Seguridad del API Manager¶
Introducción¶
Esta página describe las diferentes formas en que puede proteger una API de API Manager. Estas características le permiten configurar y administrar los niveles de seguridad deseados para varios casos de uso dentro de API Manager:
Para obtener información sobre las funciones de seguridad dentro de la arquitectura del sistema de Jitterbit, consulte Seguridad de Jitterbit.
Perfiles de Seguridad¶
Una API es anónima y de acceso público de forma predeterminada en el momento de su creación, a menos que se configure un perfil de seguridad en el Perfil de seguridad del Administrador de API página y está asignada a la API. Un perfil de seguridad de API gobierna y protege el consumo de APIs. Los perfiles de seguridad permiten que una API publicada sea consumida únicamente por un consumidor de API específico o un grupo de consumidores. Los perfiles de seguridad pueden ser creados y asignados por un miembro de la organización con acceso de escritura en un ambiente, según los requisitos de gobernanza y seguridad específicos de la organización.
Los administradores de la organización Harmony pueden exigir que se asignen perfiles de seguridad a cada API en el momento de su creación mediante una configuración en Políticas de la organización Harmony.
Tipos de Autenticación de Perfiles de Seguridad¶
Las opciones de autenticación en los perfiles de seguridad controlan el acceso a una API por parte de los consumidores de API. Estos son los tipos de autenticación de perfiles de seguridad disponibles:
| Tipo de autenticación | Descripción |
|---|---|
| Anónimo | La autenticación anónima permite que la API sea accesible públicamente sin requerir ninguna autenticación. |
| Básico | La autenticación básica utiliza la autenticación HTTP para proporcionar acceso a la API. Cuando utilizan la autenticación básica, los consumidores incluyen el nombre de usuario y la contraseña en una cadena codificada en el encabezado de autorización de cada solicitud realizada. |
| OAuth 2.0 | La autenticación OAuth 2.0 utiliza uno de Azure AD, Google, Okta o Salesforce como proveedor de identidad. Al utilizar la autenticación OAuth 2.0, el consumidor debe validar las credenciales de su proveedor de identidad para acceder a una API en tiempo de ejecución. Para obtener más información sobre la configuración de un proveedor de identidad API, consulte Configuración del proveedor de identidad API. |
| Clave API | La autenticación de clave API utiliza un par clave-valor para acceder a una API. |
Nota
Los perfiles de seguridad se almacenan en caché en la puerta de enlace API, por lo que los cambios en los perfiles de seguridad de una API ya activa pueden tardar varios minutos en surtir efecto.
Usar Múltiples Perfiles de Seguridad¶
Puede utilizar varios perfiles de seguridad para emplear diferentes métodos de autenticación y opciones de seguridad en el mismo ambiente, cada uno de los cuales está dirigido a un grupo específico de consumidores de API.
Por ejemplo, si tiene dos tipos de consumidores (contabilidad y finanzas) y dos APIs (API-Revenue y API-Budget) en un ambiente y API-Revenue está destinado a consumidores de contabilidad y API-Budget está destinado tanto a contabilidad como a Consumidores de finanzas, puede crear un único perfil de seguridad para los consumidores de contabilidad y asignarlo a ambas APIs. Luego, podría crear un perfil de seguridad separado para los consumidores de finanzas y asignarlo a API-Budget.
El resultado de los dos perfiles de seguridad es que los consumidores de contabilidad (que usan su perfil de seguridad) solo pueden acceder a API-Revenue, y los consumidores de finanzas (que usan su perfil de seguridad separado) pueden acceder a API-Revenue o API-Budget.
No se permite una combinación de diferentes tipos de autenticación para una API a menos que se utilice una de las combinaciones específicas que se enumeran a continuación. En su lugar, cree APIs independientes para atender a diferentes grupos de consumidores de API.
Se permiten estas combinaciones de perfiles de seguridad:
- Puede asignar múltiples perfiles de seguridad con autenticación básica a una única API.
- Puede asignar múltiples perfiles de seguridad con autenticación de clave API a una única API.
- Puede asignar una combinación de perfiles de seguridad que utilizan autenticación de clave API y básica a una única API.
No se permite ninguna otra combinación de perfiles de seguridad.
Uso de Límites de Tarifa¶
Cada organización tiene dos asignaciones, como se indica en el acuerdo de licencia de Jitterbit de la organización:
- Una asignación de hits por mes de API es la asignación total proporcionada a una organización en un mes. Todas las llamadas recibidas por todas las APIs (en todos los ambientes) en un solo mes cuentan para este límite.
- Una asignación de hits por minuto de API es la tasa máxima a la que se puede consumir la asignación de una organización.
De forma predeterminada, un ambiente o perfil de seguridad puede acceder a la asignación total de visitas de una organización en todas las APIs en un minuto.
Una vez que una organización haya agotado su asignación de visitas por mes, todas las APIs dentro de la organización recibirán una Error 429 hasta que la asignación se restablezca a su asignación máxima el primer día del mes siguiente.
Puede utilizar límites de velocidad en el ambiente y perfil de seguridad nivel para imponer un número máximo compartido de visitas a API por minuto que se pueden realizar en todas las APIs dentro de un ambiente al que se asigna un perfil de seguridad. Si el límite de velocidad por minuto definido en la organización, ambiente, o perfil de seguridad se alcanza el nivel, la llamada API es rechazada por la puerta de enlace API y se Error 429 Se devuelve el mensaje. Nunca se llama a ninguna operación subyacente o API de externo.
Nota
La limitación de velocidad se aplica a nivel de organización, nivel de ambiente y nivel de perfil de seguridad. No se aplica a nivel de API.
Esta tabla proporciona ejemplos de formas en que los perfiles y ambientes de seguridad se pueden utilizar para hacer cumplir los límites de velocidad:
| Asignaciones | APIs en una organización | APIs en un ambiente | APIs en un perfil de seguridad | Uso | Resultado |
|---|---|---|---|---|---|
Organización: 25 visitas por minuto Perfil de seguridad: 5 visitas por minuto | 10 | 5 | 5 | 1 visita por minuto en cada API asignada al perfil de seguridad. | A medida que se alcanza el límite del perfil de seguridad (5 visitas por minuto), cualquier visita adicional a cualquier API asignada al perfil de seguridad dentro del minuto se rechaza y se Error 429Se devuelve el mensaje. Hay 20 visitas por minuto disponibles en las 5 APIs restantes de la organización. |
Organización: 30 visitas por minuto Ambiente: 10 visitas por minuto Perfil de seguridad: 6 visitas por minuto | 15 | 7 | 5 | 5 visitas por minuto en ambas APIs no asignadas a un perfil de seguridad dentro del ambiente. | A medida que se alcanza el límite del ambiente (10 visitas por minuto), cualquier visita adicional a cualquiera de las 7 APIs del ambiente dentro del minuto se rechaza y se Error 429Se devuelve el mensaje. Hay 20 visitas por minuto disponibles en las 8 APIs restantes de la organización. |
Organización: 10 visitas por minuto Perfil de seguridad: 5 visitas por minuto | 10 | 10 | 1 | 2 de las APIs a las que no se les ha asignado un perfil de seguridad reciben 5 visitas por minuto cada una. | A medida que se alcanza el límite de la organización (10 visitas por minuto), cualquier visita adicional a cualquier API de la organización dentro del minuto se rechaza y se Error 429Se devuelve el mensaje.Nota La asignación de organización tiene prioridad sobre cualquier límite establecido dentro de un perfil de seguridad. |
Nota
Intentos contra URLs no válidas que devuelven Error 404 no se cuentan contra ninguno de los límites o concesiones.
Para obtener más información sobre la configuración de límites de velocidad, consulte Ambientes y Configuración del perfil de seguridad.
Uso de Intervalos de IPs Confiables¶
De forma predeterminada, un perfil de seguridad no limita el acceso a ningún rango predeterminado de direcciones IP. Puede limitar el acceso a las APIs dentro de un perfil de seguridad a los consumidores desde una única dirección IP o un rango de direcciones IP durante la configuración del perfil de seguridad.
Cuando un consumidor intenta acceder a una API con un perfil de seguridad que está limitado a una determinada dirección IP o a un rango de direcciones IP, la dirección IP del consumidor se comparará con los rangos permitidos. Las direcciones IP que no cumplen con los criterios se rechazan y se Error 429 Se devuelve el mensaje.
Para obtener información sobre la creación y el uso de grupos de IP confiables, consulte estos recursos:
Modo Solo SSL¶
Cualquier API se puede configurar para utilizar cifrado SSL. De forma predeterminada, cada API admite transferencias HTTP y HTTPS.
La opción Solo SSL le permite reenviar el tráfico HTTP para garantizar que toda la comunicación esté cifrada. La identidad de la URL HTTPS la verifica Symantec Class 3 Secure Server SHA256 SSL CA. La conexión a la URL HTTPS está cifrada con criptografía moderna (con cifrado TLS 1.2, la conexión se cifra y se autentica utilizando AES_128_GCM y utiliza ECDHE_RSA como mecanismo de intercambio de claves).
Puede habilitar la opción Solo SSL durante la configuración de una API Personalizada, Servicio OData, o proxy de API.
Registros de API¶
Por cada acceso a una API, el perfil de seguridad utilizado para acceder a la API se registra en un registro. Los Registros API muestra una tabla de todos los registros de procesamiento de API, así como los registros de depurar (si el registro de depurar está habilitado) para brindar ayuda a los editores y consumidores en la resolución de problemas relacionados. Los registros se muestran para las API personalizadas, de Servicio OData y de proxy cuando se llaman a través de Pasarela de API en Nube o una Pasarela de API Privada.