IBM API Connect 開発者ポータル構成ガイド　4章

(1)

2016/10/01

日本アイ・ビー・エム株式会社

IBM API Connect 開発者ポータル構成ガイド

(2)

 当資料の位置づけ

 当資料は、API Connectの開発者ポータルの主要なカスタマイズ方法についてまとめたものです。  V5.0.1を前提としています。

 注意事項

 当資料に含まれる情報は可能な限り正確を期しておりますが、当資料に記載された内容に関して何ら保証するものではありません。ここでの記載内容はあくまでも支援情報であり、使用者の責任において取扱われるものとし、資料の内容によって受けたいかなる損害に関して一切の保証をいたしません。  製品の新しいリリース、修正などによって動作／仕様が変わる可能性がありますので、必ずマニュアル等で最新の情報をご確認ください。

はじめに

(3)

1. 開発者ポータルの一般的な構成

2. 開発者ポータルの外観の制御

3. 開発者ポータルのコンテンツの制御

4. 開発者ポータルのセキュリティーの管理

5. 開発者ポータルのユーザーの管理

6. 開発者ポータルでのフォーラムの制御

開発者ポータルの構成/カスタマイズ

(4)

© 2016 IBM Corporation 4 4. 開発者ポータルのセキュリティーの管理 4-1. ブロック対象 IP アドレスの管理 4-2. CAPTCHASの構成 4-3. フラッディング制御 4-4. セッション・タイムアウトおよびセッション限度の構成 4-5. ログアウト後の自動最新表示 4-6. サイトのパスワード・ポリシーの構成 4-7. ユーザー名およびパスワードのオートコンプリート 4-8. 2要素認証の使用 4-9. セキュリティーの質問の使用 4-10. セキュリティー・キットの使用 4-11. API のライブ・テストの無効化 4-12. CORS警告の無効化

開発者ポータルの構成/カスタマイズ

(5)

逆引き開発者ポータルの構成/カスタマイズ

IPアドレスによるアクセス制御したい 4-1. ブロック対象アドレスのIP管理 CAPTHACSを変更したい 4-2. CAPTHCASの構成フラディング制御をしたい 4-3. フラッディング制御セッションタイムアウトを変更したい 4-4. セッション・タイムアウトおよびセッション限度の構成ログアウト後に、画面をリフレシュしたい 4-5. ログアウト後の自動最新表示パスワード・ポリシーを設定したい 4-6. サイトのパスワード・ポリシーの構成ユーザー名、パスワードのオートコンプリートを有効にしたい 4-7. ユーザー名およびパスワードのオートコンプリート 2要素認証を構成したい 4-8. 2要素認証の使用セキュリティ質問を使用したい 4-9. セキュリティの質問の使用セキュリティ･キットモジュールを有効にして、セキュリティを強化したい 4-10. セキュリティ・キットの使用 APIライブテスト機能を無効にしたい 4-11. APIのライブ・テストの無効化 CORS警告を無効にしたい 4-12. CORS警告の無効化

(6)

6

4. 開発者ポータルのセキュリティーの管理

(7)

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [Restrict by IP]を選択

4-1. ブロック対象 IP アドレスの管理

(8)

4-1. ブロック対象 IP アドレスの管理

(9)

9

4. 開発者ポータルのセキュリティーの管理

(10)

10

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [CAPTCHA]を選択

(11)

4-2. CAPTCHAS の構成

(12)

12

4. 開発者ポータルのセキュリティーの管理

(13)

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [Login Security] を選択

4-3. フラッディング制御

(14)

14

 設定できる主な項目

 追跡時間 (Track Time)

 ユーザーをブロックするまでのログイン失敗の最大数

(Maximum number of login failures before blocking a user)

 ホストをソフト・ブロックするまでのログイン失敗の最大数

(Maximum number of login failures before soft blocking a host)

 ホストをブロックするまでのログイン失敗の最大数

(Maximum number of login failures before blocking a host)

 進行中の攻撃を検出するまでのログイン失敗の最大数

(Maximum number of login failures before detecting an ongoing attack)

(15)

15

 送信先ユーザーの設定

(16)

16

4. 開発者ポータルのセキュリティーの管理

4-4. セッション・タイムアウトおよびセッション限度の

構成

(17)

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [Auto Logout]を選択

4-4. セッション・タイムアウトおよびセッション限度の構成

(18)

4-4. セッション・タイムアウトおよびセッション限度の構成

(19)

4-4. セッション・タイムアウトおよびセッション限度の構成

(20)

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [Session limit]を選択

4-4. セッション・タイムアウトおよびセッション限度の構成

(21)

21

 主な設定項目

 アクティブ・セッションのデフォルトの最大数 (Default maximum

number of active sessions)

 「セッション限度を超えた場合 (When the session limit is

exceeded)」のアクション

 「ログアウト・メッセージ重大度 (Logged out message severity)」

リストから、ユーザーがログアウトされたときに受信するメッセージを選択します。デフォルトのメッセージは、「エラー」です。

(22)

22

 設定例

 「When the session limit is exceeded」の設定を「Prevent new

session」に変更

 複数のセッションでアクセスすると、セッション限度を超えた場合、そ

の旨のメッセージが表示され、ログインできない

(23)

23

4-4. セッション・タイムアウトおよびセッション限度の構成

 設定例

 「When the session limit is exceeded」の設定を「Automatically

(24)

24

4. 開発者ポータルのセキュリティーの管理

(25)

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [Ejector Seat settings]を選択

4-5. ログアウト後の自動最新表示

(26)

26

 設定手順

(27)

27

 (参考情報) Ejector Seat settingsのユースケース

 セッションを終了したユーザーを即座にログアウトするためのモジュール

 Ejector Seatは、ユーザーがまだログインしているかどうか定期的にチェックするための

JavaScriptコードを提供。ユーザーがログインしていなければ、現行のページがリロードされ、そのユーザーは、匿名ユーザーとしてそのページを見る

 このモジュールは、通常、Session limitまたはAutomated Logoutと一緒に使用し、現行ページ

をリロードし、そのユーザーは、別のロケーションでログインすることで自動的にログアウトされる  一般的な使用方法  プライベートアクセスのWebサイトをもっており、ユーザーがアカウントをシェアしていないようにしたい。Session Limitを使用して、一度に一つのロケーションからしかログインできないようにする。しかしながら、ユーザーがそのページをリロードしない限りログアウトされない。Ejector Seatは、構成可能なタイマー(デフォルトは毎分)でajax scriptを実行し、ユーザーがログインしているかどうか確認する。もし、ユーザーがログインしていないのであれば、現行ページはリロードされ、Session Limitが、ユーザーに対して、別のだれかがそのアカウントを使っているためにあなたはログアウトされた旨のメッセージを表示する  このモジュールの別の効果は、あるユーザーが同じDrupalのサイトに対して複数のタブを開いているときに、一つのタブをログアウトすると、すべえてのタブがログアウトされる  パフォーマンスを改善するために、ajaxコールバック(および関連するDrupal bootstarap)は、

Drupalのページがフォーカスされている(active front window)ときのみ実行される。ウィンドウがアクティブになれば、即座にスクリプトの期限が切れているかどうかをajax checkする https://www.drupal.org/project/ejectorseat

(28)

28

4. 開発者ポータルのセキュリティーの管理

(29)

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [Password policies]を選択

4-6. サイトのパスワード・ポリシーの構成

(30)

4-6. サイトのパスワード・ポリシーの構成

(31)

4-6. サイトのパスワード・ポリシーの構成

パスワード要件を表示するかどうかの設定指定したパスワード･ポリシーによって、要件の表示が変更

(32)

32

 パスワード・ポリシーで設定可能な項目

(33)

33

4. 開発者ポータルのセキュリティーの管理

(34)

 環境設定

 管理メニューより、[環境設定] > [ユーザー] > [No Autocomplete]を選択

4-7. ユーザー名およびパスワードのオートコンプリート

(35)

4-7. ユーザー名およびパスワードのオートコンプリート

ユーザーの候補が表示される

(36)

36

4. 開発者ポータルのセキュリティーの管理

(37)

 設定手順

 管理メニューより、[環境設定] > [ユーザー] > [Two-factor Authentication(2要素認証)]を選択

4-8. 2要素認証の使用

(38)

 設定手順

 Enable TFAをチェックすると、2要素認証用の構成オプションが表示される。

4-8. 2要素認証の使用

(39)

39

4. 開発者ポータルのセキュリティーの管理

(40)

 設定手順

 管理メニューより、[モジュール] を選択  モジュール一覧の検索フィールドで「security」を指定し絞込み、「security questions」を有効にする

4-9. セキュリティーの質問の使用

ユーザーの候補が表示される

(41)

 設定手順

 管理メニューより、[環境設定]> [ユーザー]>[Security Questions]を選択

4-9. セキュリティーの質問の使用

(42)

42

 設定手順

 秘密の質問とし、独自のものを追加するか、事前提供の中から選択

(43)

43

 設定手順

 設定で、秘密の質問の個数、および利用するフォームの選択

(44)

44

 設定例

 設定で、秘密の質問の個数、および利用するフォームの選択

(45)

45

 設定例

 秘密の質問の個数、利用するフォーム、フラッドの制御時間を設定

(46)

46

 設定例

 初期登録：ログイン画面で秘密の質問の回答を入力

(47)

47

 設定例

 ログイン後、アカウント情報で、秘密の質問の回答を確認可能

(48)

48

 設定例

 間違った回答でログインしようとするとエラー

(49)

49

4. 開発者ポータルのセキュリティーの管理

(50)

50

 設定手順

 管理メニューより、[環境設定]> [システム]>[Security Kit]を選択

(51)

 設定項目

 セキュリティー・キット・モジュールで使用可能な各種オプションを構成することにより、Webサイトセキュリティの向上を実現  クロスサイト・スクリプティング  クロスサイト・リクエスト・フォージェリー  クリックジャッキング

 Content Security Policy  X-Content-Type-Options  X-XSS-Protection

 HTTP Strict Transport

Security

 Security Kit Module

 https://www.drupal.org/project/seckit

(52)

52

4. 開発者ポータルのセキュリティーの管理

(53)

53

 設定手順

 管理メニューより、[環境設定]> [システム]>[IBM API Connect]

を選択

(54)

54

 開発者ポータルのAPIライブテスト機能を無効化し、APIの公開を制

限

(55)

55

 ライブテスト機能の無効化によりテスト用の画面が非表示

(56)

56

4. 開発者ポータルのセキュリティーの管理

(57)

57

 設定手順

 管理メニューより、[環境設定]> [システム]>[IBM API Connect]

を選択

(58)

 設定手順

 「強制されない API に対して CORS 警告を表示する」チェック・ボックスがクリアされていることを確認

IBM API Connect 開発者ポータル構成ガイド 4章