Configuração do Perfil de Segurança¶

Visão Geral¶

Esta página descreve como criar e configurar um perfil de segurança dos Perfis de segurança página do Harmony API Manager.

Depois de criar um perfil de segurança, ele pode ser atribuído a uma ou mais APIs no ambiente ao qual o perfil de segurança pertence. Para obter mais informações sobre como atribuir perfis de segurança a uma API, consulte estes recursos:

Nota

Os perfis de segurança são armazenados em cache no gateway da API, portanto, as alterações nos perfis de segurança de uma API já ativa podem levar vários minutos para entrar em vigor.

Configurando um Perfil de Segurança¶

A tela de configuração do perfil de segurança inclui estes campos e ações:

Nome do perfil: Digite um nome para identificar o perfil de segurança. O nome não deve começar ou terminar com um espaço.

Cuidado

Se configurar o perfil de segurança com um Tipo de OAuth 2.0 e usar o Azure AD ou o Google como provedor de identidade OAuth 2.0 (configurado abaixo), o Nome do perfil não deve conter espaços. Se o Nome do perfil contiver espaços, você receberá um erro ao tentar acessar uma API à qual o perfil de segurança está atribuído.
Ambiente: Use o menu suspenso para selecionar um ambiente existente onde o perfil de segurança pode ser atribuído. Para saber mais sobre a relação de ambientes com perfis de segurança, consulte Using Multiple Security Profiles in an Environment em Segurança do API Manager.
Descrição: Insira uma descrição opcional do perfil de segurança.
Tipo: Use o menu suspenso para selecionar um tipo de autenticação para o perfil de segurança. Consulte Tipos de autenticação abaixo para obter detalhes.
Logging: No campo Logging, selecione o valor que será enviado no cabeçalho API request para indicar o tipo de autorização através da qual está sendo acessada uma API atribuída a este perfil de segurança. Para cada ocorrência na API, esse valor é identificado no log da API no campo Usuário definido como.
- Um de Anonymous, Same As Username, OAuth ou API Key: O rótulo do primeiro botão de opção corresponde à autorização Type configurado para o perfil de segurança:
  - Anonymous: Envia o valor Anonymous. Disponível apenas com o tipo de autenticação Anonymous.
  - Same As Username: Envia o valor do campo Username (conforme definido acima). Disponível apenas com o tipo de autenticação Basic.
  - OAuth: Envia o valor OAuth2.0. Disponível apenas com o tipo de autenticação OAuth 2.0.
  - API Key: Envia o valor APIKEY. Disponível apenas com o tipo de autenticação API Key.
- Custom Request Header Field: Envia o valor digitado na caixa de texto:
Endereços IP confiáveis: Selecione se deseja restringir o acesso às APIs no perfil de segurança para consumidores de um único endereço IP ou de um intervalo de endereços IP. Consulte Endereços IP confiáveis abaixo para obter detalhes.
Limites de taxa e Hits per Minute: Selecione Rate Limits para aplicar um número máximo compartilhado de acessos de API por minuto que podem ser feitos em todas as APIs às quais esse perfil de segurança está atribuído. Quando esta opção é selecionada, você deve inserir um número máximo de Hits por minuto.

Quando ativado, as chamadas acima do máximo definido são rejeitadas. Como tal, as chamadas para APIs atribuídas a esse perfil de segurança podem sofrer um número maior de rejeições. Para obter mais informações, consulte Usando limites de taxa em Segurança do API Manager.
Tornar este perfil de segurança o padrão e adicionar automaticamente a novas APIs: Selecione para tornar este perfil de segurança o padrão para o ambiente selecionado. O perfil de segurança padrão será pré-selecionado quando uma nova API for criada. Apenas um perfil de segurança padrão pode ser selecionado em cada ambiente. Depois que um perfil de segurança padrão for especificado para um ambiente, selecionar um perfil de segurança diferente como padrão substituirá a seleção de perfil de segurança padrão existente. Selecionar ou alterar o perfil de segurança padrão não alterará o perfil de segurança atribuído às APIs existentes.
Salvar: Clique para salvar e fechar a configuração do perfil de segurança.
Cancelar: Clique para fechar a configuração sem salvar.
Excluir perfil: Exclui permanentemente o perfil de segurança. Uma mensagem solicita que você confirme se deseja excluir o perfil de segurança. Se o perfil de segurança for atribuído a qualquer APIs, ele deve primeiro ser cancelado ou substituído antes de excluí-lo.

Tipos de Autenticação¶

Depois de usar o menu Tipo para selecionar o tipo de autenticação, campos adicionais ficam disponíveis para configuração, descritos nesta seção para cada tipo:

Anônimo
Básico
OAuth 2.0
Chave de API

Anônimo¶

Selecione o tipo de autenticação Anônimo se nenhuma autenticação HTTP for necessária.

