导言

Maximo 的 REST API 是与外部应用程序交换数据的强大工具，但确保仅向有需要的人授予访问权限非常重要。在本文中，我们将探讨增强 Maximo REST API 安全性的最佳实践，特别关注对象结构安全性、最低权限安全模型、安全组创建以及使用 API 密钥进行集成。

了解 Maximo 中的对象结构安全性‍

对象结构安全性是保护 Maximo 的 REST API 的关键组成部分。默认情况下，用户创建的对象结构和 Maximo 中的大多数开箱即用对象结构都是开放的，可供经过身份验证的 Maximo 用户使用。这意味着任何拥有可以登录系统的凭据的用户都可以通过 REST API 访问对象结构公开的数据。要解决此漏洞，必须启用 “mxe.int.enableosauth” 系统属性。此属性强制执行明确授予的对象结构访问权限，这意味着用户只能访问已授予他们的对象结构。此功能允许管理员使用 Maximo 中的安全组管理安全性，并确保用户只能访问他们被授予访问权限的数据。

‍Maximo 中 API 集成的最低权限安全模型‍

实施最低或最小权限安全模型是增强 Maximo 安全性的最佳实践。可以为每个集成创建具有有限访问权限的专用用户，而不是使用一个具有管理员级别访问权限的用户，使用安全组来控制访问权限。通过为每个集成创建单独的安全组并仅授予他们执行任务所需的访问权限，可以最大限度地降低未经授权访问的风险。实际上，集成用户将没有任何前端 Maximo 应用程序，只能通过 API 访问 Maximo。授予的对象结构将主要处于只读级别，少数几个被授予保存、插入和删除权限。

如何使用 API 密钥在 Maximo 中集成并提高安全性

使用 API 密钥进行集成是一种安全的选择，可与 SOAP、REST API 和 Maximo 的其他 API 一起使用。与使用用户名和密码相比，API 密钥是更好的选择，因为它们更安全。迁移到 Maximo 应用程序套件后，API 密钥是使用管理 API 进行身份验证的唯一方法。无论你使用的是 NATIVE、LDAP 还是 SAML 身份验证，它们都具有正常工作的优势。使用 API 密钥时，务必确保以安全的方式创建和分发它们。此外，当不再需要 API 密钥时，应将其撤销。

你今天能做什么？‍

• 检查系统属性 mxe.int.enableosauth。如果这是真的，则您的系统已经要求明确授予安全性。
  

• 审核您的系统，确定哪些流程或集成应该通过 Maixmo 的 API 连接到对象结构。这可以通过几种不同的方式来完成，而且可能很乏味。实施文档和日志将帮助您做到这一点。
  
  
• 确认使用的所有对象结构都配置了对象结构安全性。IBM 文档： https://www.ibm.com/support/pages/node/6417041
  
  
• 为通过 API 连接到 Maximo 的每个系统创建专门的用户和安全组。过去，使用 MXINTADM 很常见。使用同一个用户进行连接的多个系统会带来安全风险，但会阻碍最小访问原则的实施。
  
  
• 将所有 API 访问权限从使用 MAXAUTH（用户名和密码）移开，改为使用 APIKEY 进行身份验证。并非所有系统都能使用APIKEY，但要尽可能实现一个。这也将有助于您的系统在迁移到Maximo应用程序套件时适应未来需求。
  
  
• 通过查看数据库端的访问权限，仔细检查您的工作。对象结构安全性存储在 APPLICATIONAUTH 表中，就像应用程序安全性一样。查看此表将允许您快速检查授予每个安全组的实际安全性。

‍

从 applicationauth 中选择 *

应用程序所在的位置（从 MAXINTOBJECT 中选择 intobjectname）

并在 ('读取', '保存', '插入', '删除') 中的 optionname

‍

实施最佳实践，通过对象结构安全性保护 Maximo 的 REST API，对于防止安全漏洞和确保仅向有需要的人授予访问权限至关重要。通过了解对象结构安全性、执行最低或至少权限安全模型、创建安全组以及使用 API 密钥进行集成，您可以确保只有授权用户才能访问系统，并将未经授权的访问风险降至最低。遵循这些最佳实践和安全功能可实现安全而强大的系统，从而最大限度地降低数据泄露和未经授权访问的风险。

一个重要的考虑因素是需要定期检查和更新您的安全设置。随着业务和IT需求的变化，重新审视您的安全设置以确保它们仍然适合您的需求非常重要。定期的安全审计可以帮助识别漏洞，并提供提高安全性的建议。