Przegląd
W ramach integracji łącznika centrum interfejsów API przesyłanie metadanych pakietów proxy interfejsu API i pakietów sharedflow jest synchronizowane z centrum interfejsów API. Te pakiety mogą zawierać informacje umożliwiające identyfikację osób lub inne dane wrażliwe w konfiguracjach zasad. Ta funkcja umożliwia maskowanie zidentyfikowanych pól informacji umożliwiających identyfikację, zanim pakiety zostaną przesłane do centrum interfejsów API, co zapewnia prywatność danych i zgodność z przepisami w środowisku Edge for Private Cloud.
Podejście do maskowania
Maskowanie informacji umożliwiających identyfikację jest stosowane za pomocą wyrażeń XPath, które umożliwiają wybieranie konkretnych elementów w konfiguracjach zasad w formacie XML w pakietach. Funkcja jest podzielona na 2 części.
Domyślne maski
Apigee Edge na potrzeby Private Cloud zawiera wstępnie zdefiniowaną, wbudowaną listę wyrażeń XPath (nazywaną domyślnymi maskami), które automatycznie kierują działania na pola znane jako potencjalne źródła informacji umożliwiających identyfikację osoby w różnych zasadach.
Potencjalne źródła informacji umożliwiających identyfikację i domyślne maski
W tabeli poniżej znajdziesz zasady i elementy, w przypadku których stosowane jest domyślne maskowanie:
| Nazwa zasady | Element wrażliwy | Domyślny XPath maski | Uzasadnienie |
|---|---|---|---|
BasicAuthentication |
Nazwa użytkownika zakodowana na stałe | //BasicAuthentication/User |
Bezpośrednio przechowuje tożsamość użytkownika w postaci zwykłego tekstu. |
BasicAuthentication |
Hasło zakodowane na stałe | //BasicAuthentication/Password |
Bezpośrednio przechowuje hasło w postaci zwykłego tekstu. |
GenerateJWT |
Klucz symetryczny (tajny) | //GenerateJWT/SecretKey/Value |
Zakodowany na stałe klucz szyfrowania/podpisywania symetrycznego. |
GenerateJWT |
Klucz prywatny | //GenerateJWT/PrivateKey/Value |
Klucz prywatny w formacie PEM do podpisywania asymetrycznego. |
GenerateJWT |
Hasło klucza prywatnego | //GenerateJWT/PrivateKey/Password |
Hasło do odszyfrowania klucza prywatnego. |
GenerateJWS |
Klucz symetryczny (tajny) | //GenerateJWS/SecretKey/Value |
Zakodowany na stałe klucz szyfrowania/podpisywania symetrycznego. |
GenerateJWS |
Klucz prywatny | //GenerateJWS/PrivateKey/Value |
Klucz prywatny w formacie PEM do podpisywania asymetrycznego. |
GenerateJWS |
Hasło klucza prywatnego | //GenerateJWS/PrivateKey/Password |
Hasło do odszyfrowania klucza prywatnego. |
VerifyJWT |
Klucz symetryczny (tajny) | //VerifyJWT/SecretKey/Value |
Zakodowany na stałe klucz symetryczny do weryfikacji. |
VerifyJWS |
Klucz symetryczny (tajny) | //VerifyJWS/SecretKey/Value |
Zakodowany na stałe klucz symetryczny do weryfikacji. |
HMAC |
Udostępniony klucz tajny | //HMAC/SecretKey |
Zakodowany na stałe klucz tajny do obliczania HMAC. |
KeyValueMapOperations |
Wartość zakodowana na stałe (umieszczona) | //KeyValueMapOperations/Put/Value |
Obiekt tajny zakodowany na stałe jest zapisywany w KVM. |
ServiceCallout |
Nazwa użytkownika uwierzytelniania podstawowego | //ServiceCallout//Authentication/BasicAuth/UserName |
Zakodowana na stałe nazwa użytkownika do uwierzytelniania backendu. |
ServiceCallout |
Hasło uwierzytelniania podstawowego** | //ServiceCallout//Authentication/BasicAuth/Password |
Hasło zakodowane na stałe na potrzeby uwierzytelniania backendu. |
SAMLAssertion |
Wartość klucza prywatnego | //SAMLAssertion//PrivateKey/Value |
Klucz prywatny do odszyfrowywania lub podpisywania. |
SAMLAssertion |
Hasło klucza prywatnego | //SAMLAssertion//PrivateKey/Password |
Hasło do odszyfrowania klucza prywatnego. |
Maski niestandardowe
W przypadku pól, które uznasz za informacje umożliwiające identyfikację, ale które nie są objęte domyślnymi maskami (np. w konfiguracji niestandardowej w zasadach), możesz podać własną listę wyrażeń XPath (maski niestandardowe).
Maskami niestandardowymi zarządza się, aktualizując właściwość konfiguracji w pliku uapim-connector.properties w systemie Edge for Private Cloud.
Konfigurowanie masek niestandardowych
Aby dodać niestandardowe ścieżki maskowania, zaktualizuj właściwość conf_uapim_connector.uapim.mask.xpaths w pliku konfiguracyjnym oprogramowania sprzęgającego:
- Ścieżka pliku konfiguracji:
/opt/apigee/customer/application/uapim-connector.properties - Usługa:
conf_uapim_connector.uapim.mask.xpaths
Właściwość przyjmuje rozdzieloną przecinkami listę wyrażeń XPath, które są kierowane na konkretne elementy, których wartości chcesz zamaskować.
Przykładowa konfiguracja
Aby zamaskować wartość zmiennej niestandardowej i pole statystyki, ustaw właściwość w ten sposób:
conf_uapim_connector.uapim.mask.xpaths=//StatisticsCollector/Statistics/Statistic[@name='caller'],//StatisticsCollector/Statistics/Statistic[@name='location'],//AssignMessage/AssignVariable[Name='password']/Value
| Wyrażenie XPath | Element zamaskowany | Cel |
|---|---|---|
//StatisticsCollector/Statistics/Statistic[@name='caller'] |
Wartość statystyki (gdzie name='caller') | Maskuje poufne dane identyfikacyjne rozmówcy. |
//AssignMessage/AssignVariable[Name='password']/Value |
Przypisz wartość zmiennej (gdzie Name='password') | Maskuje zakodowane na stałe wartości haseł. |
Zamaskowane zasady
Wartość elementów docelowych zostanie zamaskowana. Zamaskowane treści są przesyłane do centrum interfejsów API.
Przykładowe zasady 1 (StatisticsCollector – zamaskowane):
<StatisticsCollector name="publishPurchaseDetails"> <Statistics> <Statistic name="caller" type="string">****</Statistic> <Statistic name="location" type="string">****</Statistic> </Statistics> </StatisticsCollector>