Nota

Se você não atribuir um perfil de segurança a uma API, a autenticação anônima também será usada. No entanto, você pode querer usar um perfil de segurança anônimo (em vez de nenhum perfil de segurança) para poder definir opções de segurança adicionais para Logging, Faixas de IPs Confiáveis ou Limites de taxa, conforme descritos nos tópicos subseqüentes.

Básico¶

Selecione o tipo de autenticação Basic para usar a autenticação HTTP básica para acessar uma API atribuída a esse perfil de segurança. Quando esse tipo é selecionado, esses campos são usados para criar as credenciais necessárias:

Nome de usuário: Digite um nome de usuário para criar para acessar a API. O nome de usuário diferencia maiúsculas de minúsculas e não deve conter dois pontos (:) se você pretende usar as credenciais em um cabeçalho HTTP ao chamar a API.
Senha: Digite uma senha a ser criada para acessar a API.

Dica

Para usar as credenciais em um cabeçalho HTTP ao chamar uma API atribuída a este perfil de segurança, forneça uma string codificada em Base64 do nome de usuário e senha combinados com dois pontos. Por exemplo, usando a função Jitterbit Base64Encode:

Base64Encode("exampleuser"+":"+"examplepassword")

OAuth 2.0¶

Selecione o tipo de autenticação OAuth 2.0 para usar um token de autorização OAuth 2.0 para acessar uma API atribuída a esse perfil de segurança. Quando esse tipo é selecionado, esses campos são usados para criar as credenciais necessárias:

OAuth Provider: Use o menu suspenso para selecionar um provedor de identidade compatível: Azure AD, Google, Okta ou Salesforce.
URL de redirecionamento OAuth: Este campo é pré-preenchido e não pode ser editado. Esse valor é necessário como entrada ao obter a ID do cliente e o segredo do cliente para Azure AD, Google, Okta ou Salesforce.
OAuth de 2 pernas Fluxo: Por padrão, o OAuth de três pernas é usado para todos os provedores de identidade, exigindo interação manual para autenticação ao acessar uma API atribuída a esse perfil de segurança. A opção 2-legged OAuth Flow, disponível apenas para Azure AD e Okta, permite configurar um escopo e um público para eliminar essa etapa manual.

Nota

Aqueles que usam um Gateway de API Privado deve estar usando um gateway versão 10.48 ou posterior para que esta opção entre em vigor. Se o gateway não for 10.48 ou posterior, o OAuth de 3 etapas será usado mesmo se o OAuth de 2 etapas estiver configurado. Se você não estiver usando um Gateway de API Privado, esta opção não tem requisitos de versão.

Ao selecionar esta opção, estes campos ficam disponíveis para configuração:
- OAuth Scope: Insira o escopo a ser usado para OAuth de duas pernas. Consulte as instruções para Azure AD ou Okta.
- OpenID Discovery URL: Este campo é pré-preenchido com valores padrão padrão do provedor de identidade. Esses valores devem ser editados com valores específicos para a instância do Azure AD ou Okta. Consulte as instruções para Azure AD ou Okta.
- Público: Insira o público a ser usado para OAuth de duas pernas. Consulte as instruções para Azure AD ou Okta.
Domínio(s) autorizado(s): Digite os nomes dos domínios separados por vírgulas para restringir o acesso aos domínios permitidos. Deixe em branco para acesso irrestrito.
OAuth Client ID e OAuth Client Secret: Insira o ID e o segredo do cliente obtidos do provedor de identidade. Consulte as instruções para obter a ID do cliente e o segredo do cliente para Azure AD, Google, Okta ou Salesforce.
URL de autorização OAuth, URL de token OAuth e URL de informações do usuário: Esses campos são pré-preenchidos com valores padrão padrão do provedor de identidade. Eles podem precisar ser editados dependendo do provedor de identidade:
- Google ou Salesforce: Normalmente, esses valores normalmente não precisam ser editados. Se você estiver usando uma implementação personalizada e precisar substituir os valores padrão, poderá editá-los aqui. Para obter mais assistência, entre em contato com Suporte Jitterbit.
- Azure AD ou Okta: Esses valores devem ser editados com valores específicos para a instância do Azure AD ou Okta. Consulte as instruções para Azure AD ou Okta.
Adicionar este URL de redirecionamento à sua conta OAuth: Este campo é pré-preenchido e não pode ser editado. Esse valor é necessário como entrada ao obter a ID do cliente e o segredo do cliente para Azure AD, Google, Okta ou Salesforce.
Test Client ID + Secret: Clique para verificar a conectividade com o provedor de identidade usando a configuração fornecida. O comportamento resultante depende se a opção 2-legged OAuth Flow está sendo usada:
- OAuth bidirecional: Para Azure AD e Okta quando o Fluxo OAuth bidirecional está sendo usado, o Gateway de API busca o token de acesso e a autenticação ocorre automaticamente. Você será redirecionado para o API Manager com uma mensagem indicando os resultados do teste.
- 3-legged OAuth: Para Google e Salesforce, e para Azure AD e Okta quando 2-legged OAuth Flow não está sendo usado, uma nova aba do navegador exibe a interface de login nativa para o provedor de identidade. Depois de fornecer suas credenciais para o provedor de identidade, você será redirecionado ao API Manager com uma mensagem indicando os resultados do teste.

Chave de API¶

Selecione o tipo de autenticação Chave de API para usar uma chave de API e um par de valores para acessar uma API atribuída a esse perfil de segurança. Quando esse tipo é selecionado, esses campos são usados para criar as credenciais necessárias:

Chave: Digite o nome do cabeçalho que deseja usar, como Authorization ou X- API-KEY.
Valor: Um valor é gerado automaticamente para uso com o nome do cabeçalho Chave. Você pode editar o valor ou usar o ícone de atualização para gerar um novo valor.

Nota

O par de chave e valor inserido é aceito como cabeçalho e como parâmetro de consultar. Por exemplo, uma Chave de X- API-KEY com um Valor de abc123 é passada em um cabeçalho como X-API-KEY:abc123 e em um parâmetro de consultar como ?X-API-KEY=abc123.

Endereços IP Confiáveis¶

Você pode selecionar se deseja restringir o acesso às APIs no perfil de segurança para consumidores de um único endereço IP ou de um intervalo de endereços IP:

Sem Restrição: Não limita o acesso às APIs por endereço IP.
Confiar em solicitações apenas das seguintes faixas de IP: Restringe o acesso às APIs dentro de um perfil de segurança para consumidores de determinados endereços IP. Somente os endereços IP incluídos nos intervalos especificados podem acessar as APIs usando esse perfil de segurança.
- Faixas de IPs Confiáveis: Se você tiver um intervalo de IP confiável que foi configurado antes da versão 10.58 Harmony, esta interface de usuário é apresentada:
  
  Cuidado
  
  É recomendável que todos os usuários passem a usar Grupos de IPs Confiáveis, pois Faixas de IPs Confiáveis foram obsoletos e serão removidos em uma versão futura.
  - Start IP Address: Insira o primeiro endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.
  - End IP Address: Insira o último endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.
  - Adicionar intervalo: Clique para adicionar um intervalo de IP adicional.
  - Excluir: Passe o mouse sobre qualquer intervalo de endereços IP e clique no ícone de exclusão para excluir essa linha de intervalo de endereços IP.
- Grupos de IPs Confiáveis: Selecione um grupo de IP confiável existente ou adicione um novo grupo de IP confiável ao perfil de segurança:
  - Pesquisar: Digite o nome de um grupo de IP confiável. Ao clicar na caixa de pesquisa, uma lista de grupos IP confiáveis existentes é preenchida. A lista é filtrada em tempo real com cada pressionamento de tecla na caixa de pesquisa. Clique no nome do grupo de IP confiável para adicioná-lo ao perfil de segurança.
  - Adicionar: Clique no ícone de adição para adicionar um novo grupo de IP confiável. Depois que o perfil de segurança for salvo, esse grupo de IPs confiáveis será adicionado aos Grupos de IPs Confiáveis como um grupo de IP confiável existente para ser usado em outros perfis de segurança conforme necessário.
  - Nome: Digite um nome para identificar o grupo de IP confiável. Para grupos de IP confiáveis existentes, clique no nome de um grupo de IP confiável para renomeá-lo.
  - Start IP Address: Insira o primeiro endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.
  - End IP Address: Insira o último endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.
  - Descrição: Digite uma descrição do intervalo de endereços IP (opcional).
  - Adicionar intervalo: Clique para adicionar um intervalo adicional ao grupo de IP confiável.
  - Editar: Clique no ícone de edição para editar grupos de IP confiáveis existentes que foram selecionados para uso com o perfil de segurança.
    
    Nota
    
    Quaisquer alterações feitas em um grupo de IP confiável existente afetarão todos os perfis de segurança que usam o grupo de IP confiável.
  - Excluir: Clique no ícone Excluir ao lado do nome do grupo de IP confiável para excluir todo o grupo de IP confiável do perfil de segurança. Passe o mouse sobre qualquer intervalo de endereço IP e clique no ícone de exclusão para excluir essa linha de intervalo de endereços IP.

Próximos Passos¶

Depois de criar um perfil de segurança, ele pode ser atribuído a uma ou mais APIs no ambiente ao qual o perfil de segurança pertence. Para obter mais informações sobre como atribuir perfis de segurança a uma API, consulte estes recursos: