Segurança do API Manager¶
Introdução¶
Esta página descreve as diferentes maneiras pelas quais você pode proteger uma API do API Manager. Esses recursos permitem configurar e gerenciar os níveis de segurança desejados para vários casos de uso no API Manager:
Para obter informações sobre recursos de segurança na arquitetura do sistema Jitterbit, consulte Segurança Jitterbit.
Perfis de Segurança¶
Uma API é anônima e acessível publicamente por padrão no momento em que é criada, a menos que um perfil de segurança seja configurado no Perfil de segurança e é atribuído à API. Um perfil de segurança de API governa e protege o consumo de APIs. Os perfis de segurança permitem que uma API publicada seja consumida apenas por um consumidor de API específico ou por um grupo de consumidores. Os perfis de segurança podem ser criados e atribuídos por um membro da organização com acesso Write em um ambiente, com base nos requisitos específicos de segurança e governança da organização.
Os administradores da organização Harmony podem exigir que os perfis de segurança sejam atribuídos a cada API no momento em que ela é criada usando uma configuração nas políticas da organização Harmony.
Tipos de Autenticação de Perfil de Segurança¶
As opções de autenticação em perfis de segurança controlam o acesso a uma API pelos consumidores da API. Estes são os tipos de autenticação de perfil de segurança disponíveis:
| Tipo de autenticação | Descrição |
|---|---|
| Anônimo | A autenticação anônima permite que a API seja acessível publicamente sem exigir qualquer autenticação. |
| Básico | A autenticação básica usa autenticação HTTP para fornecer acesso à API. Ao usar a autenticação básica, os consumidores incluem o nome de usuário e a senha em uma string codificada no cabeçalho de autorização de cada solicitação feita. |
| OAuth 2.0 | A autenticação OAuth 2.0 usa Azure AD, Google, Okta ou Salesforce como provedor de identidade. Ao usar a autenticação OAuth 2.0, o consumidor deve validar suas credenciais de provedor de identidade para acessar uma API em tempo de execução. Para obter mais informações sobre como configurar um provedor de identidade de API, consulte Configuração do provedor de identidade de API. |
| Chave API | A autenticação de chave de API usa um par chave-valor para acessar uma API. |
Nota
Os perfis de segurança são armazenados em cache no gateway da API, portanto, as alterações nos perfis de segurança de uma API já ativa podem levar vários minutos para entrar em vigor.
Usando Vários Perfis de Segurança¶
Você pode usar vários perfis de segurança para empregar diferentes métodos de autenticação e opções de segurança no mesmo ambiente, com cada um direcionado a um grupo específico de consumidores de API.
Por exemplo, se você tiver dois tipos de consumidores (accounting e finance) e duas APIs (API-Revenue e API-Budget) em um ambiente e API-Revenue for destinado a consumidores accounting e API-Budget for destinado a accounting e financiadores consumidores, você pode criar um único perfil de segurança para consumidores accounting e atribuí-lo a ambas as APIs. Você poderia então criar um perfil de segurança separado para consumidores financeiros e atribuí-lo a API-Budget.
O resultado dos dois perfis de segurança é que os consumidores accounting (usando seu perfil de segurança) só podem acessar API-Revenue, e os consumidores financeiros (usando seu perfil de segurança separado) podem acessar API-Revenue ou API-Budget.
Uma combinação de diferentes tipos de autenticação para uma API não é permitida, a menos que seja usada uma das combinações específicas listadas abaixo. Em vez disso, crie APIs separadas para atender diferentes grupos de consumidores de API.
Estas combinações de perfis de segurança são permitidas:
- Você pode atribuir vários perfis de segurança com autenticação básica a uma única API.
- Você pode atribuir vários perfis de segurança com autenticação de chave API a uma única API.
- Você pode atribuir uma combinação de perfis de segurança que usam autenticação básica e de chave de API a uma única API.
Qualquer outra combinação de perfis de segurança não é permitida.
Usando Limites de Taxa¶
Cada organização tem duas permissões, conforme indicado no contrato de licença Jitterbit da organização:
- Uma franquia de hits por mês de API é a franquia total fornecida a uma organização em um mês. Todas as chamadas recebidas por todas as APIs (em todos os ambientes) em um único mês contam para esse limite.
- Uma permissão de hits por minuto da API é a taxa máxima na qual a permissão de uma organização pode ser consumida.
Por padrão, um ambiente ou perfil de segurança pode acessar a permissão total de acessos de uma organização em todas as APIs em um minuto.
Depois que uma organização tiver esgotado seu limite de acessos por mês, todas as APIs da organização receberão um Error 429 até que o subsídio seja redefinido para o limite máximo no primeiro dia do mês seguinte.
Você pode usar limites de taxa no ambiente e perfil de segurança para impor um número máximo compartilhado de ocorrências de API por minuto que podem ser feitas em todas as APIs em um ambiente ao qual um perfil de segurança está atribuído. Se o limite de taxa por minuto definido na organização, ambiente ou perfil de segurança for alcançado, a chamada de API será rejeitada pelo gateway de API e um Error 429 mensagem é retornada. Qualquer operação subjacente ou API de externo nunca é chamada.
Nota
A limitação de taxa é aplicada no nível da organização, no nível do ambiente e no nível do perfil de segurança. Não é aplicado no nível da API.
Esta tabela fornece exemplos de maneiras pelas quais os perfis e ambientes de segurança podem ser usados para impor limites de taxa:
| Subsídios | APIs em uma organização | APIs em um ambiente | APIs em um perfil de segurança | Uso | Resultado |
|---|---|---|---|---|---|
Organização: 25 acessos por minuto Perfil de segurança: 5 acessos por minuto | 10 | 5 | 5 | 1 ocorrência por minuto em cada API atribuída ao perfil de segurança. | À medida que o limite do perfil de segurança (5 ocorrências por minuto) for atingido, quaisquer ocorrências adicionais a qualquer API atribuída ao perfil de segurança dentro do minuto serão rejeitadas e um Error 429mensagem é retornada. 20 ocorrências por minuto estão disponíveis nas cinco APIs restantes da organização. |
Organização: 30 ocorrências por minuto Ambiente: 10 ocorrências por minuto Perfil de segurança: 6 ocorrências por minuto | 15 | 7 | 5 | 5 ocorrências por minuto em ambas as APIs não atribuídas a um perfil de segurança no ambiente. | À medida que o limite do ambiente (10 ocorrências por minuto) é atingido, quaisquer ocorrências adicionais para qualquer uma das 7 APIs no ambiente dentro do minuto serão rejeitadas e um Error 429mensagem é retornada. 20 ocorrências por minuto estão disponíveis nas 8 APIs restantes da organização. |
Organização: 10 acessos por minuto Perfil de segurança: 5 acessos por minuto | 10 | 10 | 1 | 2 das APIs sem perfil de segurança recebem 5 ocorrências por minuto cada. | À medida que o limite da organização (10 acessos por minuto) é atingido, quaisquer acessos adicionais a qualquer API da organização dentro do minuto serão rejeitados e um Error 429mensagem é retornada.Nota O subsídio da organização tem precedência sobre qualquer limite definido em um perfil de segurança. |
Nota
Tentativas contra URLs inválidos que retornam Error 404 não são contabilizados em nenhum dos limites ou subsídios.
Para obter mais informações sobre como configurar limites de taxa, consulte Ambientes e Configuração do perfil de segurança.
Usando Faixas de IPs Confiáveis¶
Por padrão, um perfil de segurança não limita o acesso a nenhum intervalo predeterminado de endereços IP. Você pode limitar o acesso às APIs em um perfil de segurança aos consumidores de um único endereço IP ou de um intervalo de endereços IP durante a configuração do perfil de segurança.
Quando um consumidor tenta acessar uma API com um perfil de segurança limitado a um determinado endereço IP ou intervalo de endereços IP, o endereço IP do consumidor será verificado em relação aos intervalos permitidos. Endereços IP que não atendem aos critérios são rejeitados e um Error 429 mensagem é retornada.
Para obter informações sobre como criar e usar grupos de IP confiáveis, consulte estes recursos:
Modo Somente SSL¶
Qualquer API pode ser configurada para usar criptografia SSL. Por padrão, toda API suporta transferência HTTP e HTTPS.
A opção Somente SSL permite encaminhar o tráfego HTTP para garantir que toda a comunicação seja criptografada. A identidade do URL HTTPS é verificada pela Symantec Class 3 Secure Server SHA256 SSL CA. A conexão com a URL HTTPS é criptografada com criptografia moderna (com criptografia TLS 1.2, a conexão é criptografada e autenticada usando AES_128_GCM e usa ECDHE_RSA como mecanismo de troca de chaves).
Você pode ativar a opção Somente SSL durante a configuração de uma API Customizada, Serviço OData ou proxy de API.
Registros de API¶
Para cada ocorrência em uma API, o perfil de segurança usado para acessar a API é registrado em um log. Os logs da API exibe uma tabela de todos os logs de processamento da API, bem como logs de depurar (se o log de depurar estiver ativado) para fornecer aos editores e consumidores ajuda na solução de problemas relacionados. Os registros são exibidos para APIs personalizadas, de Serviço OData e de proxy quando são chamadas por meio do Gateway de API em Nuvem ou um Gateway de API Privado.