نظرة عامة على مصادقة موفِّر الهوية الخارجية (واجهة مستخدم New Edge)

تعمل واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge من خلال إرسال طلبات إلى خادم إدارة Edge، حيث يتيح خادم الإدارة أنواع المصادقة التالية:

  • المصادقة الأساسية: يمكنك تسجيل الدخول إلى واجهة مستخدم Edge أو تقديم طلبات إلى واجهة برمجة تطبيقات إدارة Edge من خلال إدخال اسم المستخدم وكلمة المرور.
  • OAuth2: تبادل بيانات اعتماد مصادقة Edge الأساسية لرمز الدخول OAuth2 والرمز المميز لإعادة التحميل. يمكنك إجراء طلبات إلى واجهة برمجة تطبيقات إدارة Edge من خلال تمرير رمز الدخول OAuth2 المميز في عنوان الحامل لاستدعاء واجهة برمجة التطبيقات.

يتيح Edge استخدام موفِّري الهوية (IdP) الخارجيين التاليين للمصادقة:

  • لغة ترميز تأكيد الأمان (SAML) 2.0: يمكنك إنشاء إمكانية الوصول عبر OAuth إلى هذه اللغة من تأكيدات SAML التي يعرضها موفِّر هوية SAML.
  • البروتوكول الخفيف لتغيير بيانات الدليل (LDAP): يمكنك استخدام بحث وربط LDAP أو طرق مصادقة الربط البسيطة لإنشاء رموز دخول OAuth.

يتوافق كل من موفِّري الهوية (idP) في LDAP وSAML مع بيئة الدخول الموحّد (SSO). باستخدام موفِّر هوية (idP) خارجي مع Edge، يمكنك إتاحة الدخول المُوحَّد (SSO) لواجهة مستخدم Edge وواجهة برمجة التطبيقات في Edge بالإضافة إلى أي خدمات أخرى توفّرها وتدعم أيضًا موفّر الهوية الخارجي.

تختلف التعليمات الواردة في هذا القسم لتفعيل الدعم الخارجي لموفِّر الهوية عن المصادقة الخارجية بالطرق التالية:

  • يوفّر هذا القسم إمكانية استخدام خدمة الدخول المُوحَّد (SSO).
  • هذا القسم مخصص لمستخدمي واجهة مستخدم Edge (وليس واجهة المستخدم الكلاسيكية)
  • هذا القسم متوافق فقط على الإصدار 4.19.06 والإصدارات الأحدث.

لمحة عن خدمة الدخول المُوحَّد (SSO) لخدمة Apigee

لدعم SAML أو LDAP على Edge، عليك تثبيت apigee-sso، وهي وحدة الدخول المُوحَّد (SSO) من Apigee. تُظهر الصورة التالية خدمة Apigee لخدمة الدخول المُوحَّد (SSO) في Edge for Private Cloud:

استخدام المنفذ لخدمة Apigee الموحّدة

يمكنك تثبيت وحدة Apigee للدخول الموحّد (SSO) على نفس العقدة مثل واجهة مستخدم Edge وخادم الإدارة، أو على العقدة الخاصة بها. تأكَّد من إمكانية وصول خدمة Apigee لخدمة الدخول المُوحَّد (SSO) إلى خادم الإدارة عبر المنفذ 8080.

يجب أن يكون المنفذ 9099 مفتوحًا في عقدة Apigee رسوم الدخول المُوحَّد (SSO) لإتاحة الوصول إلى خدمة الدخول المُوحَّد (SSO) إلى Apigee من متصفّح، من موفِّر الهوية (IdP) الخارجي أو SAML أو LDAP، ومن "خادم الإدارة" وواجهة مستخدم Edge. كجزء من عملية ضبط الدخول المُوحَّد (SSO) إلى Apigee، يمكنك تحديد أنّ الاتصال الخارجي يستخدم HTTP أو بروتوكول HTTPS المشفّر.

يستخدم تسجيل الدخول الموحَّد (SSO) لخدمة Apigee قاعدة بيانات Postgres يمكن الوصول إليها على المنفذ 5432 في عقدة Postgres. يمكنك عادةً استخدام خادم Postgres نفسه الذي تم تثبيته مع Edge، إما خادم Postgres مستقل أو خادمَي Postgres تم ضبطهما في وضع "الشاشة الرئيسية" أو "وضع الاستعداد". إذا كان الحِمل على خادم Postgres مرتفعًا، يمكنك أيضًا اختيار إنشاء عقدة Postgres منفصلة لخدمة ApigeeSSO فقط.

توفير دعم بشأن بروتوكول OAuth2 إلى Edge لـ Private Cloud

كما ذُكر أعلاه، يعتمد تنفيذ SAML لـ Edge على رموز دخول OAuth2.لذلك، تمت إضافة دعم OAuth2 إلى Edge لـ Private Cloud. للحصول على مزيد من المعلومات، راجِع مقدمة عن OAuth 2.0.

لمحة عن SAML

توفر مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:

  • يمكنك التحكّم بشكل كامل في إدارة المستخدمين. عندما يغادر المستخدمون مؤسستك ويتم إيقاف توفير المتطلبات اللازمة لهم مركزيًا، يتم تلقائيًا رفض وصولهم إلى Edge.
  • يمكنك التحكم في كيفية مصادقة المستخدمين للوصول إلى Edge. يمكنك اختيار أنواع مصادقة مختلفة لمؤسسات Edge المختلفة.
  • التحكُّم في سياسات المصادقة. قد يتيح موفِّر SAML سياسات المصادقة الأكثر توافقًا مع معايير مؤسستك.
  • يمكنك رصد عمليات تسجيل الدخول وعمليات تسجيل الخروج ومحاولات تسجيل الدخول غير الناجحة والأنشطة عالية الخطورة عند نشر Edge.

عند تفعيل SAML، يتم استخدام رموز الدخول عبر OAuth2 للوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge. يتم إنشاء هذه الرموز المميّزة من خلال وحدة الدخول المُوحَّد (SSO) في Apigee التي تقبل تأكيدات SAML التي يعرضها موفّر الهوية (IdP).

بعد إنشاء رمز OAuth المميز من تأكيد SAML، يكون صالحًا لمدة 30 دقيقة ويكون الرمز المميز لإعادة التحميل صالحًا لمدة 24 ساعة. قد تدعم بيئة التطوير التشغيل الآلي لمهام التطوير الشائعة، مثل التشغيل الآلي للاختبار أو التكامل المستمر/النشر المستمر (CI/CD)، والتي تتطلب رموزًا مميزة ذات مدة أطول. راجِع استخدام SAML مع المهام المبرمَجة للحصول على معلومات عن إنشاء رموز مميّزة خاصة للمهام المبرمَجة.

لمحة عن LDAP

البروتوكول الخفيف لتغيير بيانات الدليل (LDAP) هو بروتوكول تطبيقات مفتوح وفقًا للمعيار المتّبع في المجال للدخول إلى خدمات معلومات الأدلة الموزعة وصيانتها. وقد توفر خدمات الدليل أي مجموعة منظمة من السجلات، وغالبًا ما تكون ذات بنية هرمية، مثل دليل البريد الإلكتروني للشركة.

تستخدم مصادقة LDAP ضمن خدمة الدخول الموحّد في Apigee وحدة Spring Security LDAP. ونتيجةً لذلك، ترتبط طرق المصادقة وخيارات الضبط لإتاحة خدمة LDAP لخدمة Apigee لخدمة الدخول المُوحَّد (SSO) مباشرةً بتلك الطرق المتوفّرة في خدمة Spring Security LDAP.

يتوافق LDAP مع Edge الخاص بالسحابة الإلكترونية الخاصة مع طرق المصادقة التالية مقابل خادم متوافق مع LDAP:

  • البحث والربط (ربط غير مباشر)
  • الربط البسيط (ربط مباشر)

يحاول الدخول الموحَّد (SSO) في Apigee استرداد عنوان البريد الإلكتروني للمستخدم وتعديل سجلّ المستخدم الداخلي به حتى يكون هناك عنوان بريد إلكتروني حالي مسجَّل، حيث يستخدم Edge هذا البريد الإلكتروني لأغراض الحصول على إذن.

عناوين URL لواجهة برمجة التطبيقات وواجهة مستخدم Edge

يكون عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge مطابقًا لعنوان URL الذي تم استخدامه قبل تفعيل SAML أو LDAP. بالنسبة إلى واجهة مستخدم Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

حيث يكون edge_UI_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات للجهاز الذي يستضيف واجهة مستخدم Edge. كجزء من عملية إعداد واجهة مستخدم Edge، يمكنك تحديد أنّ الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفّر.

بالنسبة إلى واجهة برمجة تطبيقات إدارة Edge:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

حيث ms_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات لخادم الإدارة. كجزء من عملية إعداد واجهة برمجة التطبيقات، يمكنك تحديد أنّ الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفَّر.

ضبط بروتوكول أمان طبقة النقل (TLS) في خدمة الدخول المُوحَّد (SSO) لخدمة Apigee

بشكل تلقائي، يستخدم الاتصال بخدمة Apigee الدخول المُوحَّد (SSO) HTTP عبر المنفذ 9099 على العقدة التي تستضيف apigee-sso، وهي وحدة الدخول الموحّد Apigee. ويتضمّن apigee-sso مثيل Tomcat الذي يعالج طلبات HTTP وHTTPS.

يتيح تسجيل الدخول الموحّد في Apigee وTomcat ثلاثة أوضاع اتصال:

  • تلقائي: يتوافق الإعداد التلقائي مع طلبات HTTP على المنفذ 9099.
  • SSL_TERMINATION: تم تفعيل إمكانية الوصول عبر بروتوكول أمان طبقة النقل (TLS) إلى خدمة الدخول المُوحَّد (SSO) لخدمة Apigee على المنفذ الذي تختاره. يجب تحديد مفتاح TLS وشهادة لهذا الوضع.
  • SSL_PROXY: تضبط هذه السياسة الدخول المُوحَّد (SSO) لخدمة Apigee في وضع الخادم الوكيل، ما يعني أنّك ثبّت جهاز موازنة الحمل أمام apigee-sso وإنهاء بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة التحميل. يمكنك تحديد المنفذ المستخدَم على apigee-sso للطلبات من جهاز موازنة الحمل.

تفعيل دعم موفِّر الهوية الخارجي للبوابة

بعد تفعيل الدعم الخارجي لموفِّر الهوية في Edge، يمكنك اختياريًا تفعيله لبوابة خدمات مطوّري Apigee (أو ببساطة، البوابة). تتوافق البوابة مع مصادقة SAML وLDAP عند تقديم طلبات إلى Edge. يُرجى العلم أنّ هذه الطريقة تختلف عن مصادقة SAML وLDAP عند تسجيل دخول المطوّرين إلى البوابة. ويمكنك ضبط مصادقة موفّر الهوية الخارجية لتسجيل دخول المطوّر بشكل منفصل. اطّلِع على ضبط البوابة لاستخدام موفِّري الهوية (IdP) لمزيد من المعلومات.

كجزء من عملية إعداد البوابة، يجب تحديد عنوان URL لوحدة تسجيل الدخول الموحّد في Apigee التي تم تثبيتها باستخدام Edge:

مسار الطلب/الاستجابة مع الرموز المميّزة