Saltar al contenido

Configuración del Perfil de Seguridad

Descripción General

Esta página describe cómo crear y configurar un perfil de seguridad de los Perfiles de seguridad página de Harmony API Manager.

Después de crear un perfil de seguridad, se puede asignar a una o más APIs en el ambiente al que pertenece el perfil de seguridad. Para obtener más información sobre la asignación de perfiles de seguridad a una API, consulte estos recursos:

Nota

Los perfiles de seguridad se almacenan en caché en la puerta de enlace API, por lo que los cambios en los perfiles de seguridad de una API ya activa pueden tardar varios minutos en surtir efecto.

Configurar un Perfil de Seguridad

La pantalla de configuración del perfil de seguridad incluye estos campos y acciones:

configuración

  • Nombre del perfil: Introduzca un nombre que se utilizará para identificar el perfil de seguridad. El nombre no debe empezar ni terminar con un espacio.

    Precaución

    Si configura el perfil de seguridad con un Tipo de OAuth 2.0 y utiliza Azure AD o Google como proveedor de identidad de OAuth 2.0 (configurado a continuación), el Nombre del perfil no debe contener espacios. Si el Nombre del perfil contiene espacios, recibirá un error al intentar acceder a una API a la que está asignado el perfil de seguridad.

  • Ambiente: Utilice el menú desplegable para seleccionar un ambiente existente donde se puede asignar el perfil de seguridad. Para obtener más información sobre la relación de los ambientes con los perfiles de seguridad, consulte Usar varios perfiles de seguridad en un ambiente en Seguridad del API Manager.

  • Descripción: Introduzca una descripción opcional del perfil de seguridad.

  • Tipo: Utilice el menú desplegable para seleccionar un tipo de autenticación para el perfil de seguridad. Consulte Tipos de autenticación a continuación para obtener más detalles.

  • Registro: En el campo Registro, seleccione el valor que se enviará en el encabezado de solicitud de API para indicar el tipo de autorización a través del cual se accede a una API asignada a este perfil de seguridad. Para cada visita a la API, este valor se identifica en el registro de API en el campo Usuario establecido en.

    registro de configuración anónimo

    • Uno de Anónimo, Igual que el nombre de usuario, OAuth o Clave API: La etiqueta del primer botón de opción corresponde con la autorización Tipo configurado para el perfil de seguridad:

      • Anónimo: Envía el valor Anónimo. Disponible solo con el tipo de autenticación Anónimo.
      • Igual que nombre de usuario: Envía el valor del campo Nombre de usuario (como se definió anteriormente). Disponible solo con el tipo de autenticación Básico.
      • OAuth: Envía el valor OAuth2.0. Disponible solo con el tipo de autenticación OAuth 2.0.
      • Clave API: Envía el valor APIKEY. Disponible solo con el tipo de autenticación Clave API.
    • Campo de encabezado de solicitud personalizado: Envía el valor ingresado en el cuadro de texto:

      encabezado personalizado de registro de configuración

  • Direcciones IP de confianza: Seleccione si desea restringir el acceso a las APIs dentro del perfil de seguridad a los consumidores desde una única dirección IP o un rango de direcciones IP. Consulte Direcciones IP confiables a continuación para obtener más detalles.

  • Límites de velocidad y Accesos por minuto: Seleccione Límites de velocidad para aplicar un número máximo compartido de accesos a la API por minuto que se puede realizar en todas las APIs a las que está asignado este perfil de seguridad. Cuando se selecciona esta opción, debe ingresar un número máximo de Hits por minuto.

    Cuando está habilitado, las llamadas que superen el máximo establecido se rechazan. Como tal, las llamadas a las APIs a las que se les asigna este perfil de seguridad pueden experimentar una mayor cantidad de rechazos. Para obtener más información, consulte Usar límites de tarifas en Seguridad del API Manager.

    límites de velocidad de configuración

  • Establecer este perfil de seguridad como predeterminado y agregar automáticamente a nuevas APIs: Seleccione esta opción para que este perfil de seguridad sea el predeterminado para el ambiente seleccionado. El perfil de seguridad predeterminado se preseleccionará cuando se cree una nueva API. Sólo se puede seleccionar un perfil de seguridad predeterminado en cada ambiente. Una vez que se haya especificado un perfil de seguridad predeterminado para un ambiente, seleccionar un perfil de seguridad diferente como predeterminado reemplazará la selección del perfil de seguridad predeterminado existente. Seleccionar o cambiar el perfil de seguridad predeterminado no cambiará el perfil de seguridad asignado a las APIs existentes.

    configuración predeterminada

  • Guardar: Haga clic para guardar y cerrar la configuración del perfil de seguridad.

  • Cancelar: Haga clic para cerrar la configuración sin guardar.

  • Eliminar perfil: Elimina permanentemente el perfil de seguridad. Un mensaje le pide que confirme que desea eliminar el perfil de seguridad. Si el perfil de seguridad está asignado a alguna APIs, primero se debe desasignar o reemplazar antes de eliminarlo.

Tipos de Autenticación

Una vez que utilice el menú Tipo para seleccionar el tipo de autenticación, estarán disponibles campos adicionales para configurar, que se describen en esta sección para cada tipo:

Anónimo

Seleccione el tipo de autenticación Anónimo si no se requiere autenticación HTTP.

configuración anónima

Nota

Si no asigna un perfil de seguridad a una API, también se utiliza la autenticación anónima. Sin embargo, es posible que desee utilizar un perfil de seguridad anónimo (en lugar de ningún perfil de seguridad) para poder configurar opciones de seguridad adicionales para Registro, Intervalos de IPs Confiables o Límites de velocidad, como descrito en los puntos siguientes.

Básico

Seleccione el tipo de autenticación Básica para utilizar la autenticación HTTP básica para acceder a una API a la que se le haya asignado este perfil de seguridad. Cuando se selecciona este tipo, estos campos se utilizan para crear las credenciales requeridas:

configuración básica

  • Nombre de usuario: Ingrese un nombre de usuario para crear para acceder a la API. El nombre de usuario distingue entre mayúsculas y minúsculas y no debe contener dos puntos (:) si tiene intención de utilizar las credenciales en un encabezado HTTP al llamar a la API.

  • Contraseña: Ingrese una contraseña para crear y acceder a la API.

Consejo

Para usar las credenciales en un encabezado HTTP al llamar a una API asignada a este perfil de seguridad, proporcione una cadena codificada en Base64 del nombre de usuario y la contraseña combinados con dos puntos. Por ejemplo, usando la función Jitterbit Base64Encode:

Base64Encode("exampleuser"+":"+"examplepassword")

OAuth 2.0

Seleccione el tipo de autenticación OAuth 2.0 para utilizar un token de autorización de OAuth 2.0 para acceder a una API a la que se le haya asignado este perfil de seguridad. Cuando se selecciona este tipo, estos campos se utilizan para crear las credenciales requeridas:

configuración oauth

  • Proveedor de OAuth: Utilice el menú desplegable para seleccionar un proveedor de identidad compatible: Azure AD, Google, Okta o Salesforce.

  • URL de redireccionamiento de OAuth: Este campo ya está completo y no se puede editar. Este valor es necesario como entrada al obtener el ID del cliente y el secreto del cliente para Azure AD, Google, Okta, o Salesforce.

  • OAuth de 2 patas Flujo: De forma predeterminada, OAuth de tres patas se utiliza para todos los proveedores de identidad, lo que requiere interacción manual para autenticarse al acceder a una API a la que se le ha asignado este perfil de seguridad. La opción Flujo OAuth de 2 etapas, disponible solo para Azure AD y Okta, permite configurar un alcance y una audiencia para eliminar ese paso manual.

