Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Lihat
Dokumentasi Apigee Edge.
Last-mile security melindungi layanan backend yang di-proxy-kan oleh API Services. Utama tujuan keamanan kilometer terakhir adalah mencegah apa yang disebut "{i>end-run<i}" serangan yang memungkinkan developer aplikasi menemukan URL untuk layanan backend dan mengabaikan proxy API apa pun untuk langsung masuk ke backend .
Berikut adalah opsi utama untuk menyiapkan keamanan kilometer terakhir:
- TLS/SSL klien
- Autentikasi keluar
TLS/SSL klien
Mekanisme utama untuk mengamankan mil terakhir adalah TLS/SSL klien, yang juga dikenal sebagai 'autentikasi timbal balik'.
Lihat Opsi untuk mengonfigurasi TLS.
Autentikasi keluar
Keamanan kilometer terakhir juga dapat ditegakkan dengan mengharuskan {i> proxy<i} API untuk memberikan kredensial untuk layanan backend.
Misalnya, Anda mungkin ingin proxy API menyajikan kunci API ke layanan backend Anda. Anda juga dapat memiliki proxy API yang memperoleh dan memberikan token akses kredensial klien OAuth.
Kunci API
Kunci API dapat diterapkan ke permintaan keluar dari proxy API ke layanan backend. Ini mengasumsikan bahwa layanan backend adalah API yang mampu menerbitkan dan memvalidasi API tombol.
Jika Anda menyiapkan proxy API untuk menampilkan kunci API pada permintaan keluar, Anda harus menyimpan Kunci API di tempat yang dapat diambil oleh proxy API saat runtime. Satu lokasi tersedia untuk menyimpan kunci API adalah peta kunci/nilai. Lihat Operasi Peta Nilai Kunci kebijakan kami.
Anda dapat menggunakan jenis kebijakan MenetapkanMessage untuk menambahkan kunci API sebagai header HTTP, kueri parameter, atau elemen payload ke permintaan keluar. Lihat Menetapkan kebijakan Pesan.
Kredensial klien OAuth
Kredensial klien OAuth dapat digunakan untuk menambahkan lapisan pencabutan ke kunci API. Jika layanan backend mendukung kredensial klien OAuth, Anda dapat mengonfigurasi proxy API untuk menampilkan token akses kredensial klien untuk setiap permintaan.
Proxy API harus dikonfigurasi untuk melakukan pemanggilan guna memperoleh token akses dari endpoint. Proxy API juga diperlukan untuk meng-cache token akses, untuk mencegahnya mendapatkan token akses baru untuk setiap panggilan.
Sejumlah pendekatan dapat digunakan untuk menerapkan kredensial klien keluar.
Anda dapat mengubah contoh ini untuk memanggil endpoint token guna memperoleh token akses. Contoh ini menggunakan JavaScript untuk melampirkan token ke permintaan keluar sebagai header Otorisasi HTTP. Anda bisa juga menggunakan Tugaskan Kebijakan pesan untuk tujuan ini.
SAML
Jenis kebijakan GenerateSAMLAssertion dapat digunakan untuk melampirkan pernyataan SAML ke permintaan email keluar Pesan permintaan XML, dari proxy API ke layanan backend. Cara ini memungkinkan layanan backend untuk melakukan otentikasi dan otorisasi atas permintaan yang diterima dari proxy API.
Lihat SAML Assertion kebijakan yang relevan.