تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إتاحة SAML على Edge في السحابة الإلكترونية الخاصة

Edge for Private Cloud - الإصدار 4.17.09

تعمل واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge من خلال إرسال طلبات إلى خادم إدارة Edge، حيث يتيح خادم الإدارة أنواع المصادقة التالية:

للمصادقة الأساسية، يمكنك تسجيل الدخول إلى واجهة مستخدم Edge أو تقديم طلبات إلى واجهة برمجة تطبيقات إدارة Edge من خلال تمرير اسم المستخدم وكلمة المرور.
تبادل OAuth2 بيانات اعتماد مصادقة Edge الأساسية لرمز الدخول OAuth2 والرمز المميز لإعادة التحميل. يمكنك إجراء طلبات إلى واجهة برمجة تطبيقات إدارة Edge من خلال تمرير رمز الدخول OAuth2 المميز في عنوان الحامل لاستدعاء واجهة برمجة التطبيقات.

يتيح Edge أيضًا لغة ترميز تأكيد الأمان (SAML) 2.0 باعتبارها آلية المصادقة. عند تفعيل SAML، سيظل بإمكان الوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge استخدام رموز الدخول OAuth2. ومع ذلك، يمكنك الآن إنشاء هذه الرموز المميّزة من تأكيدات SAML التي يعرضها موفّر هوية SAML.

ملاحظة: لا يتم دعم SAML إلا كآلية مصادقة فقط. لا يمكن استخدامها للتفويض. لذلك، ستظل تستخدم قاعدة بيانات Edge OpenLDAP للاحتفاظ بمعلومات التفويض. يُرجى الاطّلاع على إسناد الأدوار لمزيد من المعلومات.

يتوافق SAML مع بيئة الدخول المُوحَّد (SSO). يتيح لك استخدام SAML مع Edge إمكانية دعم الدخول الموحّد لواجهة مستخدم Edge وواجهة برمجة التطبيقات في Edge بالإضافة إلى أي خدمات أخرى تقدمها وتتوافق أيضًا مع SAML.

توفير دعم بشأن OAuth2 إلى Edge لـ Private Cloud

كما ذُكر أعلاه، يعتمد تنفيذ SAML لـ Edge على رموز دخول OAuth2.لذلك، تمت إضافة دعم OAuth2 إلى Edge لـ Private Cloud. لمزيد من المعلومات، راجِع مقدّمة عن OAuth 2.0.

مزايا SAML

توفر مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:

يمكنك التحكّم بشكل كامل في إدارة المستخدمين. عندما يغادر المستخدمون مؤسستك ويتم إيقاف توفير المتطلبات اللازمة لهم مركزيًا، يتم تلقائيًا رفض وصولهم إلى Edge.
يمكنك التحكم في كيفية مصادقة المستخدمين للوصول إلى Edge. يمكنك اختيار أنواع مصادقة مختلفة لمؤسسات Edge المختلفة.
التحكُّم في سياسات المصادقة. قد يتيح موفِّر SAML سياسات المصادقة الأكثر توافقًا مع معايير مؤسستك.
يمكنك رصد عمليات تسجيل الدخول وعمليات تسجيل الخروج ومحاولات تسجيل الدخول غير الناجحة والأنشطة عالية الخطورة عند نشر Edge.

استخدام SAML مع Edge

للتوافق مع SAML على Edge، يجب تثبيت apigee-sso، وهي وحدة تسجيل الدخول الموحَّد (SSO) على Edge. تُظهر الصورة التالية الدخول الموحَّد (SSO) إلى Edge في Edge الخاص بالسحابة الإلكترونية الخاصة:

يمكنك تثبيت وحدة تسجيل الدخول الموحَّد (SSO) في Edge على العقدة نفسها مثل واجهة مستخدم وخادم الإدارة في Edge، أو على العقدة الخاصة بها. تأكَّد من إمكانية وصول "الدخول المُوحَّد" إلى خادم الإدارة عبر المنفذ 8080.

يجب أن يكون المنفذ 9099 مفتوحًا في عُقدة الدخول المُوحَّد (SSO) في Edge لإتاحة الوصول إلى الدخول المُوحَّد (SSO) في Edge من المتصفّح، ومن موفِّر الهوية (IdP) الخارجي المستنِد إلى SAML، ومن "خادم الإدارة" وواجهة مستخدم Edge. كجزء من ضبط الدخول المُوحَّد (SSO) في Edge، يمكنك تحديد أنّ الاتصال الخارجي يستخدم HTTP أو بروتوكول HTTPS المشفّر.

يستخدم نظام الدخول الموحّد في Edge قاعدة بيانات Postgres يمكن الوصول إليها من خلال المنفذ 5432 على عقدة Postgres. يمكنك عادةً استخدام خادم Postgres نفسه الذي تم تثبيته مع Edge، إما خادم Postgres مستقل أو خادمَي Postgres تم ضبطهما في وضع "الشاشة الرئيسية" أو "وضع الاستعداد". إذا كان الحِمل على خادم Postgres مرتفعًا، يمكنك أيضًا اختيار إنشاء عقدة Postgres منفصلة لميزة "الدخول المُوحَّد" فقط على شبكة Edge.

عند تفعيل SAML، يتم استخدام رموز الدخول عبر OAuth2 للوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge. يتم إنشاء هذه الرموز المميّزة من خلال وحدة تحكُّم الدخول المُوحَّد (SSO) في Edge التي تقبل تأكيدات SAML التي يعرضها موفّر الهوية.

بعد إنشاء رمز OAuth المميز من تأكيد SAML، يكون صالحًا لمدة 30 دقيقة ويكون الرمز المميز لإعادة التحميل صالحًا لمدة 24 ساعة. قد تدعم بيئة التطوير التشغيل الآلي لمهام التطوير الشائعة، مثل التشغيل الآلي للاختبار أو التكامل المستمر/النشر المستمر (CI/CD)، والتي تتطلب رموزًا مميزة ذات مدة أطول. راجِع استخدام SAML مع المهام المبرمَجة للحصول على معلومات عن إنشاء رموز مميّزة خاصة للمهام المبرمَجة.

عناوين URL لواجهة برمجة التطبيقات وواجهة مستخدم Edge

يكون عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge مطابقًا لعنوان URL الذي تم استخدامه قبل تفعيل SAML. بالنسبة إلى واجهة مستخدم Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

حيث يشير edge_ui_IP_DNS إلى عنوان IP أو اسم نظام أسماء النطاقات للجهاز الذي يستضيف واجهة مستخدم Edge. كجزء من عملية إعداد واجهة مستخدم Edge، يمكنك تحديد أنّ الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفّر.

بالنسبة إلى واجهة برمجة