Ringkasan autentikasi IDP eksternal (UI Edge Baru)

UI Edge dan API pengelolaan Edge beroperasi dengan membuat permintaan ke Server Pengelolaan Edge, dengan Server Pengelolaan mendukung jenis autentikasi berikut:

  • Autentikasi dasar: Login ke UI Edge atau buat permintaan ke Edge Management API dengan meneruskan nama pengguna dan sandi Anda.
  • OAuth2: Tukar kredensial Edge Basic Auth dengan token akses OAuth2 dan token refresh. Lakukan panggilan ke Edge Management API dengan meneruskan token akses OAuth2 di header Pembawa panggilan API.

Edge mendukung penggunaan Identitas Penyedia (IDP) eksternal berikut untuk autentikasi:

  • Security Assertion Markup Language (SAML) 2.0: Membuat akses OAuth ini dari pernyataan SAML yang ditampilkan oleh penyedia identitas SAML.
  • Lightweight Directory Access Protocol (LDAP): Menggunakan metode penelusuran dan pengikatan LDAP atau autentikasi binding sederhana untuk membuat token akses OAuth.

IDP SAML dan LDAP mendukung lingkungan single sign-on (SSO). Dengan menggunakan IDP eksternal dengan Edge, Anda dapat mendukung SSO untuk UI dan API Edge selain untuk layanan lain yang Anda sediakan dan yang juga mendukung IDP eksternal Anda.

Petunjuk di bagian ini untuk mengaktifkan dukungan IDP eksternal berbeda dengan Autentikasi eksternal dalam cara berikut:

  • Bagian ini menambahkan dukungan SSO
  • Bagian ini ditujukan untuk pengguna UI Edge (bukan UI Klasik)
  • Bagian ini hanya didukung pada 4.19.06 dan yang lebih baru

Tentang SSO Apigee

Untuk mendukung SAML atau LDAP di Edge, Anda harus menginstal apigee-sso, modul SSO Apigee. Gambar berikut menampilkan SSO Apigee di Edge untuk penginstalan Private Cloud:

Penggunaan port untuk SSO Apigee

Anda dapat menginstal modul SSO Apigee pada node yang sama dengan UI Edge dan Server Pengelolaan, atau pada node-nya sendiri. Pastikan SSO Apigee memiliki akses ke Server Pengelolaan melalui port 8080.

Port 9099 harus dibuka di node SSO Apigee untuk mendukung akses ke SSO Apigee dari browser, dari SAML eksternal atau LDAP IDP, serta dari Server Pengelolaan dan UI Edge. Sebagai bagian dari konfigurasi SSO Apigee, Anda dapat menentukan bahwa koneksi eksternal menggunakan protokol HTTP atau HTTPS terenkripsi.

SSO Apigee menggunakan database Postgres yang dapat diakses di port 5432 pada node Postgres. Biasanya, Anda dapat menggunakan server Postgres yang sama dengan yang Anda instal dengan Edge, baik server Postgres mandiri atau dua server Postgres yang dikonfigurasi dalam mode master/standby. Jika beban di server Postgres tinggi, Anda juga dapat memilih untuk membuat node Postgres terpisah hanya untuk SSO Apigee.

Dukungan ditambahkan untuk OAuth2 ke Edge untuk Private Cloud

Seperti yang disebutkan di atas, implementasi Edge SAML bergantung pada token akses OAuth2.Oleh karena itu, dukungan OAuth2 telah ditambahkan ke Edge untuk Private Cloud. Untuk informasi selengkapnya, lihat Pengantar OAuth 2.0.

Tentang SAML

Autentikasi SAML menawarkan beberapa keuntungan. Dengan menggunakan SAML, Anda dapat:

  • Kontrol sepenuhnya pengelolaan pengguna. Saat pengguna keluar dari organisasi Anda dan dicabut aksesnya secara terpusat, akses mereka ke Edge akan otomatis ditolak.
  • Kontrol cara pengguna melakukan autentikasi untuk mengakses Edge. Anda dapat memilih jenis autentikasi yang berbeda untuk organisasi Edge yang berbeda.
  • Mengontrol kebijakan autentikasi. Penyedia SAML Anda mungkin mendukung kebijakan autentikasi yang lebih sesuai dengan standar perusahaan Anda.
  • Anda dapat memantau login, logout, upaya login yang gagal, dan aktivitas berisiko tinggi di deployment Edge.

