Segurança no Jitterbit API Manager
Introdução
Esta página descreve as diferentes maneiras de proteger uma API no API Manager. Esses recursos permitem configurar e gerenciar os níveis de segurança desejados para vários casos de uso dentro do API Manager:
Para informações sobre recursos de segurança na arquitetura do sistema da Jitterbit, veja segurança da Jitterbit.
Perfis de segurança
Uma API é anônima e acessível publicamente por padrão no momento em que é criada, a menos que um perfil de segurança seja configurado na página de Perfis de Segurança do API Manager e atribuído à API.
Um perfil de segurança de API governa e protege o consumo de APIs. Perfis de segurança permitem que uma API publicada seja consumida apenas por um consumidor de API específico ou um grupo de consumidores. Perfis de segurança podem ser criados e atribuídos por um membro da organização que tenha um papel com permissão de Admin.
Administradores da organização Harmony podem exigir que perfis de segurança sejam atribuídos a cada API no momento em que ela é criada, usando uma configuração nas políticas da organização Harmony.
Tipos de autenticação de perfil de segurança
As opções de autenticação em perfis de segurança controlam o acesso a uma API pelos consumidores de API. Estes são os tipos de autenticação de perfil de segurança disponíveis:
| Tipo de Autenticação | Descrição |
|---|---|
| Anônimo | A autenticação anônima permite que a API seja acessível publicamente sem exigir qualquer autenticação. |
| Básica | A autenticação básica utiliza a autenticação HTTP para fornecer acesso à API. Ao usar a autenticação básica, os consumidores incluem o nome de usuário e a senha em uma string codificada no cabeçalho de autorização de cada solicitação feita. |
| OAuth 2.0 | A autenticação OAuth 2.0 utiliza um dos provedores de identidade Microsoft Entra ID, Google, Okta ou Salesforce. Ao usar a autenticação OAuth 2.0, o consumidor deve validar suas credenciais do provedor de identidade para acessar uma API em tempo de execução. Para mais informações sobre como configurar um provedor de identidade de API, veja configuração do provedor de identidade da API. |
| Chave da API | A autenticação por chave da API utiliza um par chave-valor para acessar uma API. |
Nota
Perfis de segurança são armazenados em cache no gateway da API, portanto, alterações nos perfis de segurança de uma API já ativa podem levar vários minutos para entrar em vigor.
Use múltiplos perfis de segurança
Você pode usar múltiplos perfis de segurança para empregar diferentes métodos de autenticação e opções de segurança no mesmo ambiente, com cada um direcionado para um grupo específico de consumidores de API.
Por exemplo, se você tiver dois tipos de consumidores (contabilidade e finanças), e duas APIs (API-Renda e API-Orçamento) em um ambiente, e API-Renda for destinada a consumidores de contabilidade e API-Orçamento for destinada tanto a consumidores de contabilidade quanto de finanças, você pode criar um único perfil de segurança para consumidores de contabilidade e atribuí-lo a ambas as APIs. Você poderia então criar um perfil de segurança separado para consumidores de finanças e atribuí-lo a API-Orçamento.
O resultado dos dois perfis de segurança é que consumidores de contabilidade (usando seu perfil de segurança) podem acessar apenas API-Renda, e consumidores de finanças (usando seu perfil de segurança separado) podem acessar tanto API-Renda quanto API-Orçamento.
Uma mistura de diferentes tipos de autenticação para uma API não é permitida, a menos que se utilize uma das combinações específicas listadas abaixo. Em vez disso, crie APIs separadas para atender diferentes grupos de consumidores de API.
Essas combinações de perfis de segurança são permitidas:
- Você pode atribuir múltiplos perfis de segurança com autenticação básica a uma única API.
- Você pode atribuir múltiplos perfis de segurança com autenticação por chave de API a uma única API.
- Você pode atribuir uma combinação de perfis de segurança que utilizam autenticação básica e autenticação por chave de API a uma única API.
Qualquer outra combinação de perfis de segurança não é permitida.
Use limites de taxa
Cada organização tem duas permissões, conforme declarado no contrato de licença da Jitterbit da organização:
- Uma permissão de acessos por mês da API é o total permitido fornecido a uma organização em um mês. Todas as chamadas recebidas por todas as APIs (em todos os ambientes) em um único mês contam para esse limite.
- Uma permissão de acessos por minuto da API é a taxa máxima na qual a permissão de uma organização pode ser consumida.
Por padrão, um ambiente ou perfil de segurança pode acessar a cota total de acessos de uma organização em todas as APIs dentro de um minuto.
Uma vez que uma organização tenha utilizado sua cota de acessos por mês, todas as APIs dentro da organização receberão um Error 429 até que a cota seja redefinida para o seu limite máximo no primeiro dia do mês seguinte.
Você pode usar limites de taxa no nível do ambiente e do perfil de segurança para impor um número máximo compartilhado de acessos à API por minuto que podem ser feitos em todas as APIs dentro de um ambiente ao qual um perfil de segurança está atribuído. Se o limite definido por minuto no nível da organização, ambiente ou perfil de segurança for atingido, a chamada da API é rejeitada pelo gateway da API e uma mensagem de Error 429 é retornada. Qualquer operação subjacente ou API de terceiros nunca é chamada.
Nota
A limitação de taxa é aplicada no nível da organização, no nível do ambiente e no nível do perfil de segurança. Não é aplicada no nível da API.
Esta tabela fornece exemplos de maneiras pelas quais perfis de segurança e ambientes podem ser usados para impor limites de taxa:
| Allowances | APIs em uma Organização | APIs em um Ambiente | APIs em um Perfil de Segurança | Uso | Resultado |
|---|---|---|---|---|---|
Organização: 25 acessos por minuto Perfil de Segurança: 5 acessos por minuto | 10 | 5 | 5 | 1 acesso por minuto em cada API atribuída ao perfil de segurança. | Como o limite para o perfil de segurança (5 acessos por minuto) é atingido, quaisquer acessos adicionais a qualquer API atribuída ao perfil de segurança dentro do minuto são rejeitados e uma mensagem de Error 429 é retornada. 20 acessos por minuto estão disponíveis nas 5 APIs restantes da organização. |
Organização: 30 acessos por minuto Ambiente: 10 acessos por minuto Perfil de Segurança: 6 acessos por minuto | 15 | 7 | 5 | 5 acessos por minuto em ambas as APIs não atribuídas a um perfil de segurança dentro do ambiente. | Como o limite para o ambiente (10 acessos por minuto) é atingido, quaisquer acessos adicionais a qualquer uma das 7 APIs no ambiente dentro do minuto são rejeitados e uma mensagem de Error 429 é retornada. 20 acessos por minuto estão disponíveis nas 8 APIs restantes da organização. |
Organização: 10 acessos por minuto Perfil de Segurança: 5 acessos por minuto | 10 | 10 | 1 | 2 das APIs não atribuídas a um perfil de segurança recebem 5 acessos por minuto cada. | Como o limite da organização (10 acessos por minuto) é atingido, quaisquer acessos adicionais a qualquer API na organização dentro do minuto são rejeitados e uma mensagem de Error 429 é retornada.Nota A cota da organização tem precedência sobre qualquer limite definido dentro de um perfil de segurança. |
Nota
Tentativas contra URLs inválidos que retornam Error 404 não são contabilizadas contra nenhum dos limites ou permissões.
Para mais informações sobre como configurar limites de taxa, consulte Ambientes e Perfis de Segurança.
Use intervalos de IP confiáveis
Por padrão, um perfil de segurança não limita o acesso a nenhum intervalo de endereços IP predeterminado. É possível limitar o acesso às APIs dentro de um perfil de segurança a consumidores de um único endereço IP ou a um intervalo de endereços IP durante a configuração do perfil de segurança.
Quando um consumidor tenta acessar uma API com um perfil de segurança que é limitado a um certo endereço IP ou a um intervalo de endereços IP, o endereço IP do consumidor será verificado em relação aos intervalos permitidos. Endereços IP que não atendem aos critérios são rejeitados e uma mensagem Error 429 é retornada.
Para informações sobre como criar e usar grupos de IP confiáveis, consulte estes recursos:
Modo somente SSL
Qualquer API pode ser configurada para usar criptografia SSL. Por padrão, cada API suporta tanto transferência HTTP quanto HTTPS.
A opção Somente SSL permite encaminhar tráfego HTTP para garantir que toda a comunicação seja criptografada. A identidade da URL HTTPS é verificada pela Symantec Class 3 Secure Server SHA256 SSL CA. A conexão com a URL HTTPS é criptografada com criptografia moderna.
Você pode habilitar a opção Somente SSL durante a configuração de uma API personalizada, serviço OData ou API proxy.
Logs da API
Para cada acesso a uma API, o perfil de segurança utilizado para acessar a API é registrado em um log. A página Logs da API exibe uma tabela de todos os logs de processamento da API, bem como logs de depuração (se o registro de depuração estiver habilitado), para fornecer ajuda a publicadores e consumidores na resolução de problemas relacionados. Os logs são exibidos para APIs personalizadas, serviços OData e APIs proxy quando são chamadas através do gateway de API em nuvem ou de um gateway de API privado.