Citrix Application Delivery Management

Agregar directivas a una implementación de API

Puede configurar varias directivas de seguridad para el tráfico de la API. Esta configuración requiere que especifique los criterios de selección de tráfico y los parámetros necesarios para una directiva. Realice los siguientes pasos para agregar una directiva a una definición de API:

  1. Vaya a Aplicaciones > API Gateway > Directiva.

  2. Haga clic en Agregar.

  3. Especifique el nombre de un grupo de directivas.

  4. Seleccione una implementación de la lista.

  5. Seleccione un servicio ascendente de la lista para la que desea configurar directivas.

  6. Haga clic en Agregar para seleccionar selectores de tráfico y un tipo de directiva.

    Selector de tráfico : los criterios de selección de tráfico incluyen rutas de recursos de API o prefijos de ruta, métodos y directivas.

    Puede utilizar cualquiera de las siguientes opciones para especificar criterios de selección de tráfico:

    • Recursos de API: Seleccione un recurso de API y sus métodos para los que desea aplicar una directiva. Puede buscar recursos y métodos de API con una palabra clave.

      Selector de tráfico

      En este ejemplo, se enumeran los recursos de API con los/user que tienen el POST método.

    • Regla personalizada : en esta ficha, puede especificar prefijos de ruta personalizados y varios métodos.

      La directiva configurada se aplica a una solicitud de API entrante que coincide con la regla personalizada para la selección del tráfico de API.

      Regla de directiva personalizada

      En este ejemplo, la directiva Sin autenticación se aplica a los recursos de API que tienen el /pet prefijo y el POST método.

    En Directiva, seleccione una directiva de la lista que desee aplicar al recurso y método de API seleccionados. Para obtener más información acerca de cada directiva, consulte Tipos de directivas.

  7. Opcional, puede mover tipos de directivas para establecer una prioridad. Primero se aplican los tipos de directivas con mayor prioridad.

  8. Haga clic en Guardar para agregar una directiva. Si desea aplicar la directiva inmediatamente, haga clic en Guardar y aplicar.

Tipos de directivas

Al configurar una directiva de API, puede seleccionar las siguientes directivas que desea aplicar al recurso y método de la API:

Autenticación y autorización

Los recursos de API están alojados en una aplicación o servidor API. Cuando desee aplicar restricciones de acceso a dichos recursos de API, puede usar las directivas de autenticación y autorización. Estas directivas verifican si la solicitud de API entrante tiene un permiso necesario para acceder al recurso.

Utilice las siguientes directivas para definir la autenticación y autorización para los recursos de API seleccionados:

‘No-Auth’

Utilice esta directiva para omitir la autenticación en el tráfico seleccionado.

‘Auth-Basic’

Esta directiva especifica la autenticación local que se utilizará con el esquema de autenticación básica HTTP. Para utilizar la autenticación local, debe crear cuentas de usuario en Citrix ADC.

OAuth

OAuth requiere un proveedor de identidades externo para autenticar un cliente mediante OAuth2 y emitir un token de acceso. Cuando el cliente proporciona este token como credencial de acceso a una puerta de enlace API, el token se valida en función de los valores configurados.

  • URI JWKS: La URL de un extremo que tiene JWK (JSON Web Key) para la verificación JWT (JSON Web Token)

  • Emisor: La identidad (normalmente una URL) del servidor de autenticación.

  • Audiencia: La identidad del servicio o aplicación para la que se aplica el token.

  • Reclamaciones para guardar : los permisos de acceso se representan como un conjunto de notificaciones y valores esperados. Especifique los valores de notificación en el formato CSV.

  • URI de introspección : URL de extremo de introspección del servidor de autenticación. Esta URL se utiliza para verificar tokens de acceso opacos. Para obtener más información acerca de estos tokens, consulte Configuración de OAuth para tokens de acceso opacos.

    Después de especificar el URI de introspect, especifique el Id. de cliente y el secreto de cliente para tener acceso al servidor de autenticación.

  • Algoritmos permitidos : esta opción le permite restringir ciertos algoritmos en los tokens entrantes. De forma predeterminada, todos los métodos admitidos están permitidos. Sin embargo, puede verificar los algoritmos necesarios para el tráfico seleccionado.

    Autenticación JWT

En caso de validación correcta, la puerta de enlace API concede acceso al cliente.

Importante

Al configurar un OAuth o una Auth-Basic directiva para los recursos de API seleccionados, configure la Sin Auth directiva para los recursos de API restantes. Esta configuración indica explícitamente que desea omitir la autenticación para los recursos restantes.

Autorización

Esta directiva verifica los permisos necesarios para acceder a un recurso API. Los permisos de acceso se representan como un conjunto de notificaciones y valores esperados. Para configurar esta directiva, seleccione Agregar una nueva notificación y especifique lo siguiente:

  • Nombre del reclamo
  • Valores de reclamación

Política de autorización

La puerta de enlace APIimportante

requiere directivas de autenticación y autorización para el tráfico de API. Por lo tanto, debe configurar una directiva de autorización con una directiva de autenticación. La directiva de autenticación puede ser OAuth o [Auth-Basic] (#auth -basic).

Incluso si no tiene ninguna comprobación de autorización, debe crear una política de autorización con reclamaciones vacías. De lo contrario, la solicitud se deniega con un error 403.

Política de límite de tarifas

Especifique la carga máxima dada al recurso API seleccionado. Con esta directiva, puede supervisar la tasa de tráfico de la API y tomar medidas preventivas. Para configurar esta directiva, especifique lo siguiente:

  • Nombre de encabezado HTTP : es una clave de selector de tráfico que filtra el tráfico para identificar las solicitudes de API. Además, la directiva Límite de tarifas se aplica y supervisa sólo a dichas solicitudes de API.

  • Umbral : el número máximo de solicitudes que se pueden permitir en el intervalo especificado.

  • Time Slice - El intervalo especificado en microsegundos. Durante este intervalo, las solicitudes se supervisan en función de los límites configurados. De forma predeterminada, se establece en 1000 microsegundos (1 milisegundo).

  • Tipo de límite : el modo en el que desea aplicar la política de límite de tasa. Puede seleccionar el tipo de límite de ráfaga o Suavizar.

  • Acción : define una acción que desea realizar sobre el tráfico que infringe el umbral. Puede especificar una de las siguientes acciones:

    • DROP: elimina las solicitudes por encima de los límites de tráfico configurados.
    • RESET: restablecela conexión de las solicitudes.
    • REDIRECT: Redirige el tráfico al redirect_url configurado.
    • RESPONDER: Responde con la respuesta estándar (429 Too many requests).

Directiva de límite de tarifas

Política WAF

Esta política evita infracciones de seguridad, pérdida de datos y posibles modificaciones no autorizadas en sitios web que acceden a información confidencial de negocios o clientes.

Antes de cofigurar una política WAF, crear un perfil WAF en Citrix ADM utilizando StyleBook.

En Nombre de perfil WAF, seleccione o especifique el perfil WAF que ha creado.

Política WAF

Política BOT

Esta directiva identifica los robots defectuosos y protege el dispositivo de ataques de seguridad avanzados.

Antes de cofigurar una política de BOT, crear un perfil BOT en Citrix ADM con StyleBook.

En Nombre de perfil de bot, especifique el perfil BOT que ha creado.

Política de BOT

Reescritura de encabezado

Esta directiva le ayuda a modificar el encabezado de las solicitudes y respuestas de API. Si desea reemplazar el valor en el encabezado HTTP, especifique lo siguiente:

  • Nombre de encabezado HTTP: nombre archivado que desea modificar en el encabezado de solicitud.

    Ejemplo:Host

  • Valor de encabezado: opcional, la cadena de valor que desea modificar en el nombre de encabezado especificado.

    Ejemplo:sample.com

  • Nuevo valor de encabezado: El nuevo valor para reemplazar el valor de encabezado especificado.

    Si no se especifica ningún valor de encabezado, sustituye cualquier valor recibido por el valor especificado al Nombre de encabezado HTTP.

    Ejemplo:example.com

Directiva de reescritura de encabezado

En este ejemplo, la directiva de reescritura de encabezado reemplaza sample.com a example.com en el Host campo de una solicitud de API.

Agregar directivas a una implementación de API