ユーザー・セキュリティー

オンラインで編集する

「ユーザー・セキュリティー」 ポリシーを使用して、ユーザーの資格情報を抽出し、それらの資格情報を認証し、ユーザーから許可を取得します。

表 1. このポリシーをサポートするゲートウェイと、対応するポリシーバージョンを示す表
ゲートウェイ ポリシーのバージョン
DataPower® API Gateway 2.0.0

このトピックでは、アセンブリのユーザーインターフェースでポリシーを設定する方法について説明します。 OpenAPI ソースでポリシーを設定する方法の詳細については、「 user-security」 を参照してください。

製品情報

アセンブリーのユーザー・セキュリティー・アクションを定義するときには、ID 抽出、認証、および許可の処理を定義することも、これらの処理の側面を選択的に無効にすることもできます。 無効にすると、この処理の側面はスキップされます。

ID 抽出が有効である場合は、以下の方式がサポートされます。
  • 基本認証を使用します。追加の構成は必要ありません。
  • コンテキスト変数を使用します。 このメソッドでは、ユーザー名とパスワードを含む変数を指定します。
  • リダイレクトを使用します。 この方式では、リダイレクト先の URL フラグメントと、許容される処理時間を指定します。
  • HTML ログイン・フォームを使用します。 この方式では、デフォルト・フォームとカスタム・フォームのどちらを使用するか、および許容されるフォームの送信時間を指定します。 カスタム・フォームを使用する場合は、フォームの場所とリモート・サーバーへの接続を保護するための TLS クライアント・プロファイルを指定します。
認証が有効である場合は、以下の方式がサポートされます。
  • LDAP サーバーに接続します。 このメソッドでは、接続するサーバーを指定します。
  • 認証エンドポイントに要求を送信します。 このメソッドでは、エンドポイントの URL、接続を保護するための TLS クライアント・プロファイル、追加する応答ヘッダーを選択するためのパターン、および認証された資格情報を含む応答ヘッダーを指定します。
許可が有効である場合は、以下の方式がサポートされます。
  • 以前に認証されたユーザーを暗黙的に受け入れます。追加の構成は必要ありません。
  • HTML 許可フォームを使用します。 この方式では、デフォルト・フォームとカスタム・フォームのどちらを使用するか、および許容されるフォームの送信時間を指定します。 カスタム・フォームを使用する場合は、フォームの場所とリモート・サーバーへの接続を保護するための TLS クライアント・プロファイルを指定します。

このポリシーを REST API フローに付加できます。

プロパティ-

以下の表に、このポリシーのプロパティーをリストします。表には、プロパティーが必須かどうか、入力用の有効な値とデフォルト値、および値のデータ型が示されています。

表 2. ユーザーのセキュリティ ポリシーのプロパティ
プロパティー・ラベル 必須 説明 データ・タイプ
役職 いいえ ポリシーのタイトル。

デフォルト値は user-securityです。

 ストリング
説明 いいえ ポリシーの説明。 ストリング
要因 ID いいえ API コンテキストでのファクター認証の結果を識別する ID。 ストリング
ID 抽出の設定 はい ユーザー資格情報の抽出に使用する方式を選択します。 使用可能なオプションは次のとおりです。
基礎
基本認証を使用します。追加の構成は必要ありません。
コンテキスト変数
資格情報は、 API Connect コンテキスト変数によって提供されます。以下のプロパティーを指定します。
  • ユーザー名のコンテキスト変数 (Username content variable): ユーザー名を取得するために使用されるコンテキスト変数。
  • パスワードのコンテキスト変数: パスワードを取得するために使用されるコンテキスト変数。
HTML フォーム
フォーム・ベースの ID 抽出を使用します。 デフォルト・フォームとカスタム・フォームのどちらを使用するかを選択します。 カスタム・フォームを使用する場合は、以下のプロパティーを指定します。
  • カスタム・フォーム・エンドポイント: フォームの場所。
  • カスタム・フォーム TLS プロファイル: リモート・サーバーへの接続を保護するために使用される TLS クライアント・プロファイル。

「HTML フォーム制限時間」フィールドに、フォームを送信するための制限時間を指定します。

リダイレクト
ID 抽出にリダイレクトを使用します。以下のプロパティーを指定します。
  • リダイレクト URL: ユーザー資格情報を取得するために要求をリダイレクトする URL フラグメント。
  • リダイレクト制限時間: トランザクションが完了するまでの許容時間。
無効
ID 抽出が無効です。処理のこの側面がスキップされます。

ID 抽出が失敗した場合にアセンブリー処理を停止するには、「エラー発生時に停止」を選択します。

 ストリング
ユーザー認証の設定 はい 認証方式を選択します。 使用可能なオプションは次のとおりです。
認証URL
資格情報が外部エンドポイントによって認証されます。以下のプロパティーを指定します。
  • 認証 URL: 認証エンドポイントの URL 。
  • TLS プロファイルの認証: 認証エンドポイントへの接続を保護するために使用される TLS クライアント・プロファイル。
  • 認証応答ヘッダーのパターン: API コンテキストに追加する応答ヘッダーを選択するために使用されるパターン。
  • 認証応答ヘッダーの資格情報: 認証されたユーザー資格情報を含む応答ヘッダー。
LDAP
資格情報が LDAP ユーザー・レジストリーによって認証されます。「LDAP レジストリー」リストから、必要なレジストリーを選択します。
無効
認証は無効です。処理のこの側面がスキップされます。

認証が失敗した場合にアセンブリー処理を停止するには、「エラー発生時に停止」を選択します。

 ストリング
ユーザー許可の設定 はい 許可方式を選択します。 使用可能なオプションは次のとおりです。
認証済み
以前に認証されたユーザーを暗黙的に受け入れます。追加の構成は必要ありません。
HTML フォーム
ユーザーが HTML フォームを通じて許可を提供します。 デフォルト・フォームとカスタム・フォームのどちらを使用するかを選択します。 カスタム・フォームを使用する場合は、以下のプロパティーを指定します。
  • カスタム・フォーム・エンドポイント: フォームの場所。
  • カスタム・フォーム TLS プロファイル: リモート・サーバーへの接続を保護するために使用される TLS クライアント・プロファイル。

「動的テーブル・エントリー」フィールドに、許可同意フォームに自動的に追加されるスコープを指定するコンテキスト変数の名前を入力します。

「HTML フォーム制限時間」フィールドに、フォームを送信するための制限時間を指定します。

無効
許可が無効です。処理のこの側面がスキップされます。

許可が失敗した場合にアセンブリー処理を停止するには、「エラー発生時に停止」を選択します。

 ストリング