论坛

API入门
 
通知事项
全部清除

API入门  


网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
2020/11/12下午12:44  

API入门是一个正在进行的项目,正在与网络利益相关者进行测试。以下是有关当前测试的一些信息。

处理:  //confluence.wnst.int.bell.ca/display/NetSec/SSDLC+%7C+Adoption+Journey

下一步:

  1. 统一的Gitlab:
    1. 用作BellPAM代码的中央代码存储库,开发人员可以获取通用代码并向该存储库提供代码
    2. 我将与Patrick Poirier开会,讨论下一步和时间安排
    3. 我将与他讨论BellPAM代码的中央存储库
    4. 找出设置Checkmarx扫描所需的条件
  2. API本地帐户
    1. Joel将根据其他DevOps团队可能做过的事情,研究控制和管理这些帐户的最佳做法
    2. Simon正在对Thycotic进行AD集成方面的跟进(例如,类似的做法是,每个使用Checkmarx代码扫描的团队都有自己的职能部门)
  3. 编码标准
    1. 对于编码标准:  //confluence.wnst.int.bell.ca/display/NetSec/SSDLC+%7C+Implementation+%7C+Programming+Guidelines
    2. 有关安全编码准则:  //confluence.wnst.int.bell.ca/display/NetSec/SSDLC+%7C+Implementation+%7C+Secure+Coding+Guidelines

文献资料

//bellpam.int.bell.ca/SecretServer/Documents/restapi/

 

帐户入职

有 要执行的2个主要活动。

 

 

MTW FID创建

职责:未来的FID所有者

对于API查询,我们依赖Active Directory FID,可以通过以下方式进行请求 我的电信仓库(MTW)

  • 使用您的AD凭据登录

  • 选择 在此订购您的产品和服务

  • 在目录中,选择 身份和访问管理(IAM)请求 然后点击 输入

  • 选择 功能编号(活动目录) 然后点击 显示产品

 

  • 阅读产品概述,然后单击 下一页
  • 选择FID的CP4所有者,然后单击 下一页

 

所有权

FID的主要所有者必须是CP4。然后,将要求您选择两个备用所有者。

 

  • 确认您的要求
  • 在里面 自动化帐户或员工目录-功能ID(Active Directory) 部分中,确认如何使用帐户。预期的答案是 没有  没有 用于BellPAM API FID。

 

  • 在里面 备用所有者-功能ID(活动目录) 部分中,选择将管理FID的两个备用所有者。
  • 选中复选框,确认您每年将轮换一次密码,然后单击 下一页

  • 根据用例填写所需的信息。
    • 名称只有17个字符
    • 分配给该帐户的设备是可以执行密码重置的设备。

 

  • 在帐户的业务需求中,请确保记录FID将用于与BellPAM相关的API查询。
    • 在BellPAM中用于API查询的帐户。

  • 点击确认 添加到购物车

请点击 查看 完成您的请求。

AD请求电子邮件以进行授权

职责:未来的FID所有者

FID创建完成后,所有者必须向 ADrequests-企业安全<[电子邮件 protected]> 组成员。

示例电子邮件:

你好

请将我拥有的以下AD FID添加到以下AD组:

FID名称
活动目录组
 附有广告组所有者的批准
fidPamToAppA

BellPAM-文件夹A-SU

 *** AD组的所有者必须批准FID被添加到AD组中***
fidPamToAppA  BellPAM-FID-API查询-管理秘密   *** AD组的所有者必须批准FID被添加到AD组中***

 

问候,

 

 

组成员身份以请求FID BellPAM角色

对于仅用于使用的FID secrets (GET):

BellPAM-FID-API查询-使用秘密

BellPAM-******(组,可以定期访问所需的文件夹)

 

对于仅用于管理(创建/修改/删除)机密(GET / POST)的FID:

BellPAM-FID-API查询-管理秘密

BellPAM-******- (组授予SU访问所需文件夹的权限)

 

BellPAM Application Account

职责:BellPAM BA

创建帐户并将其添加到组成员身份后,它将显示在 用户数 在BellPAM中。

  • 登录到BellPAM
  •  管理员, 选择 用户数
  • 查找所需的帐户
  • 点击高级
    • 申请帐号 = 已检查
    • 管理者= 管理员

  • 您可以确认FID对文件夹具有正确的BellPAM角色和BellPAM组 (与AD组绑定)

 

 

请点击 保存

 

 

FID现在应该在正确的文件夹上具有正确的特权级别。

 

 

 

帐户启用(开发)

 

在开发人员中,我们经常使用本地帐户来测试API(为简单起见)。

有3个主要活动要执行。

 

 

BellPAM Application Account

登录到BellPAM

 管理员, 选择 用户数

在页面底部,单击 +创建 

填写所需信息

  • 用户名开头 FID-BellPAM-******
  • 输入所有者的电子邮件地址
  • 确保输入一个 强大 密码
  • 域= 本地
  • 两个因素 =无

点击高级

  • 申请帐号 = 已检查
  • 管理者= 管理员

请点击 保存

分配角色

点击 分配角色

除掉 基本用户 角色并分配 API管理秘密 或者 API-UseSecrets 角色取决于FID是创建/更新/删除机密还是仅使用现有机密。

保存 您的更改

分配文件夹权限

找到FID应具有特权的文件夹,然后单击 编辑 图标

添加 申请帐号 的权限。

  • 如果FID是要管理机密,请提供 编辑-所有者
  • 如果FID要使用现有机密,请提供 查看-查看

 


引用
主题标签
网络安全
(@netsec)
会员 管理员
已加入:1年之前
帖子:40
2020/11/12下午12:45  

API查询

 

认证方式

使用AD FID进行身份验证时,您必须添加域

 “用户名”:“ bell \ FID-*****-SU”,

 

其他注意事项

API需要JSON类型的MIME文档

 

这是创建秘密的查询示例:

1- 确认机密模板ID和字段

 

根据模板,创建一个秘密(在此处开发)


回复引用
分享: