APIドキュメントを作成し、公開の準備ができたとき、重要な疑問が浮かびます。誰がそれを閲覧できるべきでしょうか?
ドキュメントは完全に公開されるべきでしょうか?それとも社内チームに限定されるべきでしょうか?もしかしたら、外部パートナーにはアクセスが必要かもしれませんが、誰でもアクセスできるわけではありません。
各シナリオのためにドキュメントの別バージョンを作成することは、時間と効率の面で非効率的です。実際には、アクセス要件は非常に具体的であることが多く、特定の部署だけが見るべきだったり、パートナーが自社の企業ネットワーク内からのみアクセスできるべきだったりする場合があります。
幸いなことに、Apidogはこれらのすべてのニーズを満たす複数のアクセス制御オプションを提供しています。ドキュメントサイトを公開する際、ユースケースに合ったアクセス制御方法を選択するだけです。
1. 公開: 誰でも閲覧可能
もしAPIが製品の公開APIのように一般公開されている場合、アクセス制御を「公開」に設定するだけです。リンクを知っている人なら誰でもドキュメントを閲覧できます。
プロのヒント: Apidogには、開発者がAPIを閲覧・発見できるマーケットプレイス形式のプラットフォーム、APIハブもあります。そこにドキュメントを公開することで、可視性と採用率を高めることができます。
2. パスワード保護: 簡単な障壁
ドキュメントを完全に公開したくないが、複雑な設定も避けたい場合があります。パスワード保護は簡単な解決策です。パスワードを設定すれば、それを知っている人だけがドキュメントにアクセスできます。
設定は簡単です:
- 「パスワード保護」を選択
- 手動でパスワードを設定するか、システムに生成させる
- 同僚やパートナーと共有する
最適: API設計のレビューをパートナーに依頼するなど、短期または一時的な共有に適しています。その後は、パスワードを更新するか、ドキュメントの公開を停止するだけです。シンプルでクリーンです。
ただし、注意してください: パスワードは意図せず共有される可能性があります。より厳格な制御が必要な場合は、他のオプションを検討してください。
3. IP許可リスト: 特定のネットワークへのアクセスを制限
チームやパートナーが固定されたオフィス拠点にいる場合、IP許可リストが最良の選択肢となるかもしれません。
仕組みは次のとおりです:
- 指定されたIPアドレスまたは範囲からのユーザーのみがドキュメントにアクセスできます
- 許可されていないIPは自動的に拒否されます
ドキュメントのファイアウォールと考えてください。
最適:
- 企業環境
- 社内ネットワークへのアクセス制限
- パートナーが自社のオフィスネットワークからのみアクセスできるようにする
単一のIPまたはIP範囲全体を設定できます。
ボーナス: Apidogのチーム設定(エンタープライズプランが必要)で、チームプロジェクトアクセスに対してもIP許可リストを有効にできます。有効にすると、許可されたIPからのユーザーのみが社内プロジェクトにアクセスできます。
4. メール許可リスト: IDベースのアクセス
パスワードが漏洩したり、IPが頻繁に変わることを懸念していますか?メール許可リストは、柔軟で安全な代替手段です。
チームやパートナーのメールアドレスを許可リストに追加するだけです。ユーザーはワンタイムメール認証コードを介してドキュメントにアクセスできるようになります。
ワイルドカードもサポートしています。例えば、*@apidog.comと設定すると、会社のドメインを持つすべてのユーザーがドキュメントにアクセスできるようになります。
利点:
- 管理が簡単: 必要に応じてユーザーを追加または削除できます
- パスワードよりも安全: リンクを持っていても、許可されていないユーザーはドキュメントを閲覧できません
- 分散チームやモバイルワーカーに最適
5. カスタムログインページ: 独自の認証システムとの統合
上記のどの方法もニーズに合わない場合、より高度なオプションとしてカスタムログインページがあります。これにより、独自の認証システムを接続してアクセスを制御できます。
仕組みは次のとおりです:
- ユーザーがドキュメントサイトにアクセスしようとすると、独自のログインページにリダイレクトされます。
- 認証後、サーバーはJWTトークンを生成します。
- ユーザーはトークンをパラメータとしてドキュメントサイトにリダイレクトされます。
- Apidogはトークンを検証し、有効であればアクセスを許可します。
このアプローチにより、ビジネスニーズに合わせて正確に権限を定義できます。多少の開発は必要ですが、複雑なアクセス制御ニーズを持つ企業に最適です。
カスタムログインページの実装については、ヘルプドキュメントをご確認ください。
適切なアクセス制御方法の選び方
非常に多くのオプションがあるため、あなたは疑問に思うかもしれません。どれを選べばいいのでしょうか?
それはあなたのユースケースによります:
| ユースケース | 推奨される方法 |
|---|---|
| 公開API、露出を望む場合 | 公開アクセス |
| チーム作業または短期的な外部共有 | パスワード保護 |
| 安全な社内またはパートナーネットワーク | IPホワイトリスト |
| ユーザーIDによるアクセス制御 | メールホワイトリスト |
| 独自のログインシステムを使用 | カスタムログインページ |
ヒント: 複数の方法を組み合わせることができます。例えば:
- 社内チームメンバーにはIP許可リストを使用する
- 外部パートナーにはメール許可リストを使用する
- 一時的なデモにはパスワード保護を使用する
Apidogでは、それぞれ独自のアクセス制御と調整されたAPIエンドポイントを持つ複数のドキュメントサイトを公開できます。これにより、異なるオーディエンスが必要なものだけを見ることができ、それ以上でもそれ以下でもありません。