Apinizer'da Kimlik Yönetimi ile yapılan erişim denetimi ayarı 2 farklı şekilde yapılandırılabilir:

  1. Kimlik bilgileri üzerinden; Bu yöntemde kimlik bilgisinin detayına gidilir. Kimlik bilgisinin detayında erişim izni verilmiş API Proxy'ler ve ayarları görüntülenerek işlem yapılır.
  2. API Proxyler üzerinden; Bu yöntemde API Proxy'nin detayına gidilir. API Proxy'e erişim izni verilmiş kimlik bilgileri görüntülenerek işlem yapılır. Bu seçenekteki koşulu uygulamak için tıklayınız.

Bu sayfa, birinci seçenekteki koşulu gerçekleştirir. 

Apinizer'da tanımlı olan API Proxy'e erişim sağlayacak olan istemcilerin kimlik bilgisi bu sayfadan oluşturulur ve yönetilir. 

Kimlik bilgisi erişim izni, API proxy'e erişim için tek başına yeterli değildir. Kimlik bilgisindeki ve erişim iznindeki ayarların geçerli olması için API Proxy üzerinde kimlik doğrulama politikalarından birisi eklenmiş olmalı ve bu politikada kimlik doğrulama şekli olarak Security Manager seçeneği seçili olmalıdır.

Kimlik Bilgisi Listesi

Kimlik bilgileri sayfası ilk açıldığında mevcut kimlik bilgilerinin listelendiği görsele aşağıda yer verilmiştir:


Ekran bileşenleri için kullanılan alanlar aşağıdaki tabloda görülmektedir.

AlanAçıklama

Arama Alanı

(Advanced Search)

Kimlik bilgileri üzerinde detaylı arama yapmak için kullanılır. 

Kimlik Bilgisi Listesi

(Access Control List)

Kimlik bilgilerinin listelendiği ve sıralandığı tablodur.

Oluştur

(Create)

Yeni "Kimlik Bilgisi" oluşturmak için kullanılır.

CSV'den İçe Aktar

(Import From CSV)

Topluca kimlik bilgisi kaydedilmesi için kullanılır.

Veriyi Aktar

(Import)

Kimlik bilgisini .json veya .zip uzantılı olarak içe aktarmak için kullanılır.

Kimlik Bilgileri Listesini Excel Dosyası Olarak Dışa Aktar

(Export Credential List as an Excel File) 

Kimlik bilgileri listesini excel dosyası olarak indirmek için kullanılır.

Dışa Aktar

(Export)

Kimlik bilgisine ait tüm veriler, başka bir proje de tekrar kullanmak için dışa aktarılabilir. Bu süreçte, sadece genel bilgiler dışa aktarılır. Gelişmiş ayarlar, API Proxy EKL, API Proxy Grup EKL, JWK ayarları ve mTLS ayarları, proje bazında bilgiler oldukları için dışa aktarılmaz.

CSV ile Toplu Kimlik Bilgisi Aktarımı

Hali hazırda mevcut olan kimlik bilgilerinin Apinizer'a aktarımı için CSV'den aktar özelliği kullanılabilir.

Bu özellik kullanılmak istenirse;

  1. Mevcut kullanıcı bilgileri her bir kayıt bir satıra gelecek şekilde yazılmalıdır.
  2. Kayıt içerisinde kullanıcı adı ve parola bilgisi beraber ve parola bilgisi açık olarak yer almak zorundadır.
  3. kullanıcı adı ve parola bilgisi arasına ayıraç olarak # işareti koyulmalıdır.
  4. Her bir satır Enter tuşu ile ayrılmalıdır.

Bu şekilde hazırlanan veriler açılan ekrana girilerek içe aktar tuşuna basılır.

Kimlik Bilgisini Dışa Aktarma

Kimlik Bilgisi'ni dışa aktarmak için satır sonundaki menüden Dışa Aktar (Export) seçilir.

