Halaman ini diterjemahkan oleh Cloud Translation API.

Keamanan kilometer terakhir

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Lihat dokumentasi Apigee Edge.

Keamanan last-mile melindungi layanan backend yang di-proxy oleh Layanan API. Tujuan utama keamanan last mile adalah untuk mencegah serangan "end-run", di mana developer aplikasi menemukan URL untuk layanan backend dan melewati proxy API untuk langsung mengakses URL backend.

Berikut adalah opsi utama untuk menyiapkan keamanan last mile:

TLS/SSL Klien
Autentikasi keluar

TLS/SSL Klien

Mekanisme utama untuk mengamankan last mile adalah TLS/SSL klien, yang juga dikenal sebagai 'autentikasi bersama'.

Lihat Opsi untuk mengonfigurasi TLS.

Autentikasi keluar

Keamanan last-mile juga dapat diterapkan dengan mewajibkan proxy API untuk memberikan kredensial ke layanan backend.

Misalnya, Anda mungkin ingin proxy API menampilkan kunci API ke layanan backend Anda. Anda juga dapat membuat proxy API mendapatkan dan menyajikan token akses kredensial klien OAuth.

Kunci API

Kunci API dapat diterapkan pada permintaan keluar dari proxy API ke layanan backend. Hal ini mengasumsikan bahwa layanan backend adalah API yang dapat menerbitkan dan memvalidasi kunci API.

Jika Anda menyiapkan proxy API untuk menampilkan kunci API pada permintaan keluar, Anda harus menyimpan kunci API di tempat yang dapat diambil oleh proxy API saat runtime. Salah satu lokasi yang tersedia untuk menyimpan kunci API adalah peta nilai/kunci. Lihat kebijakan Operasi Peta Nilai Kunci.

Anda dapat menggunakan jenis kebijakan AssignMessage untuk menambahkan kunci API sebagai header HTTP, parameter kueri, atau elemen payload ke permintaan keluar. Lihat Menetapkan kebijakan Pesan.

Kredensial klien OAuth

Kredensial klien OAuth dapat digunakan untuk menambahkan lapisan pencabutan ke kunci API. Jika layanan backend Anda mendukung kredensial klien OAuth, Anda dapat mengonfigurasi proxy API untuk memberikan token akses kredensial klien untuk setiap permintaan.

Proxy API harus dikonfigurasi untuk melakukan panggilan keluar guna mendapatkan token akses dari endpoint token Anda. Proxy API juga diperlukan untuk menyimpan token akses ke dalam cache, agar tidak mendapatkan token akses baru untuk setiap panggilan.

Sejumlah pendekatan dapat digunakan untuk menerapkan kredensial klien keluar.

Anda dapat mengubah contoh ini untuk memanggil endpoint token guna mendapatkan token akses. Contoh ini menggunakan JavaScript untuk melampirkan token ke permintaan keluar sebagai header Otorisasi HTTP. Anda juga dapat menggunakan kebijakan Pesan Penugasan untuk tujuan ini.

SAML

Jenis kebijakan GenerateSAMLAssertion dapat digunakan untuk melampirkan pernyataan SAML ke pesan permintaan XML keluar, dari proxy API ke layanan backend. Hal ini memungkinkan layanan backend melakukan autentikasi dan otorisasi pada permintaan yang diterima dari proxy API.

Lihat kebijakan Pernyataan SAML.