APIデプロイメントへの認証と認可の追加

APIゲートウェイ・サービスを使用してAPIゲートウェイに認証および認可機能を追加する方法をご紹介します。

リクエストを送信するAPIクライアントに基づいてAPIゲートウェイにデプロイするAPIへのアクセスを制御し、実行が許可される内容を定義できます。デプロイするAPIについては、通常、次を提供します:

• APIクライアントのアイデンティティを決定するための認証機能。APIクライアントは、実際に自分が主張している人ですか?
• APIクライアントに適したアクセスを決定し、必要な権限を付与する認可機能。APIクライアントは何を許可されていますか。

次をサポートするために、認証および認可機能をAPIゲートウェイに追加できます:

• HTTP Basic認証
• APIキー認証
• OAuth認証および認可
• Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)とIdentity Domains認証
• Oracle Identity Cloud Service (IDCS)認証

次のように、認証および認可機能をAPIゲートウェイに追加できます:

• リクエストに含まれる複数引数または単一引数のアクセス・トークンをAPIゲートウェイからOCIファンクションにデプロイされた認可プロバイダ・ファンクションに渡して、検証を実行できます(「認可プロバイダ・ファンクションへのトークンの受渡しによる認証および認可のAPIデプロイメントへの追加」を参照)。
• アイデンティティ・プロバイダを使用して、リクエストに含まれるJSON Webトークン(JWT)をAPIゲートウェイ自体で検証できます(APIデプロイメントに認証および認可を追加するためのトークンの検証を参照)。

便宜上、これらの様々なタイプの認証および認可機能は、認証サーバーと呼ばれます。同じAPIデプロイメントに対して複数の認証サーバーを設定できます。設定する認証サーバーは、同じタイプまたは異なるタイプにすることができます。同じAPIデプロイメントに対して複数の認証サーバーを設定すると、リクエスト内の要素に基づいて、リクエストを正しい認証サーバーに動的にルーティングできます。詳細は、「同じAPIデプロイメントへの複数の認証サーバーの追加」を参照してください。