user-security

オンラインで編集する

user-security ポリシーを使用して、ユーザーの資格情報を抽出し、それらの資格情報を認証し、ユーザーから許可を取得します。

ゲートウェイのサポート

表 1. このポリシーをサポートするゲートウェイと、対応するポリシーバージョンを示す表
ゲートウェイ ポリシーのバージョン
DataPower® API Gateway 2.0.0

このトピックでは、 OpenAPI ソースでポリシーを設定する方法について説明します。アセンブリのユーザーインターフェイスでポリシーを設定する方法の詳細については、 「ユーザーセキュリティ」 を参照してください。

製品情報

user-security ポリシーの形式は以下のとおりです。
- user-security:
  version: version
  title: title
  description: description
  factor-id: factor ID
  extract-identity-method: method_used_to_extract_credentials
       .
       .
       .
     properties_specific_to_the specified_identity_extraction_method
       .
       .
       .
  user-auth-method: authentication_method
       .
       .
       .
     properties_specific_to_the specified_authentication_method
       .
       .
       .
  user-az-method: authorization_method
       .
       .
       .
     properties_specific_to_the specified_authorization_method
       .
       .
       .

プロパティ-

表 2: user-security ポリシーのプロパティ
プロパティー 必須 説明 データ・タイプ
version はい ポリシーのバージョン番号 ストリング
title いいえ ポリシーのタイトル。 ストリング
description いいえ ポリシーの説明。 ストリング
factor-id いいえ API コンテキストでのファクター認証の結果を識別する ID。 ストリング
extract-identity-method はい ユーザー資格情報の抽出に使用する方式を選択します。 使用可能なオプションは次のとおりです。
basic
基本認証を使用します。追加の構成は必要ありません。
context-var
資格情報は、 API Connect コンテキスト変数によって提供されます。以下のプロパティーを指定します。
  • user-context-var: ユーザー名を取得するために使用されるコンテキスト変数。
  • pass-context-var: パスワードを取得するために使用されるコンテキスト変数。
html-form
フォーム・ベースの ID 抽出を使用します。 デフォルト・フォームまたはカスタム・フォームを使用できます。 デフォルト・フォームを使用するには、ei-default-form: true と指定します。 カスタム・フォームを使用するには、ei-default-form: false と指定して、以下のプロパティーを指定します。
  • ei-custom-form: フォームの場所。
  • ei-custom-form-tls-client-profile: リモート・サーバーへの接続を保護するために使用される TLS クライアント・プロファイル。

フォームを送信できる時間を指定するには、ei-form-time-limit プロパティーを使用します。

redirect
ID 抽出にリダイレクトを使用します。以下のプロパティーを指定します。
  • redirect-url: ユーザー資格情報を取得するための要求をリダイレクトする URL フラグメント。
  • redirect-time-limit: トランザクションが完了するまでの許容時間。
disabled
ID 抽出が無効です。処理のこの側面がスキップされます。

ID 抽出が失敗した場合にアセンブリー処理を停止するには、ei-stop-on-error: true と指定します。 ID 抽出が無効になっていない場合、このフィールドは必須です。

 ストリング
user-auth-method はい 認証方式を選択します。 使用可能なオプションは次のとおりです。
auth-url
資格情報が外部エンドポイントによって認証されます。以下のプロパティーを指定します。
  • auth-url: 認証エンドポイントの URL 。
  • auth-tls-client-profile: 認証エンドポイントへの接続を保護するために使用される TLS クライアント・プロファイル。
  • auth-response-headers-pattern: API コンテキストに追加する応答ヘッダーを選択するために使用されるパターン。
  • auth-response-header-credential: 認証されたユーザー資格情報を含む応答ヘッダー。
ldap
資格情報が LDAP ユーザー・レジストリーによって認証されます。ldap-registry プロパティーを使用して、必要なレジストリーを指定します。
disabled
認証は無効です。処理のこの側面がスキップされます。

ユーザー認証が失敗した場合にアセンブリー処理を停止するには、au-stop-on-error: true と指定します。 認証が無効になっていない場合、このフィールドは必須です。

 ストリング
user-az-method はい 許可方式を選択します。 使用可能なオプションは次のとおりです。
authenticated
以前に認証されたユーザーを暗黙的に受け入れます。追加の構成は必要ありません。
html-form
ユーザーが HTML フォームを通じて許可を提供します。 デフォルト・フォームまたはカスタム・フォームを使用できます。

デフォルト・フォームを使用するには、az-default-form: true と指定します。 カスタム・フォームを使用するには、 az-default-form: falseを指定します。

以下のプロパティーを指定します。
  • az-table-dynamic-entries: 許可同意フォームに自動的に追加されるスコープを指定するコンテキスト変数の名前。
  • az-form-time-limit: フォーム送信の許容時間。
カスタム・フォームを使用する場合は、以下のプロパティーを指定します。
  • az-custom-form: フォームの場所。
  • az-custom-form-tls-client-profile: リモート・サーバーへの接続を保護するために使用される TLS クライアント・プロファイル。
disabled
許可が無効です。処理のこの側面がスキップされます。

ユーザー許可が失敗した場合にアセンブリー処理を停止するには、az-stop-on-error: true と指定します。 許可が無効になっていない場合、このフィールドは必須です。

 ストリング 

# basic authentication with LDAP registry

- user-security:
    version: 2.0.0
    title: user-security
    factor-id: default
    extract-identity-method: basic
    ei-stop-on-error: true
    user-auth-method: ldap
    ldap-registry: corporate-ldap
    au-stop-on-error: true
    user-az-method: authenticated
    az-stop-on-error: true