Citrix Application Delivery Managementサービス

API デプロイへのポリシーの追加

API トラフィックに対してさまざまなセキュリティポリシーを設定できます。この設定では、ポリシーに必要なトラフィック選択基準とパラメータを指定する必要があります。API 定義にポリシーを追加するには、次の手順を実行します。

  1. [ アプリケーション] > [API Gateway] > [ポリシー]に移動します。

  2. [追加] をクリックします。

  3. ポリシーグループの名前を指定します。

  4. リストから配置を選択します

  5. ポリシーを設定するアップストリームサービスをリストから選択します

  6. [ Add ] をクリックして、トラフィックセレクタとポリシータイプを選択します。

    トラフィックセレクタ -トラフィック選択基準には、API リソースパスまたはパスプレフィックス、メソッド、ポリシーが含まれます。

    トラフィック選択基準を指定するには、次のいずれかのオプションを使用できます。

    • API リソース 」— ポリシーを適用する API リソースとそのメソッドを選択します。キーワードを使用して API リソースとメソッドを検索できます。

      トラフィックセレクタ

      この例では、POSTメソッドを持つ/userのAPI リソースが一覧表示されます。

    • [カスタムルール ] — このタブでは、カスタムパスプレフィックスと複数の方法を指定できます。

      設定したポリシーは、API トラフィック選択のカスタムルールに一致する着信 API リクエストに適用されます。

      カスタムポリシールール

      この例では、 認証なしポリシーは/petプレフィックスとPOSTメソッドを持つ API リソースに適用されます。

    [ Policy] で、選択した API リソースおよびメソッドに適用するポリシーをリストから選択します。各ポリシーの詳細については、「ポリシータイプ」を参照してください。

  7. オプションで、ポリシータイプを移動して優先順位を設定できます。優先度の高いポリシータイプが最初に適用されます。

  8. [ 保存 ] をクリックしてポリシーを追加します。ポリシーをすぐに適用する場合は、[ 保存して適用]をクリックします。

ポリシータイプ

API ポリシーを設定する場合、API リソースおよびメソッドに適用する次のポリシーを選択できます。

認証と承認

API リソースは、アプリケーションまたは API サーバーでホストされます。このような API リソースにアクセス制限を適用する場合は、認証ポリシーと承認ポリシーを使用できます。これらのポリシーは、着信 API リクエストにリソースへのアクセスに必要なアクセス許可があるかどうかを確認します。

次のポリシーを使用して、選択した API リソースの認証と承認を定義します。

‘No-Auth’

選択したトラフィックの認証をスキップするには、このポリシーを使用します。

‘Auth-Basic’

このポリシーは、ローカル認証を HTTP 基本認証スキームで使用するように指定します。ローカル認証を使用するには、Citrix ADCでユーザーアカウントを作成する必要があります。

OAuth

OAuth では、OAuth2 を使用してクライアントを認証し、アクセストークンを発行するために、外部 ID プロバイダーが必要です。クライアントがこのトークンを API ゲートウェイのアクセスクレデンシャルとして提供すると、設定された値に基づいてトークンが検証されます。

  • JWKS URI -JWT(JSON ウェブトークン)検証用の JWK(JSON ウェブキー)を持つエンドポイントの URL

  • 発行者 -認証サーバの ID(通常は URL)。

  • 対象ユーザー -トークンが適用可能なサービスまたはアプリケーションの ID。

  • [ 保存する要求] : アクセス許可は、要求と期待される値のセットとして表されます。クレームの値を CSV 形式で指定します。

  • イントロスペクト URI -認証サーバーのイントロスペクションエンドポイントの URL。この URL は、不透明なアクセストークンを確認するために使用されます。これらのトークンの詳細については、「不透明なアクセストークンのOAuth設定」を参照してください。

    イントロスペクト URIを指定した後、 認証サーバにアクセスするためのクライアント IDとクライアントシークレットを指定します

  • 許可されたアルゴリズム -このオプションを使用すると、着信トークン内の特定のアルゴリズムを制限できます。デフォルトでは、サポートされているすべてのメソッドが許可されています。ただし、選択したトラフィックに必要なアルゴリズムを確認することはできます。

    JWT認証

検証が成功すると、API ゲートウェイはクライアントへのアクセスを許可します。

重要:

選択した API リソースの OAuth またはAuth-Basicポリシーを設定する場合は、残りの API リソースのNo Authポリシーを構成します。この設定は、残りのリソースの認証をスキップすることを明示的に示します。

承認

このポリシーは、API リソースにアクセスするために必要なアクセス許可を確認します。アクセス許可は、要求と期待される値のセットとして表されます。このポリシーを構成するには、[ 新しい要求の追加 ] を選択し、以下を指定します。

  • クレーム名
  • クレームの値

認可ポリシー

重要

API ゲートウェイでは、API トラフィックの認証ポリシーと承認ポリシーの両方が必要です。したがって、認証ポリシーを使用して認可ポリシーを設定する必要があります。認証ポリシーは、 OAuth または [Auth-Basic] (#auth-basic) にすることができます。

承認チェックがない場合でも、空の要求を持つ承認ポリシーを作成する必要があります。それ以外の場合、要求は 403 エラーで拒否されます。

レート制限ポリシー

選択した API リソースに与えられる最大負荷を指定します。このポリシーを使用すると、API トラフィックレートを監視し、予防措置を講じることができます。このポリシーを構成するには、以下を指定します。

  • HTTPヘッダー名 -これは、APIリクエストを識別するためにトラフィックをフィルタリングするトラフィックセレクタキーです。また、レート制限ポリシーは、そのような API リクエストにのみ適用および監視します。

  • Threshold :指定された間隔で許可できる要求の最大数。

  • タイムスライス -マイクロ秒単位で指定された間隔。この間隔の間、要求は設定された制限に対して監視されます。デフォルトでは、1000 マイクロ秒 (1 ミリ秒) に設定されています。

  • Limit type :レート制限ポリシーを適用する方法を示すモード。[ バースト ] または [ スムーズ ] の制限タイプを選択できます。

  • [ Action ]:しきい値を超えるトラフィックに対して実行するアクションを定義します。次のいずれかのアクションを指定できます。

    • DROP: 設定されたトラフィック制限を超える要求をドロップします
    • RESET: 要求の接続をリセットします
    • REDIRECT: 設定された redirect_url にトラフィックをリダイレクトします
    • 応答: 標準応答 (429 Too many requests) で応答します。

レート制限ポリシー

WAFポリシー

このポリシーは、セキュリティ侵害、データの損失、および機密性の高いビジネス情報や顧客情報にアクセスする Web サイトへの不正変更を防止します。

WAFポリシーを設定する前にStyleBookを使用してCitrix ADMでWAFプロファイルを作成する

[ WAF プロファイル名] で、作成した WAF プロファイルを選択または指定します。

WAFポリシー

BOTポリシー

このポリシーは、不正なボットを特定し、高度なセキュリティ攻撃からアプライアンスを保護します。

BOT ポリシーを設定する前に、StyleBookを使用してCitrix ADMでBOTプロファイルを作成する

[ ボットプロファイル名] で、作成した BOT プロファイルを指定します。

ボットポリシー

ヘッダー書き換え

このポリシーは、API リクエストとレスポンスのヘッダーを変更するのに役立ちます。HTTP ヘッダーの値を置き換える場合は、次のように指定します。

  • HTTP ヘッダー名: リクエストヘッダーで変更するファイル名です。

    例:Host

  • Header value: オプション、指定したヘッダー名で変更する値文字列。

    例:sample.com

  • ヘッダー新しい値: 指定されたヘッダー値を置き換える新しい値。

    Header 値が指定されていない場合は 、受信した値を指定された値に置き換えて HTTP ヘッダー名にします

    例:example.com

ヘッダー書き換えポリシー

この例では、API リクエストのHostフィールドで、ヘッダー書き換えポリシーsample.comexample.comに置き換わります 。

API デプロイへのポリシーの追加