A interface e a API de gerenciamento de borda funcionam fazendo solicitações ao servidor de gerenciamento de borda, em que o servidor de gerenciamento oferece suporte aos seguintes tipos de autenticação:
- Autenticação básica:faça login na interface do Edge ou faça solicitações ao gerenciamento do Edge. com seu nome de usuário e senha.
- OAuth2:troque as credenciais do Edge Basic Auth por um acesso do OAuth2. e o token de atualização. Fazer chamadas para a API Edge Management transmitindo o acesso ao OAuth2 no cabeçalho do portador de uma chamada de API.
O Edge oferece suporte ao uso dos seguintes provedores de identificação (IDPs) externos para autenticação:
- Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês) 2.0:gere acesso OAuth a esses de declarações SAML retornadas por um provedor de identidade SAML.
- Protocolo leve de acesso a diretórios (LDAP): usa a pesquisa e a vinculação de LDAP métodos de autenticação de vinculação simples para gerar tokens de acesso OAuth.
Os IdPs SAML e LDAP são compatíveis com um ambiente de Logon único (SSO). Usando um IdP externo Com o Edge, é possível ter suporte ao SSO para a interface e a API do Edge, além de quaisquer outros serviços que você e que também ofereçam suporte ao seu IdP externo.
As instruções nesta seção para ativar o suporte ao IdP externo são diferentes das Autenticação externa no da seguinte maneira:
- Esta seção adiciona suporte a SSO
- Esta seção é destinada aos usuários da interface do Edge (não da IU clássica).
- Esta seção só é compatível com a versão 4.19.06 e mais recentes
Sobre o SSO da Apigee
Para oferecer suporte a SAML ou LDAP no Edge, instale apigee-sso, o módulo SSO da Apigee.
A imagem a seguir mostra o SSO da Apigee em um Edge para instalação de nuvem privada:
É possível instalar o módulo SSO da Apigee no mesmo nó da IU de borda e do servidor de gerenciamento ou em um nó próprio. Verifique se o SSO da Apigee tem acesso ao servidor de gerenciamento pela porta 8080.
A porta 9099 precisa estar aberta no nó SSO da Apigee para permitir o acesso ao SSO da Apigee por um navegador. do IdP SAML ou LDAP e do servidor de gerenciamento e da IU de borda. Como parte da configuração SSO da Apigee, é possível especificar que a conexão externa usa HTTP ou HTTPS criptografado protocolo.
O SSO da Apigee usa um banco de dados do Postgres acessível na porta 5432 no nó do Postgres. Normalmente, pode usar o mesmo servidor Postgres que você instalou com o Edge, seja um Postgres autônomo; ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no Postgres for alto, também será possível criar um nó do Postgres separado apenas para o SSO da Apigee.
Suporte adicionado para OAuth2 ao Edge para nuvem privada.
Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2. O suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte Introdução ao OAuth 2.0.
Sobre o SAML
A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:
- Assuma o controle total do gerenciamento de usuários. Quando os usuários deixam a organização e desprovisionados centralmente, o acesso ao Edge é negado automaticamente.
- Controle como os usuários se autenticam para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações de Edge.
- Controlar políticas de autenticação. Seu provedor de SAML pode ser compatível com políticas de autenticação mais alinhadas aos padrões da sua empresa.
- Você pode monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco no implantação do Edge.
Com o SAML ativado, o acesso à interface e à API Edge Management usa tokens de acesso OAuth2. Esses tokens são gerados pelo módulo SSO da Apigee, que aceita declarações SAML retornadas pelo seu IdP.
Depois de gerado a partir de uma declaração SAML, o token OAuth é válido por 30 minutos e a atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação para tarefas tarefas de desenvolvimento, como automação de testes ou integração/implantação contínuas (CI/CD), que exigem tokens com uma duração maior. Consulte Usar SAML com tarefas automatizadas para informações sobre e criar tokens especiais para tarefas automatizadas.
Sobre o LDAP
O Protocolo leve de acesso a diretórios (LDAP) é um aplicativo aberto padrão do setor para acessar e manter serviços de informações de diretório distribuídos. Diretório serviços podem fornecer qualquer conjunto organizado de registros, muitas vezes com uma estrutura hierárquica, como uma diretório de e-mail corporativo.
A autenticação LDAP no SSO da Apigee usa o módulo LDAP do Spring Security. Como resultado, os métodos de autenticação e as opções de configuração para o suporte a LDAP do SSO da Apigee estão diretamente correlacionados aos encontrados no LDAP do Spring Security.
O LDAP com Edge para a nuvem privada é compatível com os seguintes métodos de autenticação em uma Servidor compatível com LDAP:
- Pesquisa e vinculação (vinculação indireta)
- Vinculação simples (vinculação direta)
O SSO da Apigee tenta recuperar o endereço de e-mail do usuário e atualizar o registro interno dele com ele para que haja um endereço de e-mail atual registrado, já que o Edge usa esse e-mail para autorização. propósitos.
URLs de API e interface do usuário do Edge
O URL que você usa para acessar a interface e a API Edge Management é o mesmo usado antes com o SAML ou o LDAP ativados. Na interface do Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Em que edge_UI_IP_DNS é o endereço IP ou nome DNS da máquina. hospedar a interface do Edge. Como parte da configuração da interface do usuário do Edge, é possível especificar que a conexão use o HTTP ou o protocolo HTTPS criptografado.
Para a API Edge Management:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Em que ms_IP_DNS é o endereço IP ou nome do DNS do sistema Servidor. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o um protocolo HTTPS criptografado.
Configurar o TLS no SSO da Apigee
Por padrão, a conexão com o SSO da Apigee usa HTTP pela porta 9099 no nó que hospeda
apigee-sso, o módulo SSO da Apigee. Um Tomcat está integrado ao apigee-sso
que processa as solicitações HTTP e HTTPS.
O SSO da Apigee e o Tomcat são compatíveis com três modos de conexão:
- PADRÃO: a configuração padrão oferece suporte a solicitações HTTP na porta 9099.
- SSL_TERMINATION::ativado o acesso TLS ao SSO da Apigee na porta do uma melhor opção. É necessário especificar uma chave TLS e um certificado para esse modo.
- SSL_PROXY::configura o SSO da Apigee no modo proxy, o que significa que você instalou um
balanceador de carga na frente de
apigee-ssoe TLS encerrado na carga de carga. É possível especificar a porta usada emapigee-ssopara solicitações da carga de carga.
Ativar o suporte ao IdP externo no portal
Depois de ativar o suporte ao IdP externo para o Edge, você poderá ativá-lo para o portal Apigee Developer Services (ou simplesmente o portal). O portal oferece suporte à autenticação SAML e LDAP ao fazer solicitações ao Edge. Observe que este é diferente da autenticação SAML e LDAP para fazer login do desenvolvedor no portal. Você configura aplicativos externos Autenticação do IdP para o login do desenvolvedor separadamente. Consulte Configure o portal para usar IdPs para saber mais.
Como parte da configuração do portal, especifique o URL do SSO da Apigee que você instalou com o Edge:
