Clientsicherheit

Die Richtlinie Clientsicherheit kann verwendet werden, um den Zugriff auf die Clientauthentifizierung für Ihre APIs zu erweitern.

Tabelle 1. Tabelle, in der angegeben wird, welche Gateways diese Richtlinie unterstützen, sowie die entsprechende Richtlinienversion
Gateway Richtlinienversion
DataPower® API Gateway 2.0.0

In diesem Abschnitt wird beschrieben, wie die Richtlinie in der Assembly-Benutzerschnittstelle konfiguriert wird. Details zur Konfiguration der Richtlinie in Ihrer OpenAPI -Quelle finden Sie unter client-security.

Produktinfo

Sie verwenden die Richtlinie Clientsicherheit , um eine Assembly-Aktion zu erstellen, die von der OpenAPI -Spezifikation getrennt ist, um mehr Optionen für die Authentifizierung einer Anwendung zu ermöglichen. Beachten Sie, dass Sie die Richtlinie client-security nicht für die Durchsetzung der Ratenbegrenzung verwenden können.

In einer Clientsicherheitsaktion definieren Sie die folgenden Einstellungen.
  • Steuert, ob die Verarbeitung gestoppt werden soll, wenn die Clientsicherheit fehlschlägt. Wenn die Clientsicherheit fehlschlägt, wird die Assemblierungsverarbeitung gestoppt und ein Fehler zurückgegeben.
  • Steuert, ob der geheime Clientschlüssel erforderlich ist. Wenn er erforderlich ist, wird der geheime Schlüssel mit dem registrierten geheimen Schlüssel in der Anwendung verglichen, der über die Client-ID identifiziert wird.
  • Definieren Sie die Methode zum Extrahieren der Clientberechtigungsnachweise aus der Anforderung.
    • Für alle Methoden außer HTTP verwenden Sie die Eigenschaften "ID-Name" und "Geheimer Name ", um den Speicherort anzugeben, der die ID enthält, und den Speicherort, der das Geheimnis enthält.
      • Geben Sie bei Cookie an, welches Cookie verwendet werden soll.
      • Geben Sie bei Kontextvariable an, welche Laufzeitkontextvariable verwendet werden soll.
      • Geben Sie bei Formulardie Formulardaten an.
      • Geben Sie bei Header an, welcher Header verwendet werden soll.
      • Geben Sie bei Abfrageden Abfrageparameter an.
    • Für die HTTP methode verwenden Sie die HTTP Type-Eigenschaft, um das Format des Autorisierungsheaders anzugeben, der das Basic-Formular im basic base64_id:secret -Format erwartet.
  • Definieren Sie die Methode zur Authentifizierung der extrahierten Clientberechtigungsnachweise. Die unterstützten Methoden sind Native (dies bedeutet, dass IBM® API Connectverwendet wird) oder die Verwendung einer angegebenen Benutzerregistry eines anderen Anbieters .
    • Verwenden Sie bei Drittanbieterdie Eigenschaft Name der Benutzerregistry , um die Benutzerregistry anzugeben, um die extrahierten Clientberechtigungsnachweise zu authentifizieren. Bei den unterstützten Registrytypen handelt es sich um LDAP-und Authentifizierungs-URL.

Eigenschaften

Die folgende Tabelle enthält die Richtlinieneigenschaften, gibt an, ob eine Eigenschaft erforderlich ist, enthält die gültigen Werte und die Standardwerte für Eingaben und gibt den jeweiligen Datentyp der Werte an.

Tabelle 2. Eigenschaften der Richtlinie Clientsicherheit
Eigenschaftsbezeichnung Erforderlich Beschreibung Datentyp
Titel Nein Der Titel der Richtlinie.

Der Standardwert ist client-security.

 Zeichenfolge
Beschreibung Nein Eine Beschreibung der Richtlinie. Zeichenfolge
Stoppen bei Fehler Ja Wenn diese Einstellung aktiviert ist, wird die Assemblierung gestoppt, wenn die Clientsicherheit fehlschlägt, und es wird ein Fehler zurückgegeben.

Das Kontrollkästchen ist standardmäßig aktiviert.

 boolesch
Geheimer Schlüssel erforderlich Ja Wenn diese Einstellung aktiviert ist, muss der geheime Clientschlüssel in der Anforderung gesendet werden. Das Geheimnis wird mit dem registrierten geheimen Schlüssel in der Anwendung verglichen, die durch die Client-ID identifiziert wird.

Das Kontrollkästchen ist standardmäßig aktiviert.

 boolesch
Extraktionsmethode für Berechtigungsnachweise Ja Wählen Sie eine der folgenden Optionen aus, um festzulegen, wie sich die aufrufende Anwendung authentifiziert:
  • Header: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen im Anforderungsheader angegeben werden.
  • Abfrage: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen im Anforderungsheader angegeben werden.
  • Formular: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen als Formulardaten bereitgestellt werden, die in einer POST-Anforderung gesendet werden.
  • Cookie: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen in einem Header mit dem Namen Cookieangegeben werden.
  • HTTP: Die aufrufende Anwendung muss sich unter Verwendung der Basisauthentifizierung authentifizieren.
  • Kontextvariable: Die Berechtigungsnachweise, die für die Authentifizierung des Clients verwendet werden, werden aus Kontextvariablen abgerufen, die Sie im Assembly-Ablauf vor der Clientsicherheitsrichtlinie festgelegt haben, z. B. mithilfe einer GatewayScript -Richtlinie. Die Namen dieser Kontextvariablen werden durch die Werte bestimmt, die Sie in den Eigenschaften ID Name und Secret Name der Clientsicherheitsrichtlinie angeben.

Der Standardwert ist Header.

 Zeichenfolge
ID-Name Ja, wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP ist. Der Name des Parameters, dessen Wert die Client-ID angibt. Für alle Optionen Berechtigungsnachweisextraktionsmethode, die nicht Kontextvariable und HTTP sind, muss die aufrufende Anwendung einen Parameter mit diesem Namen an der Position angeben, die durch die Option Extraktionsmethode für Berechtigungsnachweise definiert ist. Für die Option Kontextvariable gibt diese Eigenschaft den Namen einer Kontextvariablen an.

Diese Eigenschaft gilt nicht, wenn Credential Extraction Method HTTP ist.

 Zeichenfolge
Geheimer Name Ja, wenn Secret Required aktiviert ist und der ausgewählte Wert von Credential Extraction Method nicht HTTP ist. Der Name des Parameters, dessen Wert die Client-ID angibt. Für alle Optionen Berechtigungsnachweisextraktionsmethode, die nicht Kontextvariable und HTTP sind, muss die aufrufende Anwendung einen Parameter mit diesem Namen an der Position angeben, die durch die Option Extraktionsmethode für Berechtigungsnachweise definiert ist. Für die Option Kontextvariable gibt diese Eigenschaft den Namen einer Kontextvariablen an.

Diese Eigenschaft gilt nicht, wenn Credential Extraction Method HTTP ist.

 Zeichenfolge
HTTP-Typ Ja, wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP ist Der Authentifizierungstyp. Derzeit ist die einzige verfügbare Option Basis.  
Clientmethode authentifizieren Ja Wählen Sie eine der folgenden Optionen aus:
  • Native: Nur die Client-ID und der geheime Clientschlüssel werden für die Authentifizierung des Clients verwendet. Wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP lautet, muss die aufrufende Anwendung die Client-ID für den Benutzernamen und den geheimen Clientschlüssel für das Kennwort angeben.
  • Drittanbieter: Eine Benutzerregistry wird zum Authentifizieren des Clients verwendet. Wenn der ausgewählte Wert der Extraktionsmethode für Berechtigungsnachweise nicht HTTP ist, muss die aufrufende Anwendung den Benutzernamen für die Client-ID und das Kennwort für den geheimen Clientschlüssel angeben.

Der Standardwert ist Nativ.

 Zeichenfolge
Benutzerregistry-Name Ja, wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP ist Wählen Sie die Benutzerregistry aus, die für die Authentifizierung des Clients verwendet werden soll. Bei den unterstützten Registrytypen handelt es sich um LDAP-und Authentifizierungs-URL. Zeichenfolge