Clientsicherheit

Online bearbeiten

Die Richtlinie Clientsicherheit kann verwendet werden, um den Zugriff auf die Clientauthentifizierung für Ihre APIs zu erweitern.

Tabelle 1. Tabelle, aus der hervorgeht, welche Gateways diese Richtlinie unterstützen, sowie die entsprechende Richtlinienversion
Gateway Richtlinienversion
DataPower® API Gateway 2.0.0

In diesem Thema wird beschrieben, wie Sie die Richtlinie in der Benutzeroberfläche von Assembly konfigurieren. Einzelheiten zur Konfiguration der Richtlinie in Ihrer „ OpenAPI “-Quelle finden Sie unter client-security.

Produktinfo

Sie verwenden die Richtlinie Clientsicherheit , um eine Assembly-Aktion zu erstellen, die von der OpenAPI -Spezifikation getrennt ist, um mehr Optionen für die Authentifizierung einer Anwendung zu ermöglichen. Beachten Sie, dass Sie die Richtlinie client-security nicht für die Durchsetzung der Ratenbegrenzung verwenden können.

In einer Client-Sicherheitsmaßnahme legen Sie die folgenden Einstellungen fest.
  • Legen Sie fest, ob die Verarbeitung abgebrochen werden soll, wenn die Client-Sicherheit fehlschlägt. Wenn die Client-Sicherheit fehlschlägt, wird die Assembly-Verarbeitung abgebrochen und ein Fehler zurückgegeben.
  • Legen Sie fest, ob das Client-Geheimnis erforderlich sein soll. Bei Bedarf wird das Passwort mit dem in der Anwendung hinterlegten Passwort verglichen, das durch die Client-ID identifiziert wird.
  • Definieren Sie die Methode zum Extrahieren der Anmeldedaten des Clients aus der Anfrage.
    • Für alle Methoden außer HTTP verwenden Sie die Eigenschaften "ID-Name" und "Geheimer Name ", um den Speicherort anzugeben, der die ID enthält, und den Speicherort, der das Geheimnis enthält.
      • Wenn es um Cookies geht, geben Sie bitte an, um welches Cookie es sich handelt.
      • Wenn es sich um eine Kontextvariable handelt, geben Sie an, um welche Laufzeitkontextvariable es sich handelt.
      • Geben Sie bei Formulardie Formulardaten an.
      • Wenn „Header“, geben Sie an, um welchen Header es sich handelt.
      • Geben Sie bei Abfrageden Abfrageparameter an.
    • Für die HTTP methode verwenden Sie die HTTP Type-Eigenschaft, um das Format des Autorisierungsheaders anzugeben, der das Basic-Formular im basic base64_id:secret -Format erwartet.
  • Legen Sie die Methode zur Authentifizierung der extrahierten Client-Anmeldedaten fest. Die unterstützten Methoden sind Native (dies bedeutet, dass IBM® API Connectverwendet wird) oder die Verwendung einer angegebenen Benutzerregistry eines anderen Anbieters .
    • Verwenden Sie bei Drittanbieterdie Eigenschaft Name der Benutzerregistry , um die Benutzerregistry anzugeben, um die extrahierten Clientberechtigungsnachweise zu authentifizieren. Bei den unterstützten Registrytypen handelt es sich um LDAP-und Authentifizierungs-URL.

Eigenschaften

Die folgende Tabelle enthält die Richtlinieneigenschaften, gibt an, ob eine Eigenschaft erforderlich ist, enthält die gültigen Werte und die Standardwerte für Eingaben und gibt den jeweiligen Datentyp der Werte an.

Tabelle 2. Eigenschaften der Client-Sicherheitsrichtlinie
Eigenschaftsbezeichnung Erforderlich Beschreibung Datentyp
Titel Nein Der Titel der Richtlinie.

Der Standardwert ist client-security.

 Zeichenfolge
Beschreibung Nein Eine Beschreibung der Richtlinie. Zeichenfolge
Stoppen bei Fehler Ja Wenn diese Einstellung aktiviert ist, wird die Assemblierung gestoppt, wenn die Clientsicherheit fehlschlägt, und es wird ein Fehler zurückgegeben.

Das Kontrollkästchen ist standardmäßig ausgewählt.

 boolesch
Geheimer Schlüssel erforderlich Ja Wenn diese Einstellung aktiviert ist, muss der geheime Clientschlüssel in der Anforderung gesendet werden. Das Geheimnis wird mit dem registrierten geheimen Schlüssel in der Anwendung verglichen, die durch die Client-ID identifiziert wird.

Das Kontrollkästchen ist standardmäßig ausgewählt.

 boolesch
Extraktionsmethode für Berechtigungsnachweise Ja Wählen Sie eine der folgenden Optionen aus, um festzulegen, wie sich die aufrufende Anwendung authentifiziert:
  • Header: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen im Anforderungsheader angegeben werden.
  • Abfrage: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen im Anforderungsheader angegeben werden.
  • Formular: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen als Formulardaten bereitgestellt werden, die in einer POST-Anforderung gesendet werden.
  • Cookie: Die Client-ID und die geheimen Berechtigungsnachweise des Clients müssen in einem Header mit dem Namen Cookieangegeben werden.
  • HTTP: Die aufrufende Anwendung muss sich unter Verwendung der Basisauthentifizierung authentifizieren.
  • Kontextvariable : Die Anmeldeinformationen, die zur Authentifizierung des Clients verwendet werden, werden aus Kontextvariablen abgerufen, die Sie im Assembly-Ablauf vor der Client-Sicherheitsrichtlinie festlegen, beispielsweise mithilfe einer „ GatewayScript “-Richtlinie. Die Namen dieser Kontextvariablen werden durch die Werte bestimmt, die Sie in den Eigenschaften ID Name und Secret Name der Clientsicherheitsrichtlinie angeben.

Der Standardwert ist Header.

 Zeichenfolge
ID-Name Ja, wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP ist. Der Name des Parameters, dessen Wert die Client-ID angibt. Für alle Optionen Berechtigungsnachweisextraktionsmethode, die nicht Kontextvariable und HTTP sind, muss die aufrufende Anwendung einen Parameter mit diesem Namen an der Position angeben, die durch die Option Extraktionsmethode für Berechtigungsnachweise definiert ist. Für die Option Kontextvariable gibt diese Eigenschaft den Namen einer Kontextvariablen an.

Diese Eigenschaft gilt nicht, wenn Credential Extraction Method HTTP ist.

 Zeichenfolge
Geheimer Name Ja, wenn Secret Required aktiviert ist und der ausgewählte Wert von Credential Extraction Method nicht HTTP ist. Der Name des Parameters, dessen Wert die Client-ID angibt. Für alle Optionen Berechtigungsnachweisextraktionsmethode, die nicht Kontextvariable und HTTP sind, muss die aufrufende Anwendung einen Parameter mit diesem Namen an der Position angeben, die durch die Option Extraktionsmethode für Berechtigungsnachweise definiert ist. Für die Option Kontextvariable gibt diese Eigenschaft den Namen einer Kontextvariablen an.

Diese Eigenschaft gilt nicht, wenn Credential Extraction Method HTTP ist.

 Zeichenfolge
HTTP-Typ Ja, wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP ist Der Authentifizierungstyp. Derzeit ist die einzige verfügbare Option Basis.
Clientmethode authentifizieren Ja Wählen Sie eine der folgenden Optionen aus:
  • Native: Nur die Client-ID und der geheime Clientschlüssel werden für die Authentifizierung des Clients verwendet. Wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP lautet, muss die aufrufende Anwendung die Client-ID für den Benutzernamen und den geheimen Clientschlüssel für das Kennwort angeben.
  • Drittanbieter: Eine Benutzerregistry wird zum Authentifizieren des Clients verwendet. Wenn der ausgewählte Wert der Extraktionsmethode für Berechtigungsnachweise nicht HTTP ist, muss die aufrufende Anwendung den Benutzernamen für die Client-ID und das Kennwort für den geheimen Clientschlüssel angeben.

Der Standardwert ist Nativ.

 Zeichenfolge
Benutzerregistry-Name Ja, wenn der ausgewählte Wert von Berechtigungsnachweisextraktionsmethode HTTP ist Wählen Sie die Benutzerregistry aus, die für die Authentifizierung des Clients verwendet werden soll. Bei den unterstützten Registrytypen handelt es sich um LDAP-und Authentifizierungs-URL. Zeichenfolge