Segurança no Jitterbit API Manager
Introdução
Esta página descreve as diferentes maneiras pelas quais você pode proteger uma API do API Manager. Esses recursos permitem que você configure e gerencie os níveis desejados de segurança para vários casos de uso dentro do API Manager:
Para obter informações sobre os recursos de segurança na arquitetura do sistema do Jitterbit, consulte Segurança do Jitterbit.
Perfis de segurança
Uma API é anônima e acessível publicamente por padrão no momento em que é criada, a menos que um perfil de segurança seja configurado em Perfis de segurança do API Manager página e é atribuída à API.
Um perfil de segurança de API governa e protege o consumo de APIs. Perfis de segurança permitem que uma API publicada seja consumida somente por um consumidor de API específico ou um grupo de consumidores. Perfis de segurança podem ser criados e atribuídos por um membro da organização que tenha uma papel com permissão Admin.
Os administradores da organização Harmony podem exigir que perfis de segurança sejam atribuídos a cada API no momento em que ela for criada usando uma configuração nas políticas da organização Harmony.
Tipos de autenticação de perfil de segurança
As opções de autenticação em perfis de segurança controlam o acesso a uma API por consumidores de API. Estes são os tipos de autenticação de perfil de segurança disponíveis:
| Tipo de autenticação | Descrição |
|---|---|
| Anônimo | A autenticação anônima permite que a API seja acessível publicamente sem exigir nenhuma autenticação. |
| Básico | A autenticação básica usa autenticação HTTP para fornecer acesso à API. Ao usar autenticação básica, os consumidores incluem o nome de usuário e a senha em uma string codificada no cabeçalho de autorização de cada solicitação feita. |
| OAuth 2.0 | A autenticação OAuth 2.0 usa um dos seguintes: Microsoft Entra ID, Google, Okta ou Salesforce como o provedor de identidade. Ao usar a autenticação OAuth 2.0, o consumidor deve validar suas credenciais de provedor de identidade para acessar uma API em tempo de execução. Para obter mais informações sobre como configurar um provedor de identidade de API, consulte Configuração do provedor de identidade de API. |
| Chave de API | A autenticação de chave de API usa um par chave-valor para acessar uma API. |
Nota
Os perfis de segurança são armazenados em cache no gateway da API, portanto, as alterações nos perfis de segurança de uma API já ativa podem levar vários minutos para entrarem em vigor.
Use vários perfis de segurança
Você pode usar vários perfis de segurança para empregar diferentes métodos de autenticação e opções de segurança no mesmo ambiente, com cada um direcionado a um grupo específico de consumidores de API.
Por exemplo, se você tiver dois tipos de consumidores (accounting e finance) e duas APIs (API-Revenue e API-Budget) em um ambiente e API-Revenue for destinado a consumidores accounting e API-Budget for destinado a consumidores accounting e API-Budget, você pode criar um único perfil de segurança para consumidores accounting e atribuí-lo a ambas as APIs. Você pode então criar um perfil de segurança separado para consumidores finance e atribuí-lo a API-Budget.
O resultado dos dois perfis de segurança é que os consumidores de contabilidade (usando seu perfil de segurança) podem acessar somente API-Revenue, e os consumidores de finanças (usando seu perfil de segurança separado) podem acessar API-Revenue ou API-Budget.
Uma mistura de diferentes tipos de autenticação para uma API não é permitida, a menos que use uma das combinações específicas listadas abaixo. Em vez disso, crie APIs separadas para atender a diferentes grupos de consumidores de API.
Estas combinações de perfis de segurança são permitidas:
- Você pode atribuir vários perfis de segurança com autenticação básica a uma única API.
- Você pode atribuir vários perfis de segurança com autenticação de chave de API a uma única API.
- Você pode atribuir uma combinação de perfis de segurança que usam autenticação básica e de chave de API a uma única API.
Qualquer outra combinação de perfil de segurança não é permitida.
Limites de taxa de uso
Cada organização tem duas permissões, conforme declarado no contrato de licença Jitterbit da organização:
- Uma permissão de hits por mês de API é a permissão total fornecida a uma organização em um mês. Todas as chamadas recebidas por todas as APIs (em todos os ambientes) em um único mês contam para esse limite.
- Uma franquia de hits por minuto da API é a taxa máxima na qual a franquia de uma organização pode ser consumida.
Por padrão, um ambiente ou perfil de segurança pode acessar a permissão total de acessos de uma organização em todas as APIs em um minuto.
Depois que uma organização tiver usado sua cota de acessos por mês, todas as APIs dentro da organização receberão um Error 429 até que o subsídio seja redefinido para o valor máximo no primeiro dia do mês seguinte.
Você pode usar limites de taxa no ambiente e perfil de segurança nível para impor um número máximo compartilhado de acessos de API por minuto que podem ser feitos em todas as APIs dentro de um ambiente ao qual um perfil de segurança é atribuído. Se o limite de taxa por minuto definido na organização, ambiente, ou perfil de segurança nível é atingido, a chamada da API é rejeitada pelo gateway da API e um Error 429 mensagem é retornada. Nenhuma operação subjacente ou API de externo é chamada.
Nota
A limitação de taxa é imposta no nível da organização, no nível do ambiente e no nível do perfil de segurança. Ela não é imposta no nível da API.
Esta tabela fornece exemplos de maneiras pelas quais perfis e ambientes de segurança podem ser usados para impor limites de taxa:
| Abonos | APIs em uma organização | APIs em um ambiente | APIs em um perfil de segurança | Uso | Resultado |
|---|---|---|---|---|---|
Organização: 25 acessos por minuto Perfil de segurança: 5 acessos por minuto | 10 | 5 | 5 | 1 acesso por minuto em cada API atribuída ao perfil de segurança. | À medida que o limite para o perfil de segurança (5 acessos por minuto) é atingido, quaisquer acessos adicionais a qualquer API atribuída ao perfil de segurança dentro do minuto são rejeitados e uma Error 429 mensagem é retornada. 20 acessos por minuto estão disponíveis nas 5 APIs restantes na organização. |
Organização: 30 acessos por minuto Ambiente: 10 acessos por minuto Perfil de segurança: 6 acessos por minuto | 15 | 7 | 5 | 5 acessos por minuto em ambas as APIs não atribuídas a um perfil de segurança dentro do ambiente. | À medida que o limite para o ambiente (10 acessos por minuto) é atingido, quaisquer acessos adicionais a qualquer uma das 7 APIs no ambiente dentro do minuto são rejeitados e um Error 429 mensagem é retornada. 20 acessos por minuto estão disponíveis nas 8 APIs restantes na organização. |
Organização: 10 acessos por minuto Perfil de segurança: 5 acessos por minuto | 10 | 10 | 1 | 2 das APIs que não têm um perfil de segurança atribuído recebem 5 acessos por minuto cada. | À medida que o limite da organização (10 acessos por minuto) é atingido, quaisquer acessos adicionais a qualquer API na organização dentro do minuto são rejeitados e uma Error 429 a mensagem é retornada.Nota O subsídio da organização tem precedência sobre qualquer limite definido em um perfil de segurança. |
Nota
Tentativas contra URLs inválidos que retornam Error 404 não são contados em relação a nenhum dos limites ou permissões.
Para obter mais informações sobre a configuração de limites de taxa, consulte Ambientes e Configuração do perfil de segurança.
Use intervalos de IP confiáveis
Por padrão, um perfil de segurança não limita o acesso a nenhum intervalo predeterminado de endereços IP. Você pode limitar o acesso às APIs dentro de um perfil de segurança a consumidores de um único endereço IP ou de um intervalo de endereços IP durante configuração do perfil de segurança.
Quando um consumidor tenta acessar uma API com um perfil de segurança limitado a um determinado endereço IP ou a um intervalo de endereços IP, o endereço IP do consumidor será verificado em relação aos intervalos permitidos. Os endereços IP que não atendem aos critérios são rejeitados e um Error 429 a mensagem é retornada.
Para obter informações sobre como criar e usar grupos de IP confiáveis, consulte estes recursos:
Modo somente SSL
Qualquer API pode ser configurada para usar criptografia SSL. Por padrão, cada API suporta transferência HTTP e HTTPS.
A opção SSL Only permite que você encaminhe tráfego HTTP para garantir que toda a comunicação seja criptografada. A identidade da URL HTTPS é verificada pelo Symantec Class 3 Secure Server SHA256 SSL CA. A conexão com a URL HTTPS é criptografada com criptografia moderna (com criptografia TLS 1.2, a conexão é criptografada e autenticada usando AES_128_GCM e usa ECDHE_RSA como o mecanismo de troca de chaves).
Você pode habilitar a opção Somente SSL durante a configuração de uma API personalizada, serviço OData, ou API proxy.
Registros de API
Para cada acesso a uma API, o perfil de segurança usado para acessar a API é registrado em um log. Os Logs da API exibe uma tabela de todos os logs de processamento de API, bem como logs de depurar (se o log de depurar estiver habilitado) para fornecer aos publicadores e consumidores ajuda na solução de problemas relacionados. Os logs são exibidos para APIs personalizadas, de serviço OData e de proxy quando são chamados por meio do cloud API gateway ou um gateway de API privado.