Omówienie uwierzytelniania zewnętrznego dostawcy tożsamości (nowy interfejs użytkownika Edge)

Interfejs użytkownika Edge i interfejs Edge Management API działają przez wysyłanie żądań do serwera zarządzania brzegowymi, przy czym serwer zarządzania obsługuje te typy uwierzytelniania:

  • Uwierzytelnianie podstawowe: zaloguj się w interfejsie użytkownika Edge lub wyślij żądania do interfejsu Edge Management API, podając swoją nazwę użytkownika i hasło.
  • OAuth2: wymień dane uwierzytelniające podstawowego uwierzytelniania Edge na token dostępu OAuth2 i token odświeżania. Możesz wykonywać wywołania interfejsu Edge Management API, przekazując token dostępu OAuth2 w nagłówku okaziciela wywołania interfejsu API.

Edge obsługuje uwierzytelnianie przy użyciu tych zewnętrznych dostawców tożsamości:

  • Security Assertion Markup Language (SAML) 2.0:generuj do nich dostęp OAuth na podstawie potwierdzeń SAML zwracanych przez dostawcę tożsamości SAML.
  • Lightweight Directory Access Protocol (LDAP): generuje tokeny dostępu OAuth za pomocą wyszukiwania i tworzenia powiązań lub prostych metod uwierzytelniania LDAP.

Zarówno dostawcy tożsamości SAML, jak i LDAP obsługują środowisko logowania jednokrotnego. Korzystając z zewnętrznego dostawcy tożsamości, możesz obsługiwać logowanie jednokrotne w interfejsie użytkownika i interfejsie API Edge oraz dowolnych innych udostępnianych przez Ciebie usługach, które obsługują też zewnętrznego dostawcę tożsamości.

Instrukcje włączania obsługi zewnętrznych dostawców tożsamości różnią się od uwierzytelniania zewnętrznego w tych przypadkach:

  • Ta sekcja zawiera informacje na temat obsługi logowania jednokrotnego
  • Ta sekcja jest przeznaczona dla użytkowników interfejsu Edge (nie klasycznego)
  • Ta sekcja jest obsługiwana tylko od wersji 4.19.06 i nowszych

Informacje o logowaniu jednokrotnym w Apigee

Aby obsługiwać SAML lub LDAP w Edge, zainstaluj apigee-sso – moduł logowania jednokrotnego Apigee. Poniższy obraz przedstawia instalację logowania jednokrotnego w Apigee w Edge for Private Cloud:

Wykorzystanie portu na potrzeby logowania jednokrotnego w Apigee

Moduł logowania jednokrotnego Apigee możesz zainstalować w tym samym węźle co użytkownika Edge i serwera zarządzania lub w jego własnym węźle. Sprawdź, czy logowanie jednokrotne przez Apigee ma dostęp do serwera zarządzania przez port 8080.

Port 9099 musi być otwarty w węźle logowania jednokrotnego Apigee, aby obsługiwać dostęp do logowania jednokrotnego Apigee z przeglądarki, z zewnętrznego dostawcy tożsamości SAML lub LDAP oraz z serwera zarządzania i interfejsu użytkownika Edge. Podczas konfigurowania logowania jednokrotnego w Apigee możesz określić, czy połączenie zewnętrzne używa protokołu HTTP lub szyfrowanego protokołu HTTPS.

Logowanie jednokrotne w Apigee używa bazy danych Postgres dostępnej przez port 5432 w węźle Postgres. Zwykle można użyć tego samego serwera Postgres, który został zainstalowany w Edge, jako samodzielnego serwera Postgres lub dwóch serwerów Postgres skonfigurowanych w trybie mastera/gotowości. Jeśli obciążenie serwera Postgres jest wysokie, możesz też utworzyć oddzielny węzeł Postgres tylko na potrzeby logowania jednokrotnego Apigee.

Dodano obsługę OAuth2 do Edge dla Private Cloud

Jak już wspomnieliśmy, implementacja brzegowa SAML korzysta z tokenów dostępu OAuth2.Dlatego dodaliśmy obsługę protokołu OAuth2 do Edge dla chmury Private Cloud. Więcej informacji znajdziesz w artykule Wprowadzenie do protokołu OAuth 2.0.

Informacje o SAML

Uwierzytelnianie SAML ma kilka zalet. Dzięki SAML możesz:

  • Przejmij pełną kontrolę nad zarządzaniem użytkownikami. Gdy użytkownicy opuszczą organizację i zostaną wyrejestrowane centralnie, automatycznie utracą dostęp do Edge.
  • Kontroluj sposób uwierzytelniania użytkowników, aby uzyskać dostęp do Edge. Możesz wybrać różne typy uwierzytelniania dla różnych organizacji Edge.
  • Kontroluj zasady uwierzytelniania. Dostawca SAML może obsługiwać zasady uwierzytelniania bardziej zgodne ze standardami Twojej firmy.
  • Możesz monitorować logowania, wylogowania, nieudane próby logowania i aktywności wysokiego ryzyka we wdrożeniu brzegowym.

Gdy protokół SAML jest włączony, dostęp do interfejsu użytkownika Edge i interfejsu Edge Management API używa tokenów dostępu OAuth2. Te tokeny są generowane przez moduł logowania jednokrotnego Apigee, który akceptuje potwierdzenia SAML zwracane przez dostawcę tożsamości.

Token OAuth wygenerowany na podstawie potwierdzenia SAML jest ważny przez 30 minut, a token odświeżania – przez 24 godziny. Twoje środowisko programistyczne może obsługiwać automatyzację w przypadku typowych zadań programistycznych, takich jak automatyzacja testów lub ciągła integracja/ciągłe wdrażanie (CI/CD), które wymagają tokenów o dłuższym czasie trwania. Informacje o tworzeniu tokenów specjalnych na potrzeby zadań automatycznych znajdziesz w artykule o używaniu SAML z zadaniami automatycznymi.

Informacje o LDAP

Protokół LDAP (Lightweight Directory Access Protocol) to otwarty, standardowy protokół aplikacji do uzyskiwania dostępu do rozproszonych usług informacji katalogowych i ich utrzymywania. Usługi katalogowe mogą udostępniać dowolny zorganizowany zestaw rekordów, często o hierarchicznej strukturze, np. w firmowym katalogu adresów e-mail.

Uwierzytelnianie LDAP w usłudze Apigee SSO korzysta z modułu LDAP Spring Security. W związku z tym metody uwierzytelniania i opcje konfiguracji obsługujące LDAP SSO w Apigee są bezpośrednio powiązane z metodami, które można znaleźć w Spring Security LDAP.

LDAP z Edge dla chmury prywatnej obsługuje te metody uwierzytelniania w odniesieniu do serwera zgodnego z LDAP:

  • Wyszukaj i powiąż (powiązanie pośrednie)
  • Proste powiązanie (bezpośrednie wiązanie)

Logowanie jednokrotne Apigee próbuje pobrać adres e-mail użytkownika i zaktualizować przy jego użyciu wewnętrzny rekord użytkownika, tak aby istniał już zapisany adres e-mail, ponieważ Edge używa tego adresu do autoryzacji.

Adresy URL interfejsu Edge i API

Adres URL używany do uzyskiwania dostępu do interfejsu Edge i interfejsu Edge Management API jest taki sam jak URL użyty przed włączeniem SAML lub LDAP. W interfejsie użytkownika Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Gdzie edge_UI_IP_DNS to adres IP lub nazwa DNS maszyny hostującej interfejs Edge. W ramach konfigurowania interfejsu użytkownika Edge możesz określić, czy połączenie używa protokołu HTTP lub szyfrowanego protokołu HTTPS.

W przypadku interfejsu Edge Management API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Gdzie ms_IP_DNS to adres IP lub nazwa DNS serwera zarządzania. Podczas konfigurowania interfejsu API możesz określić, czy połączenie używa protokołu HTTP, czy szyfrowanego protokołu HTTPS.

Konfigurowanie TLS w Apigee SSO

Domyślnie połączenie z logowaniem jednokrotnym w Apigee używa portu 9099 w węźle hostującym apigee-sso, czyli module logowania jednokrotnego w Apigee. Wbudowana w apigee-sso instancja Tomcat obsługuje żądania HTTP i HTTPS.

Logowanie jednokrotne w Apigee i Tomcat obsługują 3 tryby połączenia:

  • DEFAULT: domyślna konfiguracja obsługuje żądania HTTP na porcie 9099.
  • SSL_TERMINATION: na wybranym porcie włączono dostęp TLS do logowania jednokrotnego w Apigee. W tym trybie musisz określić klucz TLS i certyfikat.
  • SSL_PROXY: konfiguruje logowanie jednokrotne w Apigee w trybie serwera proxy, co oznacza, że został zainstalowany system równoważenia obciążenia przed apigee-sso, a protokół TLS został zakończony w systemie równoważenia obciążenia. Możesz określić port używany w apigee-sso na potrzeby żądań wysyłanych z systemu równoważenia obciążenia.

Włącz obsługę zewnętrznych dostawców tożsamości dla portalu

Po włączeniu obsługi zewnętrznej usługi dostawcy tożsamości dla Edge możesz ją włączyć opcjonalnie dla portalu usług dla programistów Apigee (lub po prostu w portalu). Portal obsługuje uwierzytelnianie SAML i LDAP podczas wysyłania żądań do Edge. Zwróć uwagę, że różni się to od uwierzytelniania SAML i LDAP na potrzeby logowania programisty w portalu. Uwierzytelnianie zewnętrznego dostawcy tożsamości na potrzeby logowania programisty konfigurujesz osobno. Więcej informacji znajdziesz w artykule o konfigurowaniu portalu pod kątem używania dostawców tożsamości.

Podczas konfigurowania portalu musisz podać adres URL modułu logowania jednokrotnego Apigee zainstalowanego przy użyciu Edge:

Proces żądań i odpowiedzi z użyciem tokenów