APIのセキュリティベストプラクティス
Workato APIレシピは、Workato外部のソースからWorkatoの機能にアクセスできる強力な機能です。 ただし、レシピはビジネスシステム上で操作を実行できるため、APIを介した不正アクセスを回避することが重要です。
APIトークンをパスワードと同様に扱う
APIトークンはパスワードと同様に扱う必要があります。 トークンを所持しているすべての人にAPIアクセスが付与されます。
ベストプラクティスとして、安全でないチャネルを通じてクライアントに配布しないでください。 API所有者と目的のクライアントの両方がアクセスできる安全なメッセージングシステムまたはドキュメントシステムを使用します。
同じAPIトークンを再利用しない
APIトークンはクライアントを識別し、APIダッシュボードでクライアントごとにリクエストを監視できるようにします。 複数の人が同じAPIトークンを持っている場合、誰がAPIに対して呼び出しを行っているかを確実に判断する方法はありません。
APIトークンを定期的に更新する
APIトークンを定期的に更新(または変更)することで、APIトークンが侵害されても長期的なアクセスが提供されないようにできます。 APIトークンの更新は、パスワードの有効期限切れと同様です。
または、JWTトークンを配布して有効期限を設定します。 これにより、トークンの有効期間が制限されます。
IP許可リストを使用する
IPアドレスを許可リストに追加すると、APIアクセス権を持つ送信元IPアドレスが制限されます。 これはクライアントのアクセスプロファイルの一部として実行できます。
許可リストはセキュリティの観点からのベストプラクティスですが、考慮すべき点がいくつかあります:
- 一部のクライアントには固定IPアドレスがない場合があります。たとえば、クライアントがホームネットワークから接続する場合、インターネットプロバイダーがセッションごとに異なるIPを割り当てることがあります。
- 一部のクライアントは複数のIPアドレスから接続する場合があります。たとえば、クライアントが移動中の場合、通常のネットワークから使用するIPと同じIPを使用できないことがあります。
このような場合、IPアドレスを許可リストに追加することがすぐにはできない場合があります。
JWTトークンの使用を検討する
認証シークレットを直接配布する代わりに、JWTトークンを使用します。 JWTトークンは、シークレット自体ではなくAuth Tokenシークレットをカプセル化します。 JWTトークンは署名され、クライアントIDを含み、有効期限を設定できます。 JWTトークンの設定方法について説明します。
APIへのユーザーアクセスを監視する
退職した従業員など、APIへのアクセス権が不要になった人がいる場合は、その人のクライアントプロファイルがWorkatoで無効化または削除されていることを確認してください。
Last updated: