正解: 基本認証 - LDAP ポリシーを適用します。内部 Active Directory がユーザー認証用の LDAP ソースとして構成されます。
*****************************************
>> IPホワイトリストはこの目的には適していません。さらに、ユーザーのワークステーションはネットワーク内で必ずしも固定IPアドレスを持つとは限りません。
>> OAuth 2.0 の適用には、組織のシステム コンポーネントに含まれていないクライアント プロバイダーが必要です。
>> すべてのユーザーが個別のクライアント資格情報を作成し、使用に合わせて構成できるようにすることは効果的なアプローチではありません。
効果的な方法は、基本認証 - LDAP ポリシーを適用することです。内部 Active Directory は、ユーザーを認証するための LDAP ソースとして構成されます。

サーキットブレーカーポリシーの理解:
サーキットブレーカーは、障害を検出し、アプリケーションが失敗した操作を繰り返し実行しようとするのを防ぐために使用される設計パターンです。この場合、応答時間の改善と下流APIへの負荷軽減に役立ちます。
指定された構成には、時間の経過に伴うエラー率に基づいて回路を開く、半開にする、閉じる条件が含まれます。
回路オープン: 3 分連続で 1 分あたり 10 件を超えるエラーが発生した場合にトリガーされます。
回路半開: 1 分間に 1 つのエラーが発生すると、回路は半開状態に移行します。
回路が閉じます: エラー率が 5 分間に 1 分あたり 1 件未満になると、回路が閉じます。
オプションの評価:
オプションA：テンプレート式を使用してカスタムポリシーを作成することは可能ですが、カスタム開発が必要になります。Anypoint PlatformにはすでにCircuit Breakerポリシーが用意されているため、このソリューションは効率性が低く、より複雑になります。
オプションB：Anypoint MonitoringアラートはAPIの監視に使用できますが、サーキットブレーカー機能は提供されません。また、ハーフオープン状態に対する再試行戦略を実装するだけでは、必要なサーキットブレーカーの動作を実現できません。
オプションC（正解）：Anypoint Platform上のAPIインスタンスにCircuit Breakerポリシーを追加すると、サーキットブレーカーの条件を直接設定できます。このアプローチでは、組み込みのCircuit Breakerポリシーを使用し、エラーしきい値や時間間隔などのパラメータを要件に合わせて設定できます。このソリューションは効率的で信頼性が高く、Anypointのすぐに使用できる機能を活用します。
オプションD：YAML設定を使用してMuleアプリケーション内で戦略を実装すると、複雑になり、管理が困難になる可能性があります。さらに、このシナリオにはより適しているAnypoint Platformの組み込みCircuit Breakerポリシーを活用できません。
結論：
オプションCはAnypoint PlatformのCircuit Breakerポリシーを活用しているため、正しい選択です。このソリューションでは、しきい値と時間間隔を指定どおりに設定できるため、Anypointのマネージドポリシー機能を活用しながら、応答時間を改善し、下流APIへの負荷を軽減できます。
詳細な構成ガイダンスについては、API Manager での Circuit Breaker ポリシーの実装に関する MuleSoft のドキュメントを参照してください。

正解: システム層の境界付きコンテキスト モデルを作成してバックエンド データ モデルと密接に一致させ、破損防止層を追加して、異なる境界付きコンテキストがシステム層とプロセス層全体で連携できるようにします。
*****************************************
>> 組織はすでに努力を重ね、エクスペリエンス API とプロセス API 用の境界付きコンテキスト モデルを作成しているため、ここでは標準モデルは選択できません。
>> エクスペリエンスAPIとプロセスAPIは同じ境界コンテキストモデルを共有しているため、すべてのAPIに破損防止レイヤーを設けるのは不要かつ無効です。現在、適切なアプローチを選択すべきなのはシステム層APIのみです。
>> したがって、プロセス層とシステム層の間に破損防止層を設けるのが効果的です。また、このアプローチを高速化するために、システムAPIはバックエンドシステムのデータモデルを模倣できます。

正解: 潜在的な脅威ベクトルを検出するために、すべてのAPIにJSON脅威保護ポリシーを適用する
*****************************************
>> 通常、API が特定の消費者 (既知の消費者/顧客) 向けに設計および開発されている場合は、トラフィックがその消費者/顧客からのみ発生するように、同じものを IP ホワイトリストに登録します。
>> ただし、このシナリオでは、API が公開されており、非常に多くのモバイル アプリケーションや Web アプリケーションで使用されているため、すべての悪意のある行為者を特定してブラックリストに登録することは不可能です。
>> したがって、JSON 脅威保護ポリシーは、そのような悪意のある行為者による不正な JSON ペイロードを防ぐ最良の方法です。

API 主導の接続アプローチでは、各レイヤー (システム、プロセス、エクスペリエンス) には明確な目的があります。
システム API: これらの API はバックエンド システムに直接接続し、標準化された方法でデータを公開およびロック解除します。
プロセス API: さまざまなシステム間でデータをオーケストレーションおよび処理し、必要に応じて情報を組み合わせます。
エクスペリエンス API: 特定のユーザー インターフェイスまたはアプリケーション向けに設計されており、多くの場合、各コンシューマー アプリケーションのニーズに合わせてデータ形式を変換します。
オプションAが正しい理由:
プロセスAPIは、複数のシステムからデータを統合するように設計されており、生命保険システムと損害保険システムの両方から保険契約情報を集約する機能と整合しています。この集約ロジックは、理想的にはプロセス層に配置され、データ取得とデータオーケストレーションを分離します。
この機能をプロセス レイヤーに移動すると、再利用性とモジュール性が実現され、必要に応じて他のエクスペリエンス API やサービスでも結合されたポリシー データを活用できるようになります。
誤った選択肢:
オプション B (SOAP ベースの応答の提示) は、エクスペリエンス レイヤーによって管理されます。このレイヤーは、特定のインターフェースに合わせてデータ形式を適応させるためです。
オプション C (バックエンド接続の認証と維持) は通常、バックエンドの統合とセキュリティ処理が行われるシステム層内で処理されます。
オプション D (データのクエリ) はシステム API の機能であり、バックエンド システムに直接アクセスし、追加の処理なしで生データを公開します。
参照
API 主導のアーキテクチャと各レイヤーの役割の詳細については、MuleSoft の API 主導の接続性と API レイヤーに関するドキュメントを参照してください。