    Nota

    Aquellos que usan un Pasarela de API Privada debe utilizar una versión de puerta de enlace 10.48 o posterior para que esta opción surta efecto. Si la puerta de enlace no es 10.48 o posterior, se utiliza OAuth de 3 vías incluso si está configurado OAuth de 2 vías. Si no está utilizando una Pasarela de API Privada, esta opción no tiene requisitos de versión.

    Cuando se selecciona esta opción, estos campos quedan disponibles para configurar:

    • Alcance de OAuth: Ingrese el alcance que se utilizará para OAuth de 2 patas. Consulte las instrucciones para Azure AD o Okta.
    • URL de descubrimiento de OpenID: Este campo se completa previamente con valores predeterminados estándar del proveedor de identidad. Estos valores se deben editar con valores que sean específicos de la instancia de Azure AD u Okta. Consulte las instrucciones para Azure AD o Okta.
    • Audiencia: Ingrese la audiencia que se utilizará para OAuth de 2 etapas. Consulte las instrucciones para Azure AD o Okta.
  • Dominios autorizados: Ingrese nombres de dominio separados por comas para restringir el acceso a los dominios incluidos en la lista de permitidos. Déjelo en blanco para acceso sin restricciones.

  • ID de cliente de OAuth y Secreto de cliente de OAuth: Introduzca el ID de cliente y el secreto de cliente obtenidos del proveedor de identidad. Consulte las instrucciones para obtener el ID y el secreto del cliente para Azure AD, Google, Okta, o Salesforce.

  • URL de autorización de OAuth, URL del token de OAuth y URL de información de usuario: Estos campos se rellenan previamente con valores predeterminados estándar del proveedor de identidad. Es posible que sea necesario editarlos según el proveedor de identidad:

    • Google o Salesforce: Normalmente, estos valores normalmente no deberían ser editados. Si está utilizando una despliegue personalizada y necesita anular los valores predeterminados, puede editarlos aquí. Para obtener más ayuda, comuníquese con Soporte de Jitterbit.

    • Azure AD u Okta: Estos valores deben editarse con valores que sean específicos de la instancia de Azure AD u Okta. Consulte las instrucciones para Azure AD o Okta.

  • Agregue esta URL de redireccionamiento a su cuenta de OAuth: Este campo ya está completo y no se puede editar. Este valor es necesario como entrada al obtener el ID del cliente y el secreto del cliente para Azure AD, Google, Okta, o Salesforce.

  • Probar ID de cliente + secreto: Haga clic para verificar la conectividad con el proveedor de identidad utilizando la configuración proporcionada. El comportamiento resultante depende de si se utiliza la opción Flujo OAuth de 2 patas:

    • OAuth de 2 patas: Para Azure AD y Okta, cuando se utiliza Flujo de OAuth de 2 patas, Pasarela de API recupera el token de acceso y la autenticación se realiza automáticamente. Luego se le redirigirá al API Manager con un mensaje que indica los resultados de la prueba.
    • OAuth de 3 patas: Para Google y Salesforce, y para Azure AD y Okta, cuando no se utiliza OAuth Flow de 2 patas, una nueva pestaña del navegador muestra la interfaz de inicio de sesión nativa para el proveedor de identidad. Después de proporcionar sus credenciales para el proveedor de identidad, se le redirigirá al API Manager con un mensaje que indica los resultados de la prueba.

Clave API

Seleccione el tipo de autenticación Clave API para utilizar un par de clave API y valor para acceder a una API asignada a este perfil de seguridad. Cuando se selecciona este tipo, estos campos se utilizan para crear las credenciales requeridas:

clave de API de configuración

  • Clave: Ingrese el nombre del encabezado que desea usar, como Autorización o X- API-KEY. Se permite un máximo de 256 caracteres.
  • Valor: Se genera automáticamente un valor para usarlo con el nombre del encabezado Clave. Puedes editar el valor o usar el ícono de actualización adjunto para generar un nuevo valor. Se permite un máximo de 256 caracteres.

Nota

El par clave y valor que se ingresa se acepta como encabezado y como parámetro de consultar. Por ejemplo, una Clave de X- API-KEY con un Valor de abc123 se pasa en un encabezado como X-API-KEY:abc123 y en un parámetro de consultar como ?X-API-KEY=abc123.

