すべてのプロダクト
Search

このプロダクト

    Enterprise Distributed Application Service:Dubbo アプリケーションへのサービス認証を使用したアクセス制御の実装

    ドキュメントセンター

    Enterprise Distributed Application Service:Dubbo アプリケーションへのサービス認証を使用したアクセス制御の実装

    最終更新日:Jan 07, 2025

    マイクロサービス アプリケーションで高いセキュリティが必要な場合は、インターフェースまたはメソッドの粒度でアプリケーションへのアクセス制御を実装して、呼び出し元からのアクセス要求を認証できます。 これにより、サービス認証ルールに一致する呼び出し元のみがマイクロサービス アプリケーションを呼び出すことができるようになり、セキュリティが強化されます。 このトピックでは、サービス認証を使用して Dubbo アプリケーションのアクセス制御を実装する方法について説明します。

    背景情報

    このトピックでは、Spring Cloud サービス認証が実行されるシナリオを例を使用して紹介します。

    • サービス認証を設定しない

      コンシューマー 1、2、3 とサービス プロバイダーは、同じ名前空間にデプロイされています。 デフォルトでは、コンシューマー 1、2、3 はプロバイダーのすべてのパス(パス 1、2、3)を呼び出すことができます。

      Do not configure service authentication

    • サービス認証を設定する

      • すべてのパスに対して認証ルールを設定する

        プロバイダーのすべてのパスに対して認証ルールを設定できます。 たとえば、コンシューマー 1 のブラックリストを設定してプロバイダーのパスを呼び出せないようにし、コンシューマー 2 と 3 のホワイトリストを設定してプロバイダーのパスを呼び出せるようにすることができます。

      • 特定のパスに対して認証ルールを設定する

        プロバイダーの特定のパスに対して認証ルールを設定することもできます。 たとえば、パスがコア ビジネスまたはコア データに関連しているため、コンシューマー 2 のブラックリストを設定してプロバイダーのパス 2 を呼び出せないようにすることができます。 その場合、コンシューマー 2 はプロバイダーのパス 1 と 3 のみ呼び出すことができます。

      次の図は、認証ルールを設定した後のアプリケーション呼び出しプロセスを示しています。

      Service authentication configured

    サービス認証ルールの作成

    1. にログインします。

    2. 左側のナビゲーション ペインで、[トラフィック管理] > [マイクロサービス ガバナンス] > [dubbo] を選択します。

    3. Dubbo ページの左側のナビゲーション ツリーで、[サービス認証]サービス認証 をクリックします。

    4. [サービス認証] ページで、[ルールの作成] をクリックします。

    5. [ルールの作成] パネルで、サービス認証ルールに関連するパラメーターを設定し、[OK] をクリックします。

      服务鉴权-创建规则-Dubbo

      次の表にパラメーターを示します。

      パラメーター

      説明

      マイクロサービス スペース

      呼び出し先アプリケーションが存在する リージョンマイクロサービス名前空間 を選択します。

      ルール名

      作成するルールの名前を指定します。 名前は最大 64 文字で、文字、数字、アンダースコア(_)、ハイフン(-)を含めることができます。

      呼び出し先のタイプ

      アプリケーション の値が自動的に使用されます。

      呼び出し先(アプリケーション)

      呼び出し先アプリケーションを選択します。

      呼び出し先のフレームワーク

      呼び出し先アプリケーションで使用されるフレームワークを指定します。 この例では、Dubbo を選択します。

      すべてのインターフェース ルールを追加

      重要

      すべてのインターフェースに対して 1 つのグローバル ルールのみを追加できます。

      呼び出し先インターフェース

      すべてのサービス/すべてのインターフェース の値が自動的に使用されます。 パラメーター値を変更することはできません。

      認証モード

      ビジネス要件に基づいてサービス認証のモードを選択します。 有効な値:ホワイトリスト(呼び出し許可) および ブラックリスト(呼び出し禁止)

      呼び出し元

      認証する呼び出し元を選択します。

      有効な値:アプリケーションゲートウェイ任意のソース。 呼び出し元として Enterprise Distributed Application Service (EDAS) アプリケーションと Microservices Engine (MSE) ゲートウェイを選択できます。 また、任意のソース を選択して、インターフェースを公開することもできます。

      説明

      • アプリケーションゲートウェイ の両方を選択して、複数のアプリケーションとゲートウェイを追加できます。

      • 任意のソース は、アプリケーション および ゲートウェイ と相互に排他的です。

      指定されたインターフェース ルールを追加

      重要

      特定のインターフェースに追加されたルールは追加されません。 代わりに、ルールはすべてのインターフェースのグローバル ルールを上書きします。 このタイプのルールを設定する際は注意してください。

      呼び出し先インターフェース

      呼び出し先アプリケーションのサービスとインターフェースを指定します。

      認証モード

      ビジネス要件に基づいてサービス認証のモードを選択します。 有効な値:ホワイトリスト(呼び出し許可) および ブラックリスト(呼び出し禁止)

      呼び出し元

      認証する呼び出し元を選択します。

      有効な値:アプリケーションゲートウェイ任意のソース。 呼び出し元として EDAS アプリケーションと MSE ゲートウェイを選択できます。 また、任意のソース を選択して、インターフェースを公開することもできます。

      説明

      • アプリケーションゲートウェイ の両方を選択して、複数のアプリケーションとゲートウェイを追加できます。

      • 任意のソース は、アプリケーション および ゲートウェイ と相互に排他的です。

      デフォルト値を使用

      ルールを有効にするかどうかを指定します。

      • スイッチをオンにすると、ルールは作成直後に有効になります。 デフォルトでは、ルールは有効になっています。

      • スイッチをオフにすると、ルールは作成後に無効になります。 ルールを有効にするには、[サービス認証] ページでルールを見つけ、[操作] 列の [有効化] をクリックします。

    結果の確認

    サービス認証ルールが作成されて有効になったら、ルールが有効になっているかどうかを確認します。

    次の手順

    サービス認証ルールを作成した後、[操作] 列の [編集][閉じる]、または [開く] をクリックしてルールを管理できます。 サービス認証ルールが不要になった場合は、[操作] 列の [削除] をクリックしてルールを削除できます。