Diese Seite wurde von der Cloud Translation API übersetzt.

Unterstützung von SAML in Edge für Private Cloud

Edge for Private Cloud Version 4.17.09

Die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API senden Anfragen an den Edge-Verwaltungsserver, wobei der Verwaltungsserver die folgenden Authentifizierungstypen unterstützt:

Basisauthentifizierung: Melden Sie sich in der Edge-Benutzeroberfläche an oder senden Sie Anfragen an die Edge-Verwaltungs-API, indem Sie Ihren Nutzernamen und Ihr Passwort übergeben.
OAuth2: Tauschen Sie Ihre Edge-Anmeldedaten für die grundlegende Authentifizierung gegen ein OAuth2-Zugriffstoken und ein Aktualisierungstoken aus. Rufen Sie die Edge-Verwaltungs-API auf, indem Sie das OAuth2-Zugriffstoken im Bearer-Header eines API-Aufrufs übergeben.

Edge unterstützt auch SAML 2.0 (Security Assertion Markup Language) als Authentifizierungsmechanismus. Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API weiterhin OAuth2-Zugriffstokens verwendet. Jetzt können Sie diese Tokens jedoch aus SAML-Assertions generieren, die von einem SAML-Identitätsanbieter zurückgegeben wurden.

Hinweis: SAML wird nur als Authentifizierungsmechanismus unterstützt. Es wird für die Autorisierung nicht unterstützt. Daher verwenden Sie weiterhin die OpenLDAP-Datenbank von Edge, um Autorisierungsinformationen zu verwalten. Weitere Informationen finden Sie unter Rollen zuweisen.

SAML unterstützt eine SSO-Umgebung (Single Sign-On). Wenn Sie SAML mit Edge verwenden, können Sie SSO für die Edge-Benutzeroberfläche und ‑API sowie für alle anderen von Ihnen bereitgestellten Dienste unterstützen, die ebenfalls SAML unterstützen.

Unterstützung für OAuth2 für Edge for Private Cloud

Wie bereits erwähnt, basiert die Edge-Implementierung von SAML auf OAuth2-Zugriffstokens.Daher wurde Edge for Private Cloud die OAuth2-Unterstützung hinzugefügt. Weitere Informationen finden Sie unter Einführung in OAuth 2.0.

Vorteile von SAML

Die SAML-Authentifizierung bietet mehrere Vorteile. Mit SAML können Sie Folgendes tun:

Sie haben die volle Kontrolle über die Nutzerverwaltung. Wenn Nutzer Ihre Organisation verlassen und deren Bereitstellung zentral aufgehoben wird, wird ihnen der Zugriff auf Edge automatisch verweigert.
Festlegen, wie sich Nutzer für den Zugriff auf Edge authentifizieren Sie können für verschiedene Edge-Organisationen unterschiedliche Authentifizierungstypen auswählen.
Authentifizierungsrichtlinien steuern. Ihr SAML-Anbieter unterstützt möglicherweise Authentifizierungsrichtlinien, die den Unternehmensstandards entsprechen.
Sie können Anmeldungen, Abmeldungen, fehlgeschlagene Anmeldeversuche und Aktivitäten mit hohem Risiko für Ihre Edge-Bereitstellung überwachen.

SAML mit Edge verwenden

Wenn Sie SAML in Edge unterstützen möchten, installieren Sie apigee-sso, das Edge-SSO-Modul. Die folgende Abbildung zeigt Edge SSO in einer Edge für Private Cloud-Installation:

Sie können das Edge SSO-Modul auf demselben Knoten wie die Edge-Benutzeroberfläche und den Verwaltungsserver oder auf einem eigenen Knoten installieren. Edge SSO muss über Port 8080 auf den Verwaltungsserver zugreifen können.

Port 9099 muss auf dem Edge SSO-Knoten geöffnet sein, um den Zugriff auf Edge SSO über einen Browser, den externen SAML-IdP, den Verwaltungsserver und die Edge-Benutzeroberfläche zu ermöglichen. Im Rahmen der Konfiguration von Edge-SSO können Sie angeben, dass die externe Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.

Edge SSO verwendet eine Postgres-Datenbank, auf die über Port 5432 am Postgres-Knoten zugegriffen werden kann. Normalerweise können Sie denselben Postgres-Server verwenden, den Sie mit Edge installiert haben. Das kann entweder ein eigenständiger Postgres-Server oder zwei Postgres-Server sein, die im Master/Standby-Modus konfiguriert sind. Wenn die Auslastung Ihres Postgres-Servers hoch ist, können Sie auch einen separaten Postgres-Knoten nur für Edge-SSO erstellen.

Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API OAuth2-Zugriffstokens verwendet. Diese Tokens werden vom Edge-SSO-Modul generiert, das SAML-Assertions akzeptiert, die von Ihrem IdP zurückgegeben werden.

Nach der Generierung aus einer SAML-Bestätigung ist das OAuth-Token 30 Minuten und das Aktualisierungstoken 24 Stunden lang gültig. Ihre Entwicklungsumgebung kann die Automatisierung für gängige Entwicklungsaufgaben wie Testautomatisierung oder Continuous Integration/Continuous Deployment (CI/CD) unterstützen, für die Tokens mit einer längeren Dauer erforderlich sind. Informationen zum Erstellen spezieller Tokens für automatisierte Aufgaben finden Sie unter SAML mit automatisierten Aufgaben verwenden.

Edge-UI- und API-URLs

Die URL, über die Sie auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API zugreifen, ist dieselbe wie vor der SAML-Aktivierung. Für die Edge-Benutzeroberfläche:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

Dabei ist edge_ui_IP_DNS die IP-Adresse oder der DNS-Name des Computers, auf dem die Edge-Benutzeroberfläche gehostet wird. Bei der Konfiguration der Edge-Benutzeroberfläche können Sie angeben, dass für die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet werden soll.

Für die Edge Management API:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

Dabei ist ms_IP_DNS die IP-Adresse oder der DNS-Name des Verwaltungsservers. Bei der Konfiguration der API kannst du angeben, dass für die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet werden soll.

TLS für Edge SSO konfigurieren

Standardmäßig verwendet die Verbindung zu Edge SSO HTTP over Port 9099 auf dem Knoten, der apigee-sso, das Edge-SSO-Modul, hostet. In apigee-sso ist eine Tomcat-Instanz integriert, die die HTTP- und HTTPS-Anfragen verarbeitet.

Edge SSO und Tomcat unterstützen drei Verbindungsmodi:

STANDARD: Die Standardkonfiguration unterstützt HTTP-Anfragen an Port 9099.
SSL_TERMINATION: Aktivierter TLS-Zugriff auf Edge SSO über den Port Ihrer Wahl. Für diesen Modus müssen Sie einen TLS-Schlüssel und ein TLS-Zertifikat angeben.
SSL_PROXY: Konfiguriert Edge-SSO im Proxy-Modus. Das bedeutet, dass Sie einen Load Balancer vor apigee-sso installiert und TLS am Load Balancer beendet haben. Sie können den Port angeben, der bei apigee-sso für Anfragen vom Load Balancer verwendet wird.

SAML-Unterstützung für das Entwicklerdienste-Portal und für API BaaS aktivieren

Nachdem Sie die SAML-Unterstützung für Edge aktiviert haben, können Sie SAML optional für Folgendes aktivieren:

API BaaS: Sowohl das BaaS-Portal als auch der BaaS-Stack unterstützen SAML für die Nutzerauthentifizierung. Weitere Informationen finden Sie unter SAML für API BaaS aktivieren.
Developer Services-Portal: Das Portal unterstützt die SAML-Authentifizierung bei Anfragen an Edge. Hinweis: Dies unterscheidet sich von der SAML-Authentifizierung für die Anmeldung von Entwicklern im Portal. Die SAML-Authentifizierung für die Entwickleranmeldung wird separat konfiguriert. Weitere Informationen finden Sie unter Portal für Entwicklerdienste für die Kommunikation mit Edge über SAML konfigurieren.

Beim Konfigurieren des Entwicklerdiensteportals und der API BaaS müssen Sie die URL des Edge-SSO-Moduls angeben, das Sie mit Edge installiert haben:

Da Edge und API BaaS dasselbe Edge-SSO-Modul verwenden, unterstützen sie die Einmalanmeldung. Das heißt, wenn Sie sich entweder in Edge oder in API BaaS anmelden, werden Sie in beiden angemeldet. Das bedeutet auch, dass Sie nur einen Speicherort für alle Nutzeranmeldedaten verwalten müssen.

Optional können Sie auch die Einmalabmeldung konfigurieren. Weitere Informationen finden Sie unter Abmeldung über die Edge-Benutzeroberfläche konfigurieren.