Direcciones IP Confiables

Puede seleccionar si desea restringir el acceso a las APIs dentro del perfil de seguridad a los consumidores desde una única dirección IP o un rango de direcciones IP:

configuración de rangos de IP confiables sin restricción

  • Sin restricción: No limita el acceso a las APIs por dirección IP.
  • Solicitudes de confianza solo desde los siguientes rangos de IP: Restringe el acceso a las APIs dentro de un perfil de seguridad a los consumidores desde ciertas direcciones IP. Solo las direcciones IP incluidas dentro de los rangos especificados pueden acceder a las APIs utilizando este perfil de seguridad.

    • Intervalos de IPs Confiables: Si tiene un rango de IP confiable configurado antes de la versión 10.58 Harmony, se presenta esta interfaz de usuario:

      configuración de rangos de IP confiables solicitudes de confianza

      Precaución

      Se recomienda que todos los usuarios pasen a utilizar Grupos de IPs Confiables, ya que los Intervalos de IPs Confiables están obsoletos y se eliminarán en una versión futura.

      • Dirección IP inicial: Ingrese la primera dirección IP que se incluirá en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.
      • Dirección IP final: Ingrese la última dirección IP para incluir en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.
      • Agregar rango: Haga clic para agregar un rango de IP adicional.
      • Eliminar: Pase el cursor sobre cualquier rango de direcciones IP y haga clic en el ícono de eliminar eliminar 12 para eliminar esa fila del rango de direcciones IP.
    • Grupos de IPs Confiables: Seleccione un grupo de IP confiable existente o agregue un nuevo grupo de IP confiable al perfil de seguridad:

      configuración de grupos de ip confiables

      • Buscar: Ingrese el nombre de un grupo de IP confiable existente. Al hacer clic en el cuadro de búsqueda, se completa una lista de grupos de IP confiables existentes. La lista se filtra en tiempo real con cada pulsación de tecla dentro del cuadro de búsqueda. Haga clic en el nombre del grupo de IP confiable para agregarlo al perfil de seguridad.

      • Agregar: Haga clic en el ícono Agregar Agregar 5 para agregar un nuevo grupo de IP confiable. Una vez que se haya guardado el perfil de seguridad, este grupo de IP confiable se agregará a Grupos de IPs Confiables como un grupo de IP confiable existente que se utilizará en otros perfiles de seguridad según sea necesario.

      • Nombre: Ingrese un nombre para identificar el grupo de IP confiable. Para grupos de IP confiables existentes, haga clic en el nombre de un grupo de IP confiable para cambiarle el nombre.

      • Dirección IP inicial: Ingrese la primera dirección IP que se incluirá en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.

      • Dirección IP final: Ingrese la última dirección IP para incluir en el rango. Solo se admiten direcciones IP ingresadas en formato IPv4.

      • Descripción: Ingrese una descripción del rango de direcciones IP (opcional).

      • Agregar rango: Haga clic para agregar un rango adicional al grupo de IP confiable.

      • Editar: Haga clic en el ícono de edición editar 11 para editar los grupos de IP confiables existentes que se seleccionaron para usar con el perfil de seguridad.

        Nota

        Cualquier cambio realizado en un grupo de IP confiable existente afectará todos los perfiles de seguridad que utilizan el grupo de IP confiable.

      • Eliminar: Haga clic en el icono de eliminar eliminar 13 junto al nombre del grupo de IP confiable para eliminar todo el grupo de IP confiable del perfil de seguridad. Pase el cursor sobre cualquier rango de direcciones IP y haga clic en el icono de eliminar eliminar 13 para eliminar esa fila del rango de direcciones IP.

Próximos Pasos

Después de crear un perfil de seguridad, se puede asignar a una o más APIs en el ambiente al que pertenece el perfil de seguridad. Para obtener más información sobre la asignación de perfiles de seguridad a una API, consulte estos recursos: