Ir para o conteúdo

Configuração do Perfil de Segurança

Visão Geral

Esta página descreve como criar e configurar um perfil de segurança em Perfis de segurança página de Harmony API Manager.

Depois de criar um perfil de segurança, ele pode ser atribuído a uma ou mais APIs no ambiente ao qual o perfil de segurança pertence. Para obter mais informações sobre como atribuir perfis de segurança a uma API, consulte estes recursos:

Nota

Os perfis de segurança são armazenados em cache no gateway da API, portanto, as alterações nos perfis de segurança de uma API já ativa podem levar vários minutos para entrar em vigor.

Configurar um Perfil de Segurança

A tela de configuração do perfil de segurança inclui estes campos e ações:

configuração

  • Nome do perfil: Insira um nome a ser usado para identificar o perfil de segurança. O nome não deve começar ou terminar com espaço.

    Cuidado

    Se estiver configurando o perfil de segurança com um Tipo de OAuth 2.0 e usando Azure AD ou Google como provedor de identidade OAuth 2.0 (configurado abaixo), o Nome do perfil não deve conter espaços. Se Nome do perfil contiver espaços, você receberá um erro ao tentar acessar uma API à qual o perfil de segurança está atribuído.

  • Ambiente: Use o menu suspenso para selecionar um ambiente existente onde o perfil de segurança pode ser atribuído. Para saber mais sobre o relacionamento dos ambientes com os perfis de segurança, consulte Usar vários perfis de segurança em um ambiente em Segurança do API Manager.

  • Descrição: Insira uma descrição opcional do perfil de segurança.

  • Tipo: Use o menu suspenso para selecionar um tipo de autenticação para o perfil de segurança. Consulte Tipos de autenticação abaixo para obter detalhes.

  • Logging: No campo Logging selecione o valor que será enviado no cabeçalho da solicitação da API para indicar o tipo de autorização através da qual uma API atribuída a este perfil de segurança está sendo acessada. Para cada hit na API, esse valor é identificado no API log no campo Usuário definido como.

    configuração de registro anônimo

    • Um de Anônimo, Igual ao nome de usuário, OAuth ou Chave de API: O rótulo do primeiro botão de opção corresponde à autorização Tipo configurado para o perfil de segurança:

      • Anônimo: Envia o valor Anônimo. Disponível apenas com o tipo de autenticação Anônimo.
      • Igual ao nome de usuário: Envia o valor do campo Nome de usuário (conforme definido acima). Disponível apenas com o tipo de autenticação Básica.
      • OAuth: Envia o valor OAuth2.0. Disponível somente com o tipo de autenticação OAuth 2.0.
      • Chave API: Envia o valor APIKEY. Disponível apenas com o tipo de autenticação Chave de API.

    • Campo do cabeçalho da solicitação personalizada: Envia o valor inserido na caixa de texto:

      cabeçalho personalizado de registro de configuração

  • Endereços IP confiáveis: Selecione se deseja restringir o acesso às APIs no perfil de segurança aos consumidores de um único endereço IP ou de um intervalo de endereços IP. Consulte Endereços IP confiáveis abaixo para obter detalhes.

  • Limites de taxa e Ocorrências por minuto: Selecione Limites de taxa para impor um número máximo compartilhado de ocorrências de API por minuto que podem ser feitas em todas as APIs às quais esse perfil de segurança está atribuído. Quando esta opção é selecionada, você deve inserir um número máximo de Hits per Minute.

    Quando ativado, as chamadas acima do máximo definido são rejeitadas. Dessa forma, as chamadas para APIs atribuídas a esse perfil de segurança podem sofrer um número maior de rejeições. Para obter mais informações, consulte Limites de taxa de uso em Segurança do API Manager.

    limites de taxa de configuração

  • Tornar este perfil de segurança o padrão e adicionar automaticamente a novas APIs: Selecione para tornar este perfil de segurança o padrão para o ambiente selecionado. O perfil de segurança padrão será pré-selecionado quando uma nova API for criada. Somente um perfil de segurança padrão pode ser selecionado em cada ambiente. Depois que um perfil de segurança padrão tiver sido especificado para um ambiente, a seleção de um perfil de segurança diferente como padrão substituirá a seleção de perfil de segurança padrão existente. Selecionar ou alterar o perfil de segurança padrão não alterará o perfil de segurança atribuído às APIs existentes.

    configuração padrão

  • Salvar: Clique para salvar e fechar a configuração do perfil de segurança.

  • Cancelar: Clique para fechar a configuração sem salvar.

  • Excluir perfil: Exclui permanentemente o perfil de segurança. Uma mensagem solicita que você confirme que deseja excluir o perfil de segurança. Se o perfil de segurança for atribuído a qualquer APIs, ele deverá primeiro ter a atribuição cancelada ou ser substituído antes de excluí-lo.

Tipos de Autenticação

Depois de usar o menu Tipo para selecionar o tipo de autenticação, campos adicionais ficam disponíveis para configuração, descritos nesta seção para cada tipo:

Anônimo

Selecione o tipo de autenticação Anônimo se nenhuma autenticação HTTP for necessária.

configuração anônima

Nota

Se você não atribuir um perfil de segurança a uma API, a autenticação anônima também será usada. No entanto, você pode querer usar um perfil de segurança anônimo (em vez de nenhum perfil de segurança) para poder definir opções de segurança adicionais para Logging, Faixas de IPs Confiáveis ou Rate Limits, como descrito nos itens subsequentes.

Básico

Selecione o tipo de autenticação Básica para usar a autenticação HTTP básica para acessar uma API atribuída a esse perfil de segurança. Quando esse tipo é selecionado, estes campos são usados para criar as credenciais necessárias:

configuração básica

  • Nome de usuário: Insira um nome de usuário a ser criado para acessar a API. O nome de usuário diferencia maiúsculas de minúsculas e não deve conter dois pontos (:) se você pretende usar as credenciais em um cabeçalho HTTP ao chamar a API.

  • Senha: Digite uma senha a ser criada para acessar a API.

Dica

Para usar as credenciais em um cabeçalho HTTP ao chamar uma API atribuída a esse perfil de segurança, forneça uma string codificada em Base64 do nome de usuário e senha combinada com dois pontos. Por exemplo, usando a função Jitterbit Base64Encode:

Base64Encode("exampleuser"+":"+"examplepassword")

OAuth 2.0

Selecione o tipo de autenticação OAuth 2.0 para usar um token de autorização OAuth 2.0 para acessar uma API atribuída a esse perfil de segurança. Quando esse tipo é selecionado, estes campos são usados para criar as credenciais necessárias:

configuração oauth

  • Provedor OAuth: Use o menu suspenso para selecionar um provedor de identidade compatível: Azure AD, Google, Okta ou Salesforce.

  • URL de redirecionamento OAuth: Este campo é pré-preenchido e não pode ser editado. Este valor é necessário como entrada ao obter o ID do cliente e o segredo do cliente para Azure AD, Google, Okta ou Salesforce.

  • OAuth de 2 pernas Fluxo: Por padrão, o OAuth de três etapas é usado para todos os provedores de identidade, exigindo interação manual para autenticação ao acessar uma API atribuída a esse perfil de segurança. A opção Fluxo OAuth de duas etapas, disponível apenas para Azure AD e Okta, permite configurar um escopo e um público para eliminar essa etapa manual.

    Nota

    Aqueles que usam um Gateway de API Privado deve estar usando um gateway versão 10.48 ou posterior para que esta opção entre em vigor. Se o gateway não for 10.48 ou posterior, o OAuth de 3 etapas será usado mesmo se o OAuth de 2 etapas estiver configurado. Se você não estiver usando um Gateway de API Privado, esta opção não terá requisitos de versão.

    Quando esta opção é selecionada, estes campos ficam disponíveis para configuração:

    • Escopo do OAuth: Insira o escopo a ser usado para OAuth de duas etapas. Consulte as instruções para Azure AD ou Okta.
    • URL de descoberta OpenID: Este campo é pré-preenchido com valores padrão do provedor de identidade. Estes valores devem ser editados com valores específicos da instância Azure AD ou Okta. Consulte as instruções para Azure AD ou Okta.
    • Público: Insira o público a ser usado para OAuth bidirecional. Consulte as instruções para Azure AD ou Okta.

  • Domínio(s) autorizado(s): Insira nomes de domínio separados por vírgulas para restringir o acesso a domínios permitidos. Deixe em branco para acesso irrestrito.

  • ID do cliente OAuth e Segredo do cliente OAuth: Insira o ID do cliente e o segredo do cliente obtidos do provedor de identidade. Consulte as instruções para obter o ID do cliente e o segredo do cliente para Azure AD, Google, Okta ou Salesforce.

  • URL de autorização OAuth, URL do token OAuth e URL de informações do usuário: Esses campos são pré-preenchidos com valores padrão do provedor de identidade. Eles podem precisar ser editados dependendo do provedor de identidade:

    • Google ou Salesforce: Normalmente, esses valores normalmente não precisam ser editados. Se você estiver usando uma implementação customizada e precisar substituir os valores padrão, poderá editá-los aqui. Para obter mais assistência, entre em contato com Suporte Jitterbit.

    • Azure AD ou Okta: Esses valores devem ser editados com valores específicos da instância do Azure AD ou Okta. Consulte as instruções para Azure AD ou Okta.

  • Adicione este URL de redirecionamento à sua conta OAuth: Este campo é pré-preenchido e não pode ser editado. Este valor é necessário como entrada ao obter o ID do cliente e o segredo do cliente para Azure AD, Google, Okta ou Salesforce.

  • Testar ID do cliente + segredo: Clique para verificar a conectividade com o provedor de identidade usando a configuração fornecida. O comportamento resultante depende se a opção Fluxo OAuth de 2 etapas está sendo usada:

    • OAuth de duas pernas: Para Azure AD e Okta, quando o Fluxo OAuth de duas pernas estiver sendo usado, o Gateway de API busca o token de acesso e a autenticação ocorre automaticamente. Você será então redirecionado para o API Manager com uma mensagem indicando os resultados do teste.
    • OAuth de 3 etapas: Para Google e Salesforce e para Azure AD e Okta quando o Fluxo OAuth de 2 etapas não está sendo usado, uma nova aba do navegador exibe a interface de login nativa para o provedor de identidade. Depois de fornecer suas credenciais para o provedor de identidade, você será redirecionado para o API Manager com uma mensagem indicando os resultados do teste.

Chave API

Selecione o tipo de autenticação Chave de API para usar uma chave de API e um par de valores para acessar uma API atribuída a esse perfil de segurança. Quando esse tipo é selecionado, estes campos são usados para criar as credenciais necessárias:

chave de API de configuração

  • Chave: Insira o nome do cabeçalho que deseja usar, como Authorization ou X- API-KEY. É permitido um máximo de 256 caracteres.
  • Valor: Um valor é gerado automaticamente para uso com o nome do cabeçalho Key. Você pode editar o valor ou usar o ícone de atualização attachment para gerar um novo valor. É permitido um máximo de 256 caracteres.

Nota

O par de chave e valor inserido é aceito tanto como cabeçalho quanto como parâmetro de consultar. Por exemplo, uma Key de X- API-KEY com um Value de abc123 é passada em um cabeçalho como X-API-KEY:abc123 e em um parâmetro de consultar como ?X-API-KEY=abc123.

Endereços IP Confiáveis

Você pode selecionar se deseja restringir o acesso às APIs no perfil de segurança aos consumidores de um único endereço IP ou de um intervalo de endereços IP:

configuração de intervalos de IP confiáveis sem restrição

  • Sem Restrição: Não limita o acesso às APIs por endereço IP.

  • Solicitações de confiança somente dos seguintes intervalos de IP: Restringe o acesso às APIs em um perfil de segurança para consumidores de determinados endereços IP. Somente endereços IP incluídos nos intervalos especificados podem acessar as APIs usando esse perfil de segurança.

    • Faixas de IPs Confiáveis: Se você tiver um intervalo de IP confiável que foi configurado antes da versão 10.58 Harmony, esta interface de usuário será apresentada:

      configuração de intervalos de IP confiáveis solicitações de confiança

      Cuidado

      É recomendável que todos os usuários passem a usar Grupos de IPs Confiáveis, pois Faixas de IPs Confiáveis estão obsoletos e serão removidos em uma versão futura.

      • Endereço IP inicial: Insira o primeiro endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.
      • Endereço IP final: Insira o último endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.
      • Adicionar intervalo: Clique para adicionar um intervalo de IP adicional.
      • Excluir: Passe o mouse sobre qualquer intervalo de endereços IP e clique no ícone de exclusão delete 12 para excluir a linha do intervalo de endereços IP.

    • Grupos de IPs Confiáveis: Selecione um grupo de IP confiável existente ou adicione um novo grupo de IP confiável ao perfil de segurança:

      configuração de grupos de IP confiáveis

      • Pesquisar: Digite o nome de um grupo de IP confiável existente. Ao clicar na caixa de pesquisa, uma lista de grupos de IP confiáveis existentes é preenchida. A lista é filtrada em tempo real a cada pressionamento de tecla na caixa de pesquisa. Clique no nome do grupo de IP confiável para adicioná-lo ao perfil de segurança.

      • Adicionar: Clique no ícone adicionar adicionar 5 para adicionar um novo grupo de IP confiável. Depois que o perfil de segurança for salvo, este grupo de IP confiável será adicionado a Grupos de IPs Confiáveis como um grupo de IP confiável existente para ser usado em outros perfis de segurança, conforme necessário.

      • Nome: Insira um nome para identificar o grupo de IP confiável. Para grupos de IP confiáveis existentes, clique no nome de um grupo de IP confiável para renomeá-lo.

      • Endereço IP inicial: Insira o primeiro endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.

      • Endereço IP final: Insira o último endereço IP a ser incluído no intervalo. Somente endereços IP inseridos no formato IPv4 são suportados.

      • Descrição: Insira uma descrição do intervalo de endereços IP (opcional).

      • Adicionar intervalo: Clique para adicionar um intervalo adicional ao grupo de IP confiável.

      • Editar: Clique no ícone de edição editar 11 para editar grupos de IP confiáveis existentes que foram selecionados para uso com o perfil de segurança.

        Nota

        Quaisquer alterações feitas em um grupo de IP confiável existente afetarão todos os perfis de segurança que usam o grupo de IP confiável.

      • Excluir: Clique no ícone de exclusão delete 13 ao lado do nome do grupo de IP confiável para excluir todo o grupo de IP confiável do perfil de segurança. Passe o mouse sobre qualquer intervalo de endereços IP e clique no ícone de exclusãodelete 13 para excluir a linha do intervalo de endereços IP.

Próximos Passos

Depois de criar um perfil de segurança, ele pode ser atribuído a uma ou mais APIs no ambiente ao qual o perfil de segurança pertence. Para obter mais informações sobre como atribuir perfis de segurança a uma API, consulte estes recursos: