对 API 实施安全需求

要对 API 实施安全需求,请应用先前创建的安全方案组件,此组件定义 API 安全配置的各个方面。

关于此任务

注:
  • 此任务与配置 OpenAPI 3.0 API 定义相关。 有关如何配置 OpenAPI 2.0 API 定义的详细信息,请参阅 编辑 OpenAPI 2.0 API 定义
  • OpenAPI 3.0 API 仅支持 DataPower® API Gateway,而不支持 DataPower Gateway (v5 compatible)
  • 有关当前 OpenAPI 3.0 支持限制的详细信息,请参阅 IBM® API Connect 中的 OpenAPI 3.0 支持

您可以使用 API Designer UI 应用程序或使用基于浏览器的 API Manager UI 来完成此任务。

有关如何创建和配置安全方案组件的详细信息,请参阅 定义安全方案组件

对 API 应用安全方案时,存在以下限制:
  • 您对一个 API 应用的 API 密钥安全方案不能超过两个。
  • 如果对客户机私钥应用 API 密钥安全方案,那么还必须对客户机标识应用 API 密钥安全方案。
  • 如果需要应用程序开发者提供客户机标识和客户机私钥,那么必须分别应用两个单独的 API 密钥安全方案。
  • 无论客户机标识是在请求头中发送,还是作为查询参数发送,您最多只能有一个客户机标识类型的 API 密钥方案。
  • 无论客户机私钥是在请求头中发送,还是作为查询参数发送,您最多只能有一个客户机私钥类型的 API 密钥方案。
  • 不能对一个 API 应用多个基本安全方案。 如果应用了基本安全方案,那么无法再应用 OAuth 安全方案。
  • 最多可对一个 API 应用一个 OAuth 安全方案。

安全需求指定一个或多个安全方案组件,必须满足该需求的所有条件才能成功调用 API。 您可以定义多个安全需求;在此情况下,如果应用程序满足您定义的任意安全需求,那么应用程序可以调用 API。

您可以随时通过单击 图标 OpenAPI 源图标直接切换到底层 OpenAPI YAML 源。 要返回到设计表单,请单击 表单 图标 表单图标

过程

  1. 打开 API 以进行编辑,如 编辑 OpenAPI 3.0 API 定义中所述。
  2. 展开 常规
  3. 要为 API 创建新的安全需求,请完成以下步骤:
    1. 单击导航窗格中 安全性 旁边的 "添加" 图标 OpenAPI 3.0 API 添加图标
    2. 选择要包含在此安全需求中的安全方案。 列出的安全方案是已在安全方案组件中定义的方案; 请参阅 定义安全方案组件

      如果所选安全方案的类型为 OAuth2,请选择所需的作用域; 可供选择的作用域是在安全方案组件中指定的作用域; 有关更多信息,请参阅 定义 OAuth2 安全方案组件

      如果要将 OAuth2 安全方案应用于 DataPower API Gateway实施的 API ,那么仅当未在与安全方案关联的本机 OAuth 提供者中启用 令牌生成后的高级作用域检查 时,才需要选择任何作用域。 如果在本机 OAuth 提供者中设置了缺省作用域,并且 API 请求不包含任何作用域,那么将使用缺省作用域; 有关更多信息,请参阅 配置本机 OAuth 提供者的作用域

      注: 以下附加需求适用于将与 OAuth 第三方提供程序配合使用的安全方案。 如果选择 OAuth 安全方案来保护使用者 API,那么还必须添加 API 密钥安全方案,因为 X-IBM-Client-Idclient_id 必须包含在安全凭证中,以便能够实施正确的计划配置设置。
    3. 单击创建。 系统将显示安全方案选择;您可以在保存之前再次更改。
    4. 完成后单击 提交
  4. 要修改现有安全需求,请完成以下步骤:
    1. 在导航窗格中单击 安全性 。 这会列示所有先前定义的安全需求;系统将显示每个安全需求中包含的安全方案。
    2. 要更改安全需求的安全方案,请单击所需安全需求旁边的 "编辑" 图标 安全需求编辑图标 ,然后根据需要更改您的安全需求选择。
    3. 完成后单击 提交 ,然后单击 保存
    4. 要删除安全需求,请单击相应的 "删除" 图标 安全需求删除图标,单击 删除 以确认,然后单击 保存
    5. 要禁用 API 的安全性,请清除 需要以下某个安全性需求 复选框,然后单击 保存

后续操作

如需了解LDAP和身份验证的更多信息,请发送电子邮件至 URL ,查看 LDAP身份验证身份验证 URL 用户注册