Kimlik Bilgisini Globalleştirme

Kimlik bilgileri "Globalleştir" seçeneği ile Admin sayfasına taşınarak görünümü bu listeden kalkar, tüm projelerde kullanılabilir hale gelir ve yönetimi Admin kullanıcısına bırakılır.

Kimlik Bilgisi'ni globalleştirmek için satır sonundaki menüden Globalleştir (Move to Global) seçilir.


Kimlik Bilgisi Oluşturma

Kimlik bilgileri eklemek için Oluştur (Create) tuşuna basıldığında aşağıda görseli paylaşılan ekran gelir:

Bu görselde de görüldüğü üzere kimlik bilgilerinin üzerinde iki tür işlem yapabiliriz:

  1. Kimlik bilgisinin detaylarının girilmesi, oluşturulması veya güncellenmesi
  2. Kimlik bilgisinin erişim denetimi listesinin oluşturulması veya güncellenmesi

Kimlik bilgisi alanlarının açıklamaları şu şekildedir:

AlanAçıklama

Kullanıcı Adı

(Username)

Kimliği ifade edecek "kullanıcı adı" bilgisidir, yetkilendirme için kullanıcı kimliğine erişmek için bu değer kullanılır. Tüm sistemde tekil ve biricik olmak zorundadır.

Parola

(Password)

Kimliğin parola bilgisidir. İstenirse yanındaki tuş ile otomatik oluşturulabilir.

E-Posta

(E-Mail)

Kimliğin sahibi istemciye erişmek için kullanılan ve istemciye ait mail bilgisidir.

Tam Adı

(Full Name)

Kimliğin sahibi istemcinin tam adıdır.

Aktif 

(Enabled)

Kimlik bilgisinin aktif (kullanılabilir) olup olmadığını belirtir. Seçilmiş ise aktiftir.

Kurum

(Organization)

Kimlik bilgisinin bağlı olduğu kurum/organizasyon bilgisi isteğe bağlı olarak seçilebilir. Sadece bilgi/raporlama amacıyla tutulur.

Roller

(Roles)

Kimlik bilgisinin sahip olduğu rollerdir. Bu rollere göre yetkilendirme yapılır.

Yetkilendirme için detaylı bilgi almak için Yetkilendirme sayfasını ziyaret edebilirsiniz.

IP Listesi

(IP List)

Kimlik bilgisinin sadece belli IP adreslerden gelmesi gerekiyorsa, bu kimlik bilgisinin hangi IP adreslerinden erişebileceği bilgisi buraya girilir. Boş bırakılması tüm IP'lerden isteğin kabul edileceği anlamına gelir. Bu bilginin girilmesi kuralın işletilmesi için tek başına yeteli olmaz. Herhangi bir API Proxy üzerinde aktif hale gelebilmesi için ilgili API Proxy üzerinde kimlik doğrulama politikasının olması, bu politikada kimlik sağlayıcı olarak "Security Manager" seçilmiş olması ve hemen altında da "İstemci Adresini Kontrol Et" seçeneğinin aktifleştirilmesi gerekir. 

Açıklama

(Description)

Kimlik bilgisi hakkında açıklama girilmek istenirse bu alan doldurulabilir.

Gelişmiş Ayarları Aktifleştir

(Enable Advanced Settings)

Kimlik bilgisinin parola ve IP listesinin ortam bazlı özelleştirilme ihtiyacı varsa, bu seçenek ile özelleştirme ayarları aktif hale gelir. Seçildiğinde her bir ortam için parola ve IP listesi girilebilir hale gelir. 

Ortam Parolası

(Environment Password)

İlgili satırdaki ortama özel olarak kullanılmak üzere parola girilebilir. Bu alanın girilmesi durumunda bu ortam üzerinde sunulan API Proxy'lerin yetkilendirilmesi durumunda buraya girilen parola değeri geçerli olur. Boş kalması durumunda ilk ayarlanan esas parola kullanımında bir değişiklik olmaz.

Ortam IP Listesi

(Environment IP List)

İlgili satırdaki ortama özel olarak kullanılmak üzere IP listesi girilebilir. Bu alanın girilmesi durumunda bu ortam üzerinde sunulan API Proxy'lerin yetkilendirilmesi esnasında yapılan IP kontrolü için buraya girilen liste değerleri geçerli olur. Boş kalması durumunda ilk ayarlanan esas IP listesi kullanımında bir değişiklik olmaz.

Kimlik Bilgisi Erişim Denetimi Ayarları

Kimlik bilgisinin erişim izinlerini ayarlamak için Erişim Denetimi (Access Control List) paneline geçilerek işlem yapılır.

Bu panelde erişim izni verilmek istenen API Proxy aşağıdaki görselde kırmızı ile işaretli tuşa basılarak karşımıza çıkan ekrandan seçilir.

Açılan ekrandan ayarlamak istenilen API Proxy(ler) seçilir ve aşağıda kırmızı ile işaretlenmiş Ekle (Add) tuşuna basılır.

Bu işlem ile kimlik bilgisine seçilen API Proxy'ler için erişim izni verilmiş olur. Bu işlemin canlı çalışan kurallar üzerinde aktif hale gelebilmesi için ortamlara yüklenmesi gereklidir.

Bunun için işlemler tamamlandığında sağ üst köşedeki Kaydet ve Yükle (Save and Deploy) tuşuna basılarak ayarların aktifleşmesi sağlanır.

API Proxy bazında kimlik bilgisinin özelleştirilmesi için yine bu ekrandan ilgili API Proxy kaydının olduğu satırdaki Düzenle (Edit) linkine basılır.

Karşımıza çıkan dialogda kimlik bilgisinin bu API Proxy'e özel ayarları yapılabilir:

API Proxy bazlı erişimi özelleştirme konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir.

AlanAçıklama

Geçerliliğini Yitirme Zamanı

(Expires On)

Bu tarih değerinin girilmesi durumunda Kimlik Bilgisi bu tarih geldiği zamandan itibaren (gece 00.00'dan itibaren geçerli olmak üzere) API Proxy'e erişemez hale gelir. Boş kalması durumunda pasif hale gelmediği sürece API Proxy'e erişmeye devam eder.

Bu tarihin gelmesi sadece bu API Proxy'e erişimi kısıtlar, diğer API Proxy'lere erişimde bir değişiklik yapmaz. 

Ortam Listesi

(Environment List)

API Proxy'nin yüklendiği ortama özel olarak Kota ve Daraltma değerlerinin girilebilmesini sağlar.

Ortam Kotası

(Quota)

API Proxy'nin belirtilen ortama özel Kota değeridir.

Ortam Daraltması

(Throttling)

API Proxy'nin belirtilen ortama özel Daraltma değeridir.

İzin Verilmeyen Metodlar

(Disallowed Methods)

Kimlik bilgisinin sahip olduğu rollerinden bağımsız olarak API Proxy'nin herhangi bir metoduna erişmemesi isteniyorsa, burada API Proxy'nin erişime kapatılmak istenen metodları seçilir. Ön tanımlı olarak kimlik bilgisi ile API Proxy'nin tüm metodlarına erişim sağlanabilir.

Kaydet ve Yükle Tuşu

(Save and Deploy)

Ayarların/değişikliklerin tamamlanması sonrasında Kaydet ve Yükle tuşuna basılarak ayarların aktifleşmesi sağlanır.

Token Ayarları 

Token ayarları için Token Ayarları (Token Settings) paneline geçilerek işlem yapılır.

Token ayarlarını içeren görsele aşağıda yer verilmiştir:


Token ayarları konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir. 

AlanAçıklama

Onay Türü

(Grant Type)

Buna göre token üretimi istenecek olan bilgiler değişmektedir. Bkz.

  • Client Credentials

  • Password

Kimlik/Yetki Doğrulama Servisi

(Identity/Role/Group Service)

Grant Type password ise; gönderilecek olan username, password bilgisinin nereden doğrulanacağını belirten kimlik sağlayıcı servisidir.

JWT Rejeneratör API Servisi

(Select to JWT Regenerator Service API)

Bu özellik yalnızca JWT token kullanımında geçerlidir. 

Grant Type password ise ve Kimlik/Yetki Doğrulama Servisi'nden "API" seçeneği seçilirse bu alan görünür.

JWT token değerinin seçilen API üzerinden kimlik doğrulama olmaksızın tekrar oluşturulmasını sağlar.

Önceki Token'ı Sil

(Delete Previous Token)

Bu özellik yalnızca OAuth2 token kullanımında geçerlidir.

Yeni token alımlarında ya da yapılan yenilemelerde, önceki token'ı geçersiz hale getirir.

Token Ölümsüz Olsun

(Token Never Expires)

Bu seçenek işaretlenirse token zamana bağlı olarak geçersiz hale gelmez, istenildiği kadar kullanılabilir.

Token Geçerlilik Süresi

(Token Expires In)

Token'ın kullanılabilir olacağı yaşam süresini belirtir.

Token Yenileme Olsun

(Refresh Token Allowed)

Token'ın yenilenme özelliğini etkinleştirir.

Token Yenileme Sayısı

(Refresh Token Count)

Token'ın kaç kez yenilenebilir olacağını belirtir.

Yenilenmiş Token Geçerlilik Süresi

(Refresh Token Expires In)

Her bir yenilemede, token'ın ne kadarlık yaşam süresine sahip olacağını belirtir.

JWT İmzalama Algoritması

(JWT Signature Algorithm)

Bu özellik yalnızca JWT token kullanımında geçerlidir. 

Token üretilirken kullanılacak olan imza algoritmasını seçmek için kullanılır.

URL Parametrelerine İzin Ver

(Allow URL Parameters)

Token Servisine token üretimi için istek gönderilirken bilgilerin ön tanımlı olarak sadece mesaj gövdesinde gönderilmesine izin verilir. Eğer bu bilgilerin URL parametresi halinde de gönderilmesine izin verilmek isteniyorsa bu seçenek ile bu özellik aktifleştirilebilir.

Güvenlik açısından risk oluşturacağından kullanılmaması tavsiye edilir.

JWK Ayarları

JWK ayarları sekmesinde gelen kimlik bilgisinin JWK anahtarları ile ilgili verisinin decrypt edilmesi ve/veya imzasının doğrulanabilmesi için gerekli olan JWK anahtarları seçimleri yapılır.

JWK ayarlarını içeren görsele aşağıda yer verilmiştir:


JWK Ayarları etkinleştirildiğinde karşımıza çıkan dialog aşağıdaki gibidir:


JWK ayarları konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir. 

AlanAçıklama

JOSE İmza & Doğrulama için JWK

(JWK for JOSE Sign & Validation)

Kimlik bilgisinin sahip olduğu imzalama/imza doğrulama JWK anahtarıdır.

JOSE Validation/Implementation politikalarında kullanıcının anahtarı kullanılsın denildiğinde imzalama/imza doğrulama için bu JWK kullanılır.

JOSE Encryption & Descryption için JWK

(JWK for JOSE Encryption & Descryption)

Kimlik bilgisinin sahip olduğu şifreleme/şifre doğrulama JWK anahtarıdır. 

JOSE Validation/Implementation politikalarında kullanıcının anahtarı kullanılsın denildiğinde şifreleme/şifre doğrulama için bu JWK kullanılır.

mTLS Ayarları 

mTLS ayarları sekmesinde gelen kimlik bilgisinin mTLS Authentication Poliçesi ile sertifikasının doğrulanabilmesi için gerekli olan truststore seçimi yapılır.

mTLS ayarlarını içeren görsele aşağıda yer verilmiştir:


mTLS ayarları konfigürasyonu için kullanılan alanlar aşağıdaki tabloda görülmektedir. 

AlanAçıklama

Truststore

Truststore seçilir. Eğer daha önce tanımlı değil ise yandaki + butonuna basarak yeni bir tane oluşturulabilir.