Halaman ini diterjemahkan oleh Cloud Translation API.

Keamanan kilometer terakhir

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Keamanan last-mile melindungi layanan backend yang di-proxy-kan oleh Layanan API. Tujuan utama dari keamanan kilometer terakhir adalah untuk mencegah apa yang disebut serangan "end-run", yaitu saat developer aplikasi menemukan URL untuk layanan backend dan mengabaikan proxy API apa pun untuk langsung mencapai URL backend.

Berikut adalah opsi utama untuk menyiapkan keamanan kilometer terakhir:

TLS/SSL Klien
Autentikasi keluar

TLS/SSL Klien

Mekanisme utama untuk mengamankan kilometer terakhir adalah TLS/SSL klien, yang juga dikenal sebagai 'autentikasi bersama'.

Lihat Opsi untuk mengonfigurasi TLS.

Autentikasi keluar

Keamanan kilometer terakhir juga dapat diterapkan dengan mewajibkan proxy API untuk memberikan kredensial ke layanan backend.

Misalnya, Anda mungkin ingin agar proxy API menyediakan kunci API untuk layanan backend Anda. Anda juga dapat meminta proxy API untuk mendapatkan dan memberikan token akses kredensial klien OAuth.

Kunci API

Kunci API dapat diterapkan ke permintaan keluar dari proxy API ke layanan backend. Hal ini mengasumsikan bahwa layanan backend adalah API yang mampu menerbitkan dan memvalidasi kunci API.

Jika menyiapkan proxy API untuk menampilkan kunci API pada permintaan keluar, Anda harus menyimpan kunci API di tempat yang dapat diambil oleh proxy API saat runtime. Satu lokasi yang tersedia untuk menyimpan kunci API adalah peta kunci/nilai. Lihat kebijakan Operasi Peta Nilai Kunci.

Anda dapat menggunakan jenis kebijakan ProvideMessage untuk menambahkan kunci API sebagai header HTTP, parameter kueri, atau elemen payload ke permintaan keluar. Lihat Kebijakan Menetapkan Pesan.

Kredensial klien OAuth

Kredensial klien OAuth dapat digunakan untuk menambahkan lapisan pencabutan ke kunci API. Jika layanan backend Anda mendukung kredensial klien OAuth, Anda dapat mengonfigurasi proxy API untuk memberikan token akses kredensial klien untuk setiap permintaan.

Proxy API harus dikonfigurasi untuk melakukan pemanggilan guna mendapatkan token akses dari endpoint token Anda. Proxy API juga diperlukan untuk menyimpan token akses ke cache agar tidak mendapatkan token akses baru untuk setiap panggilan.

Sejumlah pendekatan dapat digunakan untuk menerapkan kredensial klien keluar.

Anda dapat mengubah contoh ini untuk memanggil endpoint token guna mendapatkan token akses. Contoh ini menggunakan JavaScript untuk melampirkan token ke permintaan keluar sebagai header Otorisasi HTTP. Anda juga dapat menggunakan Tetapkan kebijakan Pesan untuk tujuan ini.

SAML

Jenis kebijakan GenerateSAMLAssertion dapat digunakan untuk melampirkan pernyataan SAML ke pesan permintaan XML keluar, dari proxy API ke layanan backend. Hal ini memungkinkan layanan backend melakukan autentikasi dan otorisasi pada permintaan yang diterima dari proxy API.

Lihat Kebijakan Assertion SAML.