APIセキュリティ
APIはビジネスシステムへの重要なインターフェイスであり、データフローを管理し、不可欠な機能を実現します。 APIを保護することは、不正アクセスや、機密情報を侵害する可能性のあるデータ侵害を防ぐために重要です。
WorkatoのAPI管理機能は、APIエコシステムを保護する堅牢なツールを提供します。
APIクライアントとアクセスプロファイル
Workatoでは、同じ組織のメンバーなど、ユーザーを論理的にグループ化したAPIクライアントを作成できます。 これらのクライアントは、アクセスプロファイルを通じてAPIコレクションにアクセスできます。 アクセスプロファイルを使用すると、APIを操作できるユーザーと、クライアントがアクセスできるAPIコレクションを制御できます。 さまざまな認証方法の要件を持つアクセスプロファイルを作成し、許可されたIPアドレスやポリシー制限など、より細かな制御を指定できます。
認証方法
Workatoは、API操作を保護するために複数の認証方法をサポートしています。
- 認証トークン:シンプルなトークンベースの認証。
- OAuth 2.0:詳細な権限を許可する堅牢な認可フレームワーク。
- JSON Web Tokens(JWT):ステートレスで安全な情報交換。
- OpenID Connect:OAuth 2.0プロトコルに基づく本人確認。
- OAuth 2.0(Token Introspection):Identity Providersによって発行された外部トークンを検証します。
アクセスプロファイル内で各認証方法を設定できます。 これにより、セキュリティポリシーに従ってAPIクライアントが認証および認可されます。
WorkatoのAPI管理ツールを使用すると、APIの安全性を確保し、業界標準への準拠を維持できます。
mutual TLS(mTLS)の適用
Workatoは、mutual TLS(mTLS)で保護レイヤーを追加します。 mTLSを有効にすると、クライアントはSSLハンドシェイク中に有効な証明書を提示する必要があります。
Workatoはアクセストークンとクライアント証明書の両方を検証します。 これにより、信頼された証明書を持つ認証済みクライアントのみがAPIにアクセスできます。
設定済みの認証方法で証明書ベースの信頼を適用するには、mTLSを使用します。 詳細については、Mutual TLS認証ガイドを参照してください。
Last updated: