您正在查看 Apigee Edge 文档。
前往 Apigee X 文档。 信息
管理代理和共享流软件包中的 PII 屏蔽
在同步过程中,API Hub 连接器集成会将您的 API 代理软件包上传到 API Hub。这些软件包可能在政策配置中包含敏感数据或个人身份信息 (PII)。借助此功能,您可以在将软件包上传到 API Hub 之前屏蔽已识别的个人身份信息字段。
遮盖方法
PII 遮盖功能通过 XPath 表达式应用于 XML 格式的代理和共享流软件包中的政策配置内的特定元素,但不会应用于软件包中的其他常规 XML 元素。此功能分为两部分:
默认遮罩
Apigee Edge 包含一个预定义的内置 XPath 表达式列表,可自动定位到常见的 PII 字段。系统会在上传过程中自动应用这些遮盖。
默认遮盖列表:
| 政策名称 | 字段(或值)说明 | XPath 表达式 |
|---|---|---|
AccessEntity |
实体标识符 | //AccessEntity/EntityIdentifier |
AccessEntity |
辅助标识符 | //AccessEntity/SecondaryIdentifier |
BasicAuthentication |
用户字段值 | //BasicAuthentication/User |
BasicAuthentication |
密码字段值 | //BasicAuthentication/Password |
ConnectorCallout |
要发送给扩展程序的 JSON 请求正文 | //ConnectorCallout/Input |
FlowCallout |
传递给流程调用注释的参数的值 | //FlowCallout/Parameter//FlowCallout/Parameters/Parameter |
HMAC |
用于 HMAC 计算的密钥 | //HMAC/SecretKey |
HMAC |
要签名的消息内容 | //HMAC/Message |
HMAC |
HMAC 验证值 | //HMAC/VerificationValue |
JavaCallout |
传递的属性(敏感配置/数据) | //JavaCallout/Properties/Property |
Javascript |
内嵌来源 | //Javascript/Source |
Javascript |
属性值 | //Javascript/Properties/Property |
GenerateJWS |
私钥值 | //GenerateJWS/PrivateKey/Value |
GenerateJWS |
私钥密码 | //GenerateJWS/PrivateKey/Password |
GenerateJWS |
私钥 ID | //GenerateJWS/PrivateKey/Id |
GenerateJWS |
密钥值 | //GenerateJWS/SecretKey/Value |
GenerateJWS |
密钥 ID | //GenerateJWS/SecretKey/Id |
VerifyJWS |
JWKS 公钥 | //VerifyJWS/PublicKey/JWKS |
VerifyJWS |
公钥值 | //VerifyJWS/PublicKey/Value |
VerifyJWS |
密钥值 | //VerifyJWS/SecretKey/Value |
GenerateJWT |
关键标头值 | //GenerateJWT/CriticalHeaders |
GenerateJWT |
用于为 JWT 签名的私钥值 | //GenerateJWT/PrivateKey/Value |
GenerateJWT |
私钥密码 | //GenerateJWT/PrivateKey/Password |
GenerateJWT |
私钥 ID | //GenerateJWT/PrivateKey/Id |
GenerateJWT |
密钥值 | //GenerateJWT/SecretKey/Value |
GenerateJWT |
密钥 ID | //GenerateJWT/SecretKey/Id |
VerifyJWT |
公钥 | //VerifyJWT/PublicKey/Value |
VerifyJWT |
密钥 | //VerifyJWT/SecretKey/Value |
KeyValueMapOperations |
初始条目和 PUT 操作的值 | //KeyValueMapOperations/InitialEntries/Entry/Value//KeyValueMapOperations/Put/Value |
Ldap |
用户名和密码字段值 | //Ldap/Authentication/UserName//Ldap/Authentication/Password |
OAuthV1 |
令牌 | //OAuthV1/Tokens/Token |
OAuthV1 |
访问令牌 | //OAuthV1/AccessToken |
OAuthV1 |
属性值 | //OAuthV1/Attributes/Attribute |
OAuthV1 |
验证方代码 | //OAuthV1/VerifierCode |
OAuthV1 |
应用用户 ID | //OAuthV1/AppUserId |
OAuthV1 |
请求令牌 | //OAuthV1/RequestToken |
OAuthV2 |
属性值 | //OAuthV2/Attributes/Attribute |
GetOAuthV2Info |
访问令牌 | //GetOAuthV2Info/AccessToken |
GetOAuthV2Info |
授权代码 | //GetOAuthV2Info/AuthorizationCode |
GetOAuthV2Info |
客户 ID | //GetOAuthV2Info/ClientId |
GetOAuthV2Info |
刷新令牌 | //GetOAuthV2Info/RefreshToken |
RevokeOAuthV2 |
应用 ID | //RevokeOAuthV2/AppId |
RevokeOAuthV2 |
最终用户 ID | //RevokeOAuthV2/EndUserId |
SetOAuthV2Info |
访问令牌 | //SetOAuthV2Info/AccessToken |
SetOAuthV2Info |
属性值 | //SetOAuthV2Info/Attributes/Attribute |
DeleteOAuthV2Info |
访问令牌值 | //DeleteOAuthV2Info/AccessToken |
DeleteOAuthV2Info |
授权代码值 | //DeleteOAuthV2Info/AuthorizationCode |
StatisticsCollector |
统计值 | //StatisticsCollector/Statistics/Statistic |
VerifyAPIKey |
硬编码的 API 密钥 | //VerifyAPIKey/APIKey |
管理自定义遮罩
借助专用 API,您可以提交自定义的 XPath 表达式列表,以遮盖您确定为 PII 的特定字段,从而确保满足您独特的数据隐私保护需求。
您可以使用 /v1/organizations/<var>ORG_NAME/uapim/proxymasks Edge 管理 API 端点来管理组织的自定义 PII 遮盖。您必须拥有 orgadmin 角色才能执行这些操作。
该 API 针对给定组织的单个 XPath 列表(名为 proxymasks)运行。
| 方法 | 资源 | 摘要 | 说明 |
|---|---|---|---|
GET |
/v1/organizations/ORG_NAME/uapim/proxymasks |
检索“proxymasks”XPath 列表 | 获取给定组织的“proxymasks”的完整 XPath 表达式列表。 |
PUT |
/v1/organizations/ORG_NAME/uapim/proxymasks |
创建或替换“proxymasks”XPath 列表 | 如果“proxymasks”列表不存在,则创建该列表;如果该列表存在,则完全替换其内容。 |
DELETE |
/v1/organizations/ORG_NAME/uapim/proxymasks |
删除“proxymasks”XPath 列表 | 删除组织中“proxymasks”列表中的所有 XPath。 |
POST |
/v1/organizations/ORG_NAME/uapim/proxymasks/append |
将 XPath 附加到“proxymasks”列表 | 将一个或多个 XPath 字符串添加到现有“proxymasks”列表的末尾。 |
POST |
/v1/organizations/ORG_NAME/uapim/proxymasks/deleteItems |
从“proxymasks”列表中删除特定 XPath | 从“proxymasks”列表中移除特定 XPath 字符串。与确切的字符串匹配。 |
用于创建、替换、获取、附加或删除 XPath 列表中的项的所有请求和成功响应均使用以下 JSON 架构:
{ "xpaths": [ "//Path/To/Element" ] }
| 字段 | 类型 | 说明 |
|---|---|---|
xpaths |
字符串数组 | 要屏蔽的 XPath 表达式字符串列表。此字段是必填字段。 |
1. 创建或替换自定义 XPath 列表 (PUT)
使用 PUT 方法创建新的自定义列表或完全替换现有列表的内容。所有现有 XPath 都会被覆盖。
curl -X PUT https://api.enterprise.apigee.com/v1/organizations/ORG_NAME/uapim/proxymasks \ -H "Authorization: Bearer OAUTH_TOKEN" \ -H "Content-Type: application/json" \ -d '{ "xpaths": [ "//StatisticsCollector/Statistics/Statistic[@name='caller']", "//AssignMessage/AssignVariable[Name='password']/Value" ] }'
更新完成后,系统会显示 201 Created 或 200K 响应以及以下消息:Success response (201 Created or 200 OK)
{ "xpaths": [ "//StatisticsCollector/Statistics/Statistic[@name='caller']", "//AssignMessage/AssignVariable[Name='password']/Value" ] }
2. 检索自定义 XPath 列表 (GET)
使用 GET 方法检索当前自定义 XPath 表达式列表。
curl -X GET https://api.enterprise.apigee.com/v1/organizations/ORG_NAME/uapim/proxymasks \ -H "Authorization: Bearer OAUTH_TOKEN"
检索完成后,系统会显示 200K 响应,其中包含以下消息:Success response (200 OK):
{ "xpaths": [ "//StatisticsCollector/Statistics/Statistic[@name='caller']", "//AssignMessage/AssignVariable[Name='password']/Value" ] }
3. 将 XPath 附加到列表(POST 附加)
使用 POST 方法可将一个或多个 XPath 表达式附加到现有列表,而不会覆盖当前内容。
curl -X POST https://api.enterprise.apigee.com/v1/organizations/ORG_NAME/uapim/proxymasks/append \ -H "Authorization: Bearer OAUTH_TOKEN" \ -H "Content-Type: application/json" \ -d '{ "xpaths": [ "//New/Appended/XPath" ] }'
追加完成后,系统会显示 200K 响应,其中包含以下消息:Success response (200 OK):
{ "xpaths": [ "//StatisticsCollector/Statistics/Statistic[@name='caller']", "//AssignMessage/AssignVariable[Name='password']/Value", "//New/Appended/XPath" ] }
4. 从列表中删除特定 XPath(POST deleteItems)
使用 POST 方法从现有列表中移除特定 XPath 表达式。请求必须包含要移除的确切 XPath 字符串。
curl -X POST https://api.enterprise.apigee.com/v1/organizations/ORG_NAME/uapim/proxymasks/deleteItems \ -H "Authorization: Bearer OAUTH_TOKEN" \ -H "Content-Type: application/json" \ -d '{ "xpaths": [ "//New/Appended/XPath" ] }'
删除完成后,系统会显示 200K 响应,其中包含以下消息:Success response (200 OK):
{ "xpaths": [ "//StatisticsCollector/Statistics/Statistic[@name='caller']", "//AssignMessage/AssignVariable[Name='password']/Value" ] }
5. 删除整个自定义 XPath 列表 (DELETE)
使用 DELETE 方法可完全移除自定义 XPath 列表。此操作只会移除自定义掩码;默认掩码仍会应用。
curl -X DELETE https://api.enterprise.apigee.com/v1/organizations/ORG_NAME/uapim/proxymasks \ -H "Authorization: Bearer OAUTH_TOKEN"
删除完成后,系统会显示“204 No Content”响应以及以下消息:Success response (204 No Content):
HTTP/1.1 204 No Content
更新了屏蔽的 app bundle
修改自定义 PII 遮盖配置后,之前上传的包含旧版遮盖配置的 API 代理软件包需要使用最新遮盖重新处理。如需使用最新的遮盖设置更新套装,请提交支持服务工单以启动必要的数据重新处理流程。