IBM API Connect 開発者ポータル構成ガイド...

© 2016 IBM Corporation

2016/10/01日本アイ・ビー・エム株式会社

IBM API Connect 開発者ポータル構成ガイド

4. 開発者ポータルのセキュリティーの管理

© 2016 IBM Corporation2

当資料の位置づけ当資料は、API Connectの開発者ポータルの主要なカスタマイズ方

法についてまとめたものです。 V5.0.1を前提としています。

注意事項当資料に含まれる情報は可能な限り正確を期しておりますが、当資

料に記載された内容に関して何ら保証するものではありません。ここでの記載内容はあくまでも支援情報であり、使用者の責任において取扱われるものとし、資料の内容によって受けたいかなる損害に関して一切の保証をいたしません。

製品の新しいリリース、修正などによって動作／仕様が変わる可能性がありますので、必ずマニュアル等で最新の情報をご確認ください。

はじめに


1. 開発者ポータルの一般的な構成2. 開発者ポータルの外観の制御3. 開発者ポータルのコンテンツの制御4. 開発者ポータルのセキュリティーの管理5. 開発者ポータルのユーザーの管理6. 開発者ポータルでのフォーラムの制御

開発者ポータルの構成/カスタマイズ


4. 開発者ポータルのセキュリティーの管理4-1. ブロック対象 IP アドレスの管理4-2. CAPTCHASの構成4-3. フラッディング制御4-4. セッション・タイムアウトおよびセッション限度の構成4-5. ログアウト後の自動最新表示4-6. サイトのパスワード・ポリシーの構成4-7. ユーザー名およびパスワードのオートコンプリート4-8. 2要素認証の使用4-9. セキュリティーの質問の使用4-10. セキュリティー・キットの使用4-11. API のライブ・テストの無効化4-12. CORS警告の無効化

開発者ポータルの構成/カスタマイズ


逆引き開発者ポータルの構成/カスタマイズ

IPアドレスによるアクセス制御したい 4-1. ブロック対象アドレスのIP管理

CAPTHACSを変更したい 4-2. CAPTHCASの構成

フラディング制御をしたい 4-3. フラッディング制御

セッションタイムアウトを変更したい 4-4. セッション・タイムアウトおよびセッション限度の構成

ログアウト後に、画面をリフレシュしたい 4-5. ログアウト後の自動最新表示

パスワード・ポリシーを設定したい 4-6. サイトのパスワード・ポリシーの構成

ユーザー名、パスワードのオートコンプリートを有効にしたい

4-7. ユーザー名およびパスワードのオートコンプリート

2要素認証を構成したい 4-8. 2要素認証の使用

セキュリティ質問を使用したい 4-9. セキュリティの質問の使用

セキュリティ･キットモジュールを有効にして、セキュリティを強化したい

4-10. セキュリティ・キットの使用

APIライブテスト機能を無効にしたい 4-11. APIのライブ・テストの無効化

CORS警告を無効にしたい 4-12. CORS警告の無効化



4-1. ブロック対象 IP アドレスの管理


設定手順管理メニューより、[環境設定] > [ユーザー] > [Restrict by IP]を

選択



ブロックしたいIPを指定

そのIPからアクセスするとエラーメッセージが表示されアクセス不可




4-2. CAPTCHAS の構成


設定手順管理メニューより、[環境設定] > [ユーザー] > [CAPTCHA]を選択



フォーラムやブログ等はデフォルトで設定済み例)・user_loginでCAPTHASを設定するとログイン画面で表示

・説明分を日本語で記述




4-3. フラッディング制御


設定手順管理メニューより、[環境設定] > [ユーザー] > [Login Security]

を選択



設定できる主な項目追跡時間 (Track Time) ユーザーをブロックするまでのログイン失敗の最大数

(Maximum number of login failures before blocking a user) ホストをソフト・ブロックするまでのログイン失敗の最大数

(Maximum number of login failures before soft blocking a host) ホストをブロックするまでのログイン失敗の最大数

(Maximum number of login failures before blocking a host) 進行中の攻撃を検出するまでのログイン失敗の最大数

(Maximum number of login failures before detecting an ongoing attack)



送信先ユーザーの設定




4-4. セッション・タイムアウトおよびセッション限度の構成


設定手順管理メニューより、[環境設定] > [ユーザー] > [Auto Logout]を

選択



主な設定項目自動ログアウトの時間(秒単位) 個々のユーザー・ロールごとのセッション・タイムアウト値(秒単位) ログアウトでのリダイレクト URL の指定

デフォルトは、ログイン画面URL ログアウトダイアログの表示可否セッション期限切れのメッセージ・テキストの指定



タイムアウトによるログアウト時の画面

ログアウトダイアログを表示する設定の場合は、ダイアログが表示後にログアウト(デフォルトは、ログアウトダイアログは非表示)



設定手順管理メニューより、[環境設定] > [ユーザー] > [Session limit]を

選択



主な設定項目アクティブ・セッションのデフォルトの最大数 (Default maximum

number of active sessions) 「セッション限度を超えた場合 (When the session limit is

exceeded)」のアクション「ログアウト・メッセージ重大度 (Logged out message severity)」

リストから、ユーザーがログアウトされたときに受信するメッセージを選択します。デフォルトのメッセージは、「エラー」です。



設定例「When the session limit is exceeded」の設定を「Prevent new

session」に変更

複数のセッションでアクセスすると、セッション限度を超えた場合、その旨のメッセージが表示され、ログインできない




設定例「When the session limit is exceeded」の設定を「Automatically

drop the oldest sessions without prompting.」に変更



4-5. ログアウト後の自動最新表示


設定手順管理メニューより、[環境設定] > [ユーザー] > [Ejector Seat

settings]を選択



設定手順



(参考情報) Ejector Seat settingsのユースケースセッションを終了したユーザーを即座にログアウトするためのモジュール Ejector Seatは、ユーザーがまだログインしているかどうか定期的にチェックするための

JavaScriptコードを提供。ユーザーがログインしていなければ、現行のページがリロードされ、そのユーザーは、匿名ユーザーとしてそのページを見る

このモジュールは、通常、Session limitまたはAutomated Logoutと一緒に使用し、現行ページをリロードし、そのユーザーは、別のロケーションでログインすることで自動的にログアウトされる

一般的な使用方法プライベートアクセスのWebサイトをもっており、ユーザーがアカウントをシェアしていないようにした

い。Session Limitを使用して、一度に一つのロケーションからしかログインできないようにする。しかしながら、ユーザーがそのページをリロードしない限りログアウトされない。Ejector Seatは、構成可能なタイマー(デフォルトは毎分)でajax scriptを実行し、ユーザーがログインしているかどうか確認する。もし、ユーザーがログインしていないのであれば、現行ページはリロードされ、Session Limitが、ユーザーに対して、別のだれかがそのアカウントを使っているためにあなたはログアウトされた旨のメッセージを表示する

このモジュールの別の効果は、あるユーザーが同じDrupalのサイトに対して複数のタブを開いているときに、一つのタブをログアウトすると、すべえてのタブがログアウトされる

パフォーマンスを改善するために、ajaxコールバック(および関連するDrupal bootstarap)は、Drupalのページがフォーカスされている(active front window)ときのみ実行される。ウィンドウがアクティブになれば、即座にスクリプトの期限が切れているかどうかをajax checkする

https://www.drupal.org/project/ejectorseat




4-6. サイトのパスワード・ポリシーの構成


設定手順管理メニューより、[環境設定] > [ユーザー] > [Password

policies]を選択



設定項目パスワード変更ページでのパスワード制約事項の表示指定パスワード期限切れの警告Eメールの定義パスワード・ポリシーの設定

有効期限長さ、大文字、小文字、文字の種類、数字、英数字、数字配置、句読点、

直前の変更時からの経過時間、文字、ユーザー名を含まない、履歴

初回ログイン時のパスワード変更の強制



パスワードの要件の表示


パスワード要件を表示するかどうかの設定

指定したパスワード･ポリシーによって、要件の表示が変更


パスワード・ポリシーで設定可能な項目



環境設定管理メニューより、[環境設定] > [ユーザー] > [No

Autocomplete]を選択



環境設定デフォルトは、autocomplete=off チェックボックスをはずすとオートコンプリート機能が有効ブラウザーの設定にも依存


ユーザーの候補が表示される



4-8. 2要素認証の使用


設定手順管理メニューより、[環境設定] > [ユーザー] > [Two-factor

Authentication(2要素認証)]を選択



設定手順 Enable TFAをチェックすると、2要素

認証用の構成オプションが表示される。




4-9. セキュリティーの質問の使用


設定手順管理メニューより、[モジュール] を選択

モジュール一覧の検索フィールドで「security」を指定し絞込み、「security questions」を有効にする


ユーザーの候補が表示される


設定手順管理メニューより、[環境設定]> [ユーザー]>[Security

Questions]を選択



設定手順秘密の質問とし、独自のものを追加するか、事前提供の中から選択



設定手順設定で、秘密の質問の個数、および利用するフォームの選択



設定例設定で、秘密の質問の個数、および利用するフォームの選択



設定例秘密の質問の個数、利用するフォーム、フラッドの制御時間を設定



設定例初期登録：ログイン画面で秘密の質問の回答を入力



設定例ログイン後、アカウント情報で、秘密の質問の回答を確認可能



設定例間違った回答でログインしようとするとエラー




4-10. セキュリティー・キットの使用


設定手順管理メニューより、[環境設定]> [システム]>[Security Kit]を選択



設定項目セキュリティー・キット・モジュールで使用可能な各種オプション

を構成することにより、Webサイトセキュリティの向上を実現クロスサイト・スクリプティングクロスサイト・リクエスト・フォージェリークリックジャッキング Content Security Policy X-Content-Type-Options X-XSS-Protection HTTP Strict Transport

Security

Security Kit Module https://www.drupal.org/project/seckit


https://www.drupal.org/project/seckit



4-11. API のライブ・テストの無効化


設定手順管理メニューより、[環境設定]> [システム]>[IBM API Connect]

を選択



開発者ポータルのAPIライブテスト機能を無効化し、APIの公開を制限



ライブテスト機能の無効化によりテスト用の画面が非表示




4-12. CORS警告の無効化


設定手順管理メニューより、[環境設定]> [システム]>[IBM API Connect]

を選択



設定手順「強制されない API に対して CORS 警告を表示する」チェック・

ボックスがクリアされていることを確認


IBM API Connect 開発者ポータル構成ガイド...

Documents

Transcript of IBM API Connect 開発者ポータル構成ガイド...