Dengan mengaktifkan SAML, akses ke UI Edge dan API pengelolaan Edge menggunakan token akses OAuth2. Token ini dibuat oleh modul SSO Apigee yang menerima pernyataan SAML yang ditampilkan oleh IDP Anda.

Setelah dibuat dari pernyataan SAML, token OAuth akan berlaku selama 30 menit dan token refresh akan berlaku selama 24 jam. Lingkungan pengembangan Anda mungkin mendukung otomatisasi untuk tugas pengembangan umum, seperti otomatisasi pengujian atau Continuous Integration/Continuous Deployment (CI/CD), yang memerlukan token dengan durasi yang lebih lama. Lihat Menggunakan SAML dengan tugas otomatis untuk mendapatkan informasi tentang cara membuat token khusus untuk tugas otomatis.

Tentang LDAP

Lightweight Directory Access Protocol (LDAP) adalah protokol aplikasi standar industri terbuka untuk mengakses dan memelihara layanan informasi direktori terdistribusi. Layanan direktori dapat menyediakan kumpulan catatan yang terorganisir, sering kali dengan struktur hierarkis, seperti direktori email perusahaan.

Autentikasi LDAP dalam SSO Apigee menggunakan modul LDAP Spring Security. Akibatnya, metode autentikasi dan opsi konfigurasi untuk dukungan LDAP Apigee SSO berkorelasi langsung dengan metode yang ditemukan di LDAP Spring Security.

LDAP dengan Edge untuk Private Cloud mendukung metode autentikasi berikut di server yang kompatibel dengan LDAP:

  • Telusuri dan Pengikatan (binding tidak langsung)
  • Pengikatan Sederhana (binding langsung)

SSO Apigee mencoba mengambil alamat email pengguna dan memperbarui catatan pengguna internalnya dengan alamat email tersebut sehingga ada alamat email saat ini yang tercatat karena Edge menggunakan email ini untuk tujuan otorisasi.

URL UI dan API Edge

URL yang Anda gunakan untuk mengakses UI Edge dan Edge Management API sama dengan yang digunakan sebelum Anda mengaktifkan SAML atau LDAP. Untuk UI Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Dengan edge_UI_IP_DNS adalah alamat IP atau nama DNS perangkat yang menghosting UI Edge. Sebagai bagian dari mengonfigurasi UI Edge, Anda dapat menentukan bahwa koneksi menggunakan protokol HTTP atau HTTPS terenkripsi.

Untuk Edge management API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Dengan ms_IP_DNS adalah alamat IP atau nama DNS Server Pengelolaan. Sebagai bagian dari konfigurasi API, Anda dapat menentukan agar koneksi menggunakan protokol HTTP atau HTTPS terenkripsi.

Mengonfigurasi TLS di SSO Apigee

Secara default, koneksi ke SSO Apigee menggunakan HTTP melalui port 9099 di node yang menghosting apigee-sso, modul SSO Apigee. Dibangun ke dalam apigee-sso adalah instance Tomcat yang menangani permintaan HTTP dan HTTPS.

SSO Apigee dan Tomcat mendukung tiga mode koneksi:

  • DEFAULT: Konfigurasi default mendukung permintaan HTTP pada port 9099.
  • SSL_TERMINATION: Akses TLS ke SSO Apigee telah diaktifkan di port pilihan Anda. Anda harus menentukan kunci dan sertifikat TLS untuk mode ini.
  • SSL_PROXY: Mengonfigurasi SSO Apigee dalam mode proxy, yang berarti Anda menginstal load balancer di depan apigee-sso dan menghentikan TLS di load balancer. Anda dapat menentukan port yang digunakan di apigee-sso untuk permintaan dari load balancer.

Mengaktifkan dukungan IDP eksternal untuk portal

Setelah mengaktifkan dukungan IDP eksternal untuk Edge, Anda dapat secara opsional mengaktifkannya untuk portal Layanan Developer Apigee (atau cukup, portal). Portal ini mendukung autentikasi SAML dan LDAP saat membuat permintaan ke Edge. Perlu diperhatikan bahwa hal ini berbeda dengan autentikasi SAML dan LDAP untuk login developer ke portal. Anda mengonfigurasi autentikasi IDP eksternal untuk login developer secara terpisah. Lihat Mengonfigurasi portal untuk menggunakan IDP untuk mengetahui informasi selengkapnya.

Sebagai bagian dari konfigurasi portal, Anda harus menentukan URL modul SSO Apigee yang Anda instal dengan Edge:

Alur permintaan/respons dengan token