Sécurité utilisateur

Modifier en ligne

Utilisez la règle Sécurité utilisateur pour extraire les données d'identification d'un utilisateur, authentifier ces données d'identification et obtenir l'autorisation de l'utilisateur.

Tableau 1. Tableau indiquant les passerelles prenant en charge cette politique, ainsi que la version correspondante de la politique
Passerelle Version de la stratégie
DataPower® API Gateway 2.0.0

Cette rubrique explique comment configurer la stratégie dans l'interface utilisateur d' OpenAPI; pour plus de détails sur la configuration de la stratégie dans votre source d', consultez la section « Sécurité des utilisateurs ».

A propos de

Lorsque vous définissez une action de sécurité utilisateur d'assemblage, vous pouvez définir le traitement pour l'extraction d'identité, l'authentification et l'autorisation, ou bien vous pouvez désactiver de manière sélective l'un de ces aspects du traitement. S'il est désactivé, cet aspect du traitement est ignoré.

Lorsque l'extraction d'identité est activée, les méthodes suivantes sont prises en charge.
  • Utilisation de l'authentification de base, qui ne requiert aucune autre configuration.
  • Utilisation de variables contextuelles. Pour cette méthode, spécifiez la variable qui contient les nom d'utilisateur et mot de passe.
  • Utilisation d'une redirection. Pour cette méthode, spécifiez le fragment d'URL cible de la redirection et la durée autorisée pour le processus.
  • Utilisation d'un formulaire de connexion HTML. Pour cette méthode, indiquez si un formulaire par défaut ou personnalisé doit être utilisé, ainsi que la durée autorisée pour soumettre le formulaire. Pour un formulaire personnalisé, spécifiez l'emplacement du formulaire et le profil de client TLS pour sécuriser la connexion avec le serveur distant.
Lorsque l'authentification est activée, les méthodes suivantes sont prises en charge.
  • Contact d'un serveur LDAP. Pour cette méthode, spécifiez le serveur à contacter.
  • Envoi d'une demande à un noeud final d'authentification. Pour cette méthode, spécifiez l'URL du noeud final, le profil de client TLS pour sécuriser la connexion, le modèle de sélection de l'en-tête de réponse à ajouter et l'en-tête de réponse qui contient les données d'identification authentifiées.
Lorsque l'autorisation est activée, les méthodes suivantes sont prises en charge.
  • Acceptation implicite des utilisateurs précédemment authentifiés, ne requiert aucune autre configuration.
  • Utilisation d'un formulaire d'autorisation HTML. Pour cette méthode, indiquez si un formulaire par défaut ou personnalisé doit être utilisé, ainsi que la durée autorisée pour soumettre le formulaire. Pour un formulaire personnalisé, spécifiez l'emplacement du formulaire et le profil de client TLS pour sécuriser la connexion avec le serveur distant.

Vous pouvez joindre cette stratégie au flux d'API REST.

Propriétés

Le tableau suivant répertorie les propriétés des stratégies, indique si une propriété est nécessaire, définit les valeurs d'entrée et par défaut valides et précise le type de données des valeurs.

Tableau 2. Propriétés de la stratégie de sécurité des utilisateurs
Libellé de la propriété Obligatoire Descriptif Type de données
Titre Non Titre de la stratégie.

La valeur par défaut est user-security.

 chaîne
Description Non Description de la stratégie. chaîne
ID de coefficient Non Identité qui identifie les résultats d'une authentification par facteur dans le contexte d'API. chaîne
Extraire les paramètres d'identité Oui Sélectionnez la méthode utilisée pour extraire les données d'identification de l'utilisateur. Les options suivantes sont disponibles :
Basique
Utilisez l'authentification de base ; aucune configuration supplémentaire n'est requise.
Variable contextuelle
Les données d'identification sont fournies par les variables contextuelles API Connect ; spécifiez les propriétés suivantes:
  • Nom d'utilisateur : variable contextuelle utilisée pour obtenir le nom d'utilisateur.
  • Variable contextuelle du mot de passe : variable contextuelle utilisée pour obtenir le mot de passe.
Formulaire HTML
Utilisez des formulaires basés sur l'extraction d'identité de base. Effectuez une sélection pour utiliser le formulaire par défaut ou une version personnalisée. Pour un formulaire personnalisé, spécifiez les propriétés suivantes :
  • Noeud final de formulaire personnalisé : emplacement du formulaire.
  • Profil TLS de formulaire personnalisé : profil du client TLS utilisé pour sécuriser la connexion au serveur distant.

Dans la zone Limite de temps de formulaire HTML, spécifiez la durée autorisée pour soumettre le formulaire.

Rediriger
Utilisez une redirection pour l'extraction d'identité ; spécifiez les propriétés suivantes :
  • URL de réacheminement : fragment d'URL vers lequel rediriger la demande pour obtenir les données d'identification de l'utilisateur.
  • Limite de temps de redirection : durée autorisée pour l'exécution de la transaction.
Désactivé
L'extraction d'identité est désactivée ; cet aspect du traitement est ignoré.

Sélectionnez Arrêter en cas d'erreur pour interrompre le traitement de l'assemblage en cas d'échec de l'extraction d'identité.

 chaîne
Authentifier les paramètres utilisateur Oui Sélectionnez la méthode d'authentification. Les options suivantes sont disponibles :
URL d'authentification
Les donnée d'identification sont authentifiées par un noeud final externe ; spécifiez les propriétés suivantes :
  • URL d'authentification : URL du noeud final d'authentification.
  • Profil TLS d'authentification : profil du client TLS utilisé pour sécuriser la connexion au noeud final d'authentification.
  • Modèle d'en-tête de réponse d'authentification : modèle utilisé pour sélectionner les en-têtes de réponse à ajouter au contexte d'API.
  • Données d'identification d'en-tête de réponse d'authentification : en-tête de réponse qui contient les données d'identification de l'utilisateur authentifié.
LDAP
Les données d'identification son authentifiées par un registre d'utilisateurs LDAP ; depuis la liste Registre LDAP, sélectionnez le registre requis.
Désactivé
L'authentification est désactivée ; cet aspect du traitement est ignoré.

Sélectionnez Arrêter en cas d'erreur pour interrompre le traitement de l'assemblage en cas d'échec d'authentification.

 chaîne
Autoriser les paramètres utilisateur Oui Sélectionnez la méthode d'autorisation. Les options suivantes sont disponibles :
authentifié
Acceptation implicite de tout utilisateur précédemment authentifié ; aucune configuration supplémentaire n'est requise.
Formulaire HTML
L'utilisateur fournit une autorisation via un formulaire HTML. Effectuez une sélection pour utiliser le formulaire par défaut ou une version personnalisée. Pour un formulaire personnalisé, spécifiez les propriétés suivantes :
  • Noeud final de formulaire personnalisé : emplacement du formulaire.
  • Profil TLS de formulaire personnalisé : profil du client TLS utilisé pour sécuriser la connexion au serveur distant.

Dans la zone Entrées de table dynamique, entrez le nom d'une variable contextuelle spécifiant les portées à ajouter automatiquement au formulaire de consentement.

Dans la zone Limite de temps de formulaire HTML, spécifiez la durée autorisée pour soumettre le formulaire.

Désactivé
L'autorisation est désactivée ; cet aspect du traitement est ignoré.

Sélectionnez Arrêter en cas d'erreur pour interrompre le traitement de l'assemblage en cas d'échec d'autorisation.

 chaîne