Reactive-UIアプリケーションのセキュリティ
アプリケーションでCosmos React-UIを使用する場合、Pega Platform™認証スキームの新しいタイプ(PRAuth)のいずれかを使用してオペレーターを認証します。 Cosmos React-UIは、カスタム認証用のアプリ固有ではないURLや、PRAuth以外の認証スキームをサポートしていません。
たとえば、アプリケーション定義ルールフォームで、ReactベースのUI(本番環境では使用しないEarly Beta)を選択したとします。 その場合、Pega Platformは内部でルーティングテーブルを生成し、インタラクション用に認可されたアクセストークンを発行することで、アプリケーションを標準のOAuth 2.0クライアントとして登録します。 認証済みアクセストークン(AAT)は、OAuth 2.0用Pega Platformで使用されるデフォルトのトークン形式になりました。
AATは自己完結型、コンパクト、かつデジタル署名が行われ、改ざんができません。 Pega Platformは、自動生成されたクレームと組み込みのキーローテーション戦略を使用してAATを管理します。 Pega Platformは認証済みアクセストークンの管理にJSON Web Tokens(JWT)およびJSON Web Signature(JWS)規格を使用します。 アプリケーションでCosmos React-UIを使用するようにマークされている場合は、HTTPSが必須です。
アプリケーション用に自動生成されたOAuth 2.0クライアントは、PegaAPP_<ApplicationName>という名前で特定されます。 <ApplicationName>は、アプリケーションの保存時にOAuth 2.0クライアントインスタンスを自動生成するために使用される名前です。
詳細については、Communityの記事「Securing Cosmos React-UI applications」を参照してください。
Reactive-UIアプリケーションの脆弱性緩和コントロール
組み込みの脆弱性緩和コントロールは以下のとおりです。
- アクティビティやスナップスタートURLなどの未登録の入力をデフォルトで拒否する基本的なアクセスコントロール。
- 他のソースドメインからのPega Digital Experience(DX)API呼び出しをブロックするためのCross-Site Request Forgery(CSRF)緩和コントロール。
- Pega Digital Experience(DX)APIのURLのキャッシュをスキップするための新しいCache-Controlヘッダーを使用して強化された、クライアントサイドの管理。
- Pega Digital Experience(DX)API用のプロパティレベルのABACを使用した、すぐに使えるデータレベルの保護。
このトピックは、下記のモジュールにも含まれています。
- 認証スキームの定義 v3