Supporto di SAML su Edge per cloud privato

Edge per Private Cloud v. 4.17.09

La UI e l'API di gestione perimetrale operano inviando richieste a Edge Management Server, in cui il server di gestione supporta i seguenti tipi di autenticazione:

  • Autorizzazione di base Accedi alla UI di Edge o invia richieste alla gestione perimetrale API inserendo il tuo nome utente e la tua password.
  • OAuth2 Scambia le tue credenziali di autenticazione Edge di base per un accesso OAuth2 e aggiornare il token. Effettuare chiamate all'API di gestione perimetrale trasmettendo l'accesso OAuth2 nell'intestazione di connessione di una chiamata API.

Edge supporta inoltre SAML (Security Assertion Markup Language) 2.0 come servizio meccanismo di attenzione. Con SAML abilitato, l'accesso alla UI e all'API di gestione Edge continua a utilizzare OAuth2 di accesso ai token di accesso. Tuttavia, ora puoi generare questi token dalle asserzioni SAML restituite da un servizio SAML o provider di identità.

Nota: SAML è supportato solo come meccanismo di autenticazione. Non è supportati per l'autorizzazione. Pertanto, utilizzerai comunque il database Edge OpenLDAP per mantenere informazioni sull'autorizzazione. Consulta Assegnazione dei ruoli per altro ancora.

SAML supporta un ambiente Single Sign-On (SSO). Se usi SAML con Edge, puoi supportare l'accesso SSO per l'API e l'interfaccia utente Edge, oltre a qualsiasi altro servizio fornito dall'utente e che supporta SAML.

Supporto aggiunto per OAuth2 per Edge per privato Nuvola

Come già detto, l'implementazione Edge di SAML si basa su token di accesso OAuth2. Il supporto OAuth2 è stato aggiunto a Edge per il cloud privato. Per ulteriori informazioni, consulta l'articolo Introduzione a OAuth 2.0.

Vantaggi di SAML

L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:

  • Assumi il controllo completo della gestione degli utenti. Quando gli utenti lasciano l'organizzazione e vengono di cui viene eseguito il deprovisioning a livello centrale, viene automaticamente negato l'accesso a Edge.
  • Controlla il modo in cui gli utenti si autenticano per accedere a Edge. Puoi scegliere metodi di autenticazione diversi per le diverse organizzazioni Edge.
  • Controlla i criteri di autenticazione. Il tuo provider SAML potrebbe supportare i criteri di autenticazione più in linea con gli standard della tua azienda.
  • Puoi monitorare gli accessi, le disconnessioni, i tentativi di accesso non riusciti e le attività ad alto rischio su del deployment Edge.

Utilizzo di SAML con Edge

Per supportare SAML su Edge, installa apigee-sso, il modulo SSO di Edge. La immagine seguente mostra l'accesso SSO perimetrale in un'installazione di Edge per il cloud privato:

Puoi installare il modulo SSO Edge sullo stesso nodo della UI e del server di gestione Edge oppure sul proprio nodo. Assicurati che l'accesso SSO perimetrale abbia accesso al server di gestione tramite la porta 8080.

La porta 9099 deve essere aperta sul nodo Edge SSO per supportare l'accesso a Edge SSO da un browser. dall'IdP SAML esterno e dal server di gestione e dalla UI perimetrale. Nell'ambito della configurazione SSO perimetrale, puoi specificare che la connessione esterna utilizzi HTTP o il protocollo HTTPS criptato protocollo.

L'accesso SSO perimetrale utilizza un database Postgres accessibile sulla porta 5432 sul nodo Postgres. Di solito puoi usare lo stesso server Postgres che hai installato con Edge, come un modulo Postgres autonomo o due server Postgres configurati in modalità master/standby. Se il carico su Postgres se il server è alto, puoi anche scegliere di creare un nodo Postgres separato solo per l'accesso SSO perimetrale.

Con SAML abilitato, l'accesso alla UI e all'API di gestione Edge utilizza i token di accesso OAuth2. Questi token vengono generati dal modulo SSO Edge che accetta le asserzioni SAML restituite dal il tuo IdP.

Una volta generato da un'asserzione SAML, il token OAuth è valido per 30 minuti e sia valido per 24 ore. Il tuo ambiente di sviluppo potrebbe supportare l'automazione per attività di sviluppo, come l'automazione dei test o l'integrazione continua/deployment continuo (CI/CD), che richiedono token con una durata maggiore. Per informazioni sulla creazione di prodotti, consulta Utilizzare SAML con attività automatizzate. speciali per le attività automatizzate.

URL API e UI Edge

L'URL che utilizzi per accedere alla UI e all'API di gestione Edge è lo stesso di prima hai abilitato SAML. Per la UI Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

dove edge_ui_IP_DNS è l'indirizzo IP o il nome DNS della macchina che ospita la UI Edge. Durante la configurazione della UI Edge, puoi specificare che la connessione HTTP o il protocollo HTTPS criptato.

Per l'API di gestione perimetrale:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

dove ms_IP_DNS è l'indirizzo IP o il nome DNS del servizio di gestione Server. Durante la configurazione dell'API, puoi specificare che la connessione utilizzi HTTP o protocollo HTTPS criptato.

Configura TLS su SSO perimetrale

Per impostazione predefinita, la connessione al servizio SSO perimetrale utilizza HTTP sulla porta 9099 sul nodo che ospita apigee-sso, il modulo SSO di Edge. Integrato in apigee-sso è un Tomcat che gestisce le richieste HTTP e HTTPS.

Edge SSO e Tomcat supportano tre modalità di connessione:

  • PREDEFINITO: la configurazione predefinita supporta le richieste HTTP sulla porta 9099.
  • SSL_TERMINATION - Accesso TLS abilitato per SSO Edge sulla porta della tua scelta. Per questa modalità devi specificare una chiave e un certificato TLS.
  • SSL_PROXY: configura l'accesso SSO perimetrale in modalità proxy, il che significa che hai installato bilanciatore del carico davanti a apigee-sso e TLS terminato sul carico con il bilanciatore del carico di rete passthrough esterno regionale. Puoi specificare la porta utilizzata su apigee-sso per le richieste dal carico con il bilanciatore del carico di rete passthrough esterno regionale.

Attiva il supporto SAML per Portale Servizi per gli sviluppatori e per API BaaS

Dopo aver attivato il supporto SAML per Edge, puoi scegliere di abilitare SAML per:

Durante la configurazione del portale Servizi per sviluppatori e del BaaS dell'API, devi specificare l'URL di il modulo SSO Edge installato con Edge:

Poiché Edge e BaaS API condividono lo stesso modulo SSO Edge, supportano il Single Sign-On. Questo è che, se accedi a Edge o API BaaS, accedi a entrambi. Ciò significa anche che devi solo e mantenere un'unica posizione per tutte le credenziali utente.

Facoltativamente, puoi anche configurare il Single Sign-out. Vedi Configurare il Single Sign-out dalla UI Edge.