หน้านี้ได้รับการแปลโดย Cloud Translation API

การรักษาความปลอดภัยระยะสุดท้าย

คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info

การรักษาความปลอดภัยระยะสุดท้ายจะปกป้องบริการแบ็กเอนด์ที่บริการ API ทำหน้าที่เป็นพร็อกซี เป้าหมายหลักของการรักษาความปลอดภัยระยะสุดท้ายคือการป้องกันการโจมตีที่เรียกว่า "End-Run" ซึ่งนักพัฒนาแอปค้นพบ URL ของบริการแบ็กเอนด์และข้ามพร็อกซี API เพื่อเข้าถึง URL แบ็กเอนด์โดยตรง

ตัวเลือกหลักในการตั้งค่าความปลอดภัยระยะสุดท้ายมีดังนี้

TLS/SSL ของไคลเอ็นต์
การตรวจสอบสิทธิ์ขาออก
โมดูล tls ของ Node.js

TLS/SSL ของไคลเอ็นต์

กลไกหลักในการรักษาความปลอดภัยของระยะสุดท้ายคือ TLS/SSL ของไคลเอ็นต์ หรือที่เรียกว่า "การตรวจสอบสิทธิ์ร่วมกัน"

ดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (Cloud และ Private Cloud)

การตรวจสอบสิทธิ์ขาออก

นอกจากนี้ คุณยังบังคับใช้การรักษาความปลอดภัยระยะสุดท้ายได้โดยกำหนดให้พร็อกซี API แสดงข้อมูลเข้าสู่ระบบต่อบริการแบ็กเอนด์

เช่น คุณอาจต้องการให้พร็อกซี API แสดงคีย์ API ไปยังบริการแบ็กเอนด์ นอกจากนี้ คุณยังอาจให้พร็อกซี API รับและแสดงโทเค็นการเข้าถึงข้อมูลเข้าสู่ระบบไคลเอ็นต์ OAuth ได้ด้วย

คีย์ API

คีย์ API สามารถใช้กับคำขอขาออกจากพร็อกซี API ไปยังบริการแบ็กเอนด์ได้ การดำเนินการนี้ถือว่าบริการแบ็กเอนด์เป็น API ที่สามารถออกและตรวจสอบคีย์ API ได้

หากตั้งค่าพร็อกซี API เพื่อแสดงคีย์ API ในคําขอขาออก คุณต้องจัดเก็บคีย์ API ไว้ในตําแหน่งที่พร็อกซี API จะดึงข้อมูลได้เมื่อรันไทม์ ตำแหน่งที่เก็บคีย์ API ได้ 1 แห่งคือแผนที่คีย์/ค่า ดูนโยบายการดำเนินการกับแผนที่คีย์-ค่า

คุณสามารถใช้ประเภทนโยบาย AssignMessage เพื่อเพิ่มคีย์ API เป็นส่วนหัว HTTP, พารามิเตอร์การค้นหา หรือองค์ประกอบเพย์โหลดในคําขอขาออก ดูกำหนดนโยบายข้อความ

ข้อมูลเข้าสู่ระบบไคลเอ็นต์ OAuth

ข้อมูลเข้าสู่ระบบไคลเอ็นต์ OAuth สามารถใช้เพื่อเพิ่มชั้นของการเพิกถอนให้กับคีย์ API ได้ หากบริการแบ็กเอนด์รองรับข้อมูลเข้าสู่ระบบไคลเอ็นต์ OAuth คุณสามารถกําหนดค่าพร็อกซี API ให้แสดงโทเค็นการเข้าถึงข้อมูลเข้าสู่ระบบไคลเอ็นต์สําหรับคําขอแต่ละรายการ

ต้องกําหนดค่าพร็อกซี API ให้ทําการเรียกให้แสดงผลเพื่อรับโทเค็นการเข้าถึงจากปลายทางโทเค็น นอกจากนี้ พารามิเตอร์นี้ยังต้องแคชโทเค็นการเข้าถึงเพื่อป้องกันไม่ให้รับโทเค็นการเข้าถึงใหม่สำหรับการเรียกแต่ละครั้ง

คุณใช้แนวทางต่างๆ เพื่อติดตั้งใช้งานข้อมูลเข้าสู่ระบบไคลเอ็นต์ขาออกได้

คุณแก้ไขตัวอย่างนี้เพื่อเรียกใช้ปลายทางโทเค็นเพื่อรับโทเค็นการเข้าถึงได้ ตัวอย่างนี้ใช้ JavaScript เพื่อแนบโทเค็นไปกับคำขอขาออกเป็นส่วนหัวการให้สิทธิ์ HTTP นอกจากนี้ คุณยังใช้กำหนดนโยบายข้อความเพื่อวัตถุประสงค์นี้ได้

SAML

ประเภทนโยบาย GenerateSAMLAssertion สามารถใช้เพื่อแนบการยืนยัน SAML กับข้อความคําขอ XML ขาออกจากพร็อกซี API ไปยังบริการแบ็กเอนด์ ซึ่งจะช่วยให้บริการแบ็กเอนด์สามารถดำเนินการตรวจสอบสิทธิ์และให้สิทธิ์ในคำขอที่ได้รับจากพร็อกซี API

ดูนโยบายการยืนยัน SAML

Node.js

หากเป้าหมายของพร็อกซี API เป็นแอปพลิเคชัน Node.js คุณสามารถใช้ข้อบังคับของ Node.js tls เพื่อสร้างการเชื่อมต่อที่ปลอดภัยกับบริการแบ็กเอนด์ คุณส่งคําขอขาออกด้วยโมดูล tls ได้เช่นเดียวกับที่ใช้ใน Node.js โดยพื้นฐานแล้ว คุณต้องเพิ่มคีย์และใบรับรองฝั่งไคลเอ็นต์ (ไฟล์ .pem) ลงในไดเรกทอรี resources/node แล้วโหลดไว้ในสคริปต์ ดูข้อมูลเกี่ยวกับการใช้ข้อบังคับ tls และเมธอดต่างๆ ได้ที่เอกสารประกอบเกี่ยวกับข้อบังคับ tls ของ Node.js ดูข้อมูลเพิ่มเติมได้ที่การทำความเข้าใจการรองรับโมดูล Node.js ของ Edge