitar ser editados. Si estás utilizando una implementación personalizada y necesitas sobrescribir los valores predeterminados, puedes editarlos aquí. Para más ayuda, contacta al soporte de Jitterbit.

• Azure AD u Okta: Estos valores deben ser editados con valores específicos de la instancia de Microsoft Entra ID u Okta. Consulta las instrucciones para Microsoft Entra ID o Okta.

• Agrega esta URL de redirección a tu cuenta de OAuth: Este campo está prellenado y no se puede editar. Este valor es requerido como entrada cuando obtienes el ID de cliente y el secreto de cliente para Microsoft Entra ID, Google, Okta o Salesforce.

• Prueba de conectividad: Haz clic para verificar la conectividad con el proveedor de identidad utilizando la configuración proporcionada. El comportamiento resultante depende de si se está utilizando la opción Flujo OAuth de 2 patas:

  • OAuth de 2 patas: Para Microsoft Entra ID y Okta cuando se está utilizando el Flujo OAuth de 2 patas, la puerta de enlace API obtiene el token de acceso y la autenticación ocurre automáticamente. Luego, serás redirigido a API Manager con un mensaje que muestra los resultados de la prueba.

  • OAuth de 3 patas: Para Google y Salesforce, y para Microsoft Entra ID y Okta cuando no se está utilizando el Flujo OAuth de 2 patas, una nueva pestaña del navegador muestra la interfaz de inicio de sesión nativa del proveedor de identidad. Después de proporcionar tus credenciales para el proveedor de identidad, serás redirigido a API Manager con un mensaje que muestra los resultados de la prueba.

Direcciones IP de confianza

Puedes seleccionar si deseas limitar el acceso a las API dentro del perfil de seguridad a consumidores desde una sola dirección IP o un rango de direcciones IP:

• Confiar en solicitudes solo de los siguientes rangos de IP: Habilitar para limitar el acceso a las API dentro de un perfil de seguridad a consumidores de ciertas direcciones IP. Solo las direcciones IP que están incluidas dentro de los rangos especificados pueden acceder a las API utilizando este perfil de seguridad. Cuando se habilita, aparece una tabla de grupos de IP de confianza existentes:

  

  • Buscar: Ingresa el nombre de un grupo de IP de confianza existente. Cuando haces clic en el cuadro de búsqueda, se llena una lista de grupos de IP de confianza existentes. La lista se filtra en tiempo real con cada pulsación de tecla dentro del cuadro de búsqueda. Haz clic en el nombre del grupo de IP de confianza para agregarlo al perfil de seguridad.

  • Asignar: Habilitar para asignar el grupo de IP de confianza al perfil de seguridad.

  • Nombre: El nombre del grupo de IP de confianza.

  • Usado en: Los nombres de los perfiles de seguridad donde el grupo de IP de confianza se utiliza actualmente.

  • Acciones: Pasa el cursor sobre una fila de grupo de IP de confianza para revelar una acción adicional:

    • Editar: Haz clic para editar los rangos de IP para la fila del grupo de IP de confianza.

  • Nuevo grupo de IP de confianza: Haz clic para agregar un nuevo grupo de IP de confianza. Al hacer clic, se muestra esta pantalla de configuración:

    

    • Nombre: Ingresa un nombre para identificar el grupo de IP de confianza. Para grupos de IP de confianza existentes, haz clic en el nombre de un grupo de IP de confianza para renombrarlo.

    • Nuevo rango: Haz clic para agregar un rango de direcciones IP.

    • Dirección IP de inicio: Ingresa la primera dirección IP a incluir en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.

    • Dirección IP final: Ingresa la última dirección IP a incluir en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.

    • Descripción: Ingresa una descripción del rango de direcciones IP (opcional).

    • Acciones: Pasa el cursor sobre un rango de direcciones IP para revelar una acción adicional:

      • Eliminar: Elimina la fila del rango de direcciones IP del perfil de seguridad.

    • Cancelar: Haz clic para descartar el grupo de IPs de confianza y regresar a la configuración del perfil de seguridad.

    • Guardar: Haz clic para guardar el grupo de IPs de confianza. Después de que el perfil de seguridad haya sido guardado, este grupo de IPs de confianza estará disponible para su uso en otros perfiles de seguridad según sea necesario.

Ver perfiles de seguridad existentes

La página de Perfiles de Seguridad muestra todos los perfiles de seguridad existentes en la organización Harmony seleccionada, agrupados por entorno. Cada columna de la tabla se describe a continuación:

• Nombre del Perfil: El nombre del perfil de seguridad. Para alternar el orden de clasificación de cada tabla entre orden alfabético descendente y ascendente, haz clic en la flecha hacia arriba o hacia abajo .

• Tipo de Autenticación: El tipo de autenticación utilizado para autenticar y acceder a las APIs asignadas a este perfil de seguridad.

• Descripción: Una descripción del perfil de seguridad, si se proporciona.

• APIs usando: Las APIs a las que se asigna el perfil de seguridad.

• Solicitudes por minuto: El número máximo de solicitudes de API permitidas por minuto utilizando este perfil, si está configurado.

• Entorno: El entorno donde se aplica el perfil de seguridad.

• Clase de Entorno: La clase del entorno. Esta información se utiliza solo con fines de informes.

• Predeterminado: El nombre del entorno predeterminado del perfil de seguridad, si está configurado.

• Creado: La fecha y hora local del navegador cuando se creó el perfil de seguridad.

• Creado por: La dirección de correo electrónico del usuario que creó el perfil de seguridad.

• Última edición: La fecha y hora local del navegador cuando se modificó por última vez el perfil de seguridad.

• Editado por: La dirección de correo electrónico del usuario que editó más recientemente el perfil de seguridad.

• Grupos de IP de confianza: Cualquier grupo de IP de confianza asignado al perfil de seguridad. Para más información, consulta Direcciones IP de confianza.

• Acciones: Pasa el cursor sobre un perfil de seguridad para revelar estos íconos de acción:

  • Editar: Haz clic para abrir la pantalla de configuración del perfil de seguridad.

  • Eliminar: Haz clic para eliminar permanentemente el perfil de seguridad. Un mensaje te pedirá que confirmes la eliminación. Si el perfil de seguridad está asignado a alguna API, primero debes desasignarlo o reemplazarlo antes de eliminarlo.

    Importante

    Después de desasignar un perfil de seguridad de una API, debes guardar y publicar la API para que el cambio surta efecto. Hasta que la API sea publicada, el perfil de seguridad se considera "en uso" y no se puede eliminar hasta que todas las APIs que lo usaban previamente hayan sido publicadas con la configuración actualizada. Esto se aplica incluso si la API está en estado de borrador con el perfil desasignado.

  • URL de visualización de OAuth: Cuando se configura un perfil de seguridad de OAuth de 2 patas, haz clic para copiar la URL necesaria para generar un token de OAuth. Para instrucciones, consulta OAuth de 2 patas de Microsoft Entra ID o OAuth de 2 patas de Okta.

Próximos pasos

Para más información sobre cómo asignar perfiles de seguridad a una API, consulta estos recursos:

• Pestaña de perfiles de seguridad de API
• APIs personalizadas
• APIs OData
• APIs proxy