1. Homepage
  2. Anypoint Platform Private Cloud Edition (3.2)
  3. Anypoint Platform PCE の管理

  4. API プラットフォームプロキシのアドレスの許可

API プラットフォームプロキシのアドレスの許可

デフォルトでは、プロキシ要求はプラットフォームが実行されているドメイン名に対して有効です。

バージョン 3.2.2 以降の場合は、「信頼済みドメイン」を参照してください。

バージョン 3.2.0 および 3.2.1 でアドレスを許可する手順は、次のとおりです。

  1. オペレーションセンターにログインして、左サイドバーで ​[Kubernetes]​ を選択します。

  2. 上部のドロップダウンメニューから ​api-manager​ 名前空間を選択し、​[Configmaps (設定マップ)]​ を選択します。​api-platform-web-env​ 設定マップを見つけて、​Edit Config Map​ をクリックします。

  3. [​APW_FEATURES_PROXYWHITELIST​] タブを選択し、値が ​true​ に設定されていることを確認します.(適切なタブを見つけるには、タブにマウスポインターを置き、完全名を含むツールチップを表示する必要があります)。

    設定されていない場合、値を ​true​ に設定して ​Apply​ を選択します。

  4. [​APW_PROXYWHITELIST_RULES​] タブを選択します。

  5. ルールをカンマで区切って記述します。

    次の例は、要求を ​.somewhere.com/​ および ​.somewhereelse.com/​ ドメインに対して実行できるようにする正規表現を定義しています。ここで、​*​ は DNS 名または URL の任意の部分です。

.*\.somewhere\.com,.*\.somewhereelse\.com

  1. [Apply (適用)]​ を選択して変更内容を ​api-platform-web-env​ 設定マップに保存します。

  2. ポッドを再作成し、クラスター内の各ノードが最新の設定を使用するようにします。

    kubectl delete pod -n api-manager -l component=api-platform-web

信頼済みドメイン

外部リソースに対して行うすべての HTTP 要求は、API Console プロキシを通過します。セキュリティ上の理由から、ドメインを許可されたドメインとして Anypoint Platform に登録する必要があります。

デフォルトでは、認証済み要求での外部ドメインに対するプロキシ要求はブロックされます。

新しいドメインを追加する手順は、次のとおりです。

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Trusted domains (信頼済みドメイン)]​ をクリックします。

  4. [Add domain (ドメインを追加)]​ をクリックします。

    ドメインは、既存のドメインとは一致せず、MuleSoft または Anypoint Platform のドメインまたはサブドメインでなく、​exampledomain.com​ の形式で記述されている必要があります。 NOTE: 正規表現はサポートされていません。

  5. ドメイン名を入力して、​[Add domain (ドメインを追加)]​ をクリックします。

    ドメインが信頼済みドメインのリストに追加されます。信頼済みドメインページにリダイレクトされ、ドメインを編集または削除できます。親組織にドメインを登録した場合は、すべてのビジネスグループの許可リストに登録されます。

認証

プロキシを使用する場合は 2 つの認証モードがあります。

  • 厳格な認証:

    (デフォルト) プロキシに到達するすべての要求は認証される必要があります。つまり、要求の ​ms-authorization​ ヘッダーにユーザートークンログイン情報が含まれている必要があります。

    Exchange 公開ポータルから外部ドメインへの要求が API Console プロキシを通過する場合は、コールに Anypoint ユーザーが関与していないため、要求は失敗します。

  • 厳格ではない認証:

    API Console プロキシは引き続き未認証となりますが、未認証の要求も許可されます。受信要求は、ユーザーのトークン、または要求が属する組織の ID への参照を提供する必要があります。組織 ID は、​ms-organization-id​ ヘッダーで送信する必要があります。

厳格な認証から厳格ではない認証に変更する手順は、次のとおりです。

  1. オペレーションセンターにログインして、左サイドバーで ​[Kubernetes]​ を選択します。

  2. 上部のドロップダウンメニューから ​api-console-proxy​ 名前空間を選択し、​[Configmaps (設定マップ)]​ を選択します。

  3. service-env​ 設定マップを特定して、​[Edit Config Map (設定マップを編集)]​ をクリックします。

  4. [​STRICT_AUTHENTICATION_FF​] タブを選択し、値が ​false​ に設定されていることを確認します。(適切なタブを見つけるには、タブにマウスポインターを置き、完全名を含むツールチップを表示します。)

  5. [Apply (適用)]​ をクリックして変更内容を ​service-env​ 設定マップに保存します。

  6. ポッドを再作成し、クラスター内の各ノードが最新の設定を使用するようにします。

    kubectl delete pod -n api-console-proxy -l component=service