Edge for Private Cloud v. 4.17.09
A interface e a API de gerenciamento de borda funcionam fazendo solicitações ao servidor de gerenciamento de borda, em que o servidor de gerenciamento oferece suporte aos seguintes tipos de autenticação:
- Autenticação básica: faça login na interface do Edge ou faça solicitações para o gerenciamento do Edge. com seu nome de usuário e senha.
- Troque as credenciais do Edge Basic Auth por um acesso do OAuth2 no OAuth2 e o token de atualização. Fazer chamadas para a API Edge Management transmitindo o acesso ao OAuth2 no cabeçalho do portador de uma chamada de API.
O Edge também oferece suporte à Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês) 2.0 como autenticação mecanismo de atenção. Com o SAML ativado, o acesso à interface e à API Edge Management ainda usa o OAuth2. ou tokens de acesso. No entanto, agora você pode gerar esses tokens de declarações SAML retornadas por uma solicitação SAML provedor de identidade externo.
Observação: o SAML é aceito apenas como mecanismo de autenticação. Não é têm suporte para autorização. Portanto, você ainda usa o banco de dados do Edge OpenLDAP para manter informações de autorização. Consulte Como atribuir funções para mais.
O SAML é compatível com um ambiente de Logon único (SSO). Ao usar o SAML com o Edge, você oferece suporte ao SSO para a interface e a API do Edge, além de todos os outros serviços que você fornece e que também SAML.
Suporte adicionado para OAuth2 ao Edge for Private Nuvem
Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2. O suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte Introdução ao OAuth 2.0.
Vantagens do SAML
A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:
- Assuma o controle total do gerenciamento de usuários. Quando os usuários deixam a organização e desprovisionados centralmente, o acesso ao Edge é negado automaticamente.
- Controle como os usuários se autenticam para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações de Edge.
- Controlar políticas de autenticação. Seu provedor de SAML pode ser compatível com políticas de autenticação mais alinhadas aos padrões da sua empresa.
- Você pode monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco no implantação do Edge.
Como usar SAML com o Edge
Para oferecer suporte ao SAML no Edge, instale o apigee-sso, o módulo SSO do Edge. A A imagem a seguir mostra o Edge SSO em um Edge para instalação de nuvem privada:
É possível instalar o módulo SSO de Borda no mesmo nó que a IU de Borda e o Servidor de Gerenciamento ou em um nó próprio. Verifique se o SSO de Borda tem acesso ao Servidor de Gerenciamento pela porta 8080.
A porta 9099 precisa estar aberta no nó SSO do Edge para permitir o acesso ao SSO do Edge por um navegador. do IdP SAML externo e do servidor de gerenciamento e da interface de borda. Como parte da configuração SSO de borda, é possível especificar que a conexão externa usa HTTP ou HTTPS criptografado protocolo.
O SSO do Edge usa um banco de dados do Postgres acessível na porta 5432 no nó do Postgres. Normalmente, pode usar o mesmo servidor Postgres que você instalou com o Edge, seja um Postgres autônomo; ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no Postgres for alto, também será possível criar um nó do Postgres separado apenas para o SSO de borda.
Com o SAML ativado, o acesso à interface e à API Edge Management usa tokens de acesso OAuth2. Esses tokens são gerados pelo módulo SSO do Edge, que aceita declarações SAML retornadas pelo seu IdP.
Depois de gerado a partir de uma declaração SAML, o token OAuth é válido por 30 minutos e a atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação para tarefas tarefas de desenvolvimento, como automação de testes ou integração/implantação contínuas (CI/CD), que exigem tokens com uma duração maior. Consulte Como usar SAML com tarefas automatizadas para mais informações sobre a criação de tokens especiais para tarefas automatizadas.
URLs de API e interface do usuário do Edge
O URL que você usa para acessar a interface e a API Edge Management é o mesmo usado antes com o SAML ativado. Na interface do Edge:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
em que edge_ui_IP_DNS é o endereço IP ou nome DNS da máquina hospedar a interface do Edge. Como parte da configuração da interface do usuário do Edge, é possível especificar que a conexão use o HTTP ou o protocolo HTTPS criptografado.
Para a API Edge Management:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
em que ms_IP_DNS é o endereço IP ou nome DNS do servidor Servidor. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o um protocolo HTTPS criptografado.
Configurar TLS no SSO de borda
Por padrão, a conexão com o SSO de Borda usa HTTP pela porta 9099 no nó que hospeda apigee-sso, o módulo SSO do Edge. Integrado ao apigee-sso está um Tomcat que processa as solicitações HTTP e HTTPS.
O Edge SSO e o Tomcat são compatíveis com três modos de conexão:
- DEFAULT: a configuração padrão oferece suporte a solicitações HTTP na porta. 9099.
- SSL_TERMINATION: ativou o acesso TLS ao SSO do Edge na porta do uma melhor opção. É necessário especificar uma chave TLS e um certificado para esse modo.
- SSL_PROXY: configura o SSO do Edge em modo proxy, ou seja, você instalou um balanceador de carga na frente do apigee-sso e encerrar o TLS no de carga. É possível especificar a porta usada na apigee-sso para solicitações da carga de carga.
Ativar suporte a SAML para o Portal de serviços para desenvolvedores e para o API BaaS
Depois de ativar o suporte a SAML para o Edge, você poderá ativar o SAML para:
- API BaaS: o portal e a pilha BaaS oferecem suporte a SAML para o usuário autenticação. Consulte Como ativar o SAML para o API BaaS para mais.
- Portal de serviços para desenvolvedores: o portal oferece suporte à autenticação SAML fazer solicitações ao Edge. Ela é diferente da autenticação SAML para desenvolvedores faça login no portal. A autenticação SAML é configurada para o login de desenvolvedor separadamente. Consulte Como configurar o o portal de serviços para desenvolvedores usa o SAML para comunicação com o Edge.
Como parte da configuração do portal de serviços para desenvolvedores e do API BaaS, você precisa especificar o URL do o módulo SSO do Edge instalado com o Edge:
Como o Edge e o BaaS de API compartilham o mesmo módulo SSO do Edge, eles oferecem suporte ao logon único. Isso fazer login no Edge ou na API BaaS conecta você a ambos. Isso também significa que você só precisa manter um local para todas as credenciais de usuário.
Também é possível configurar o logout único. Consulte Configurar logout único na interface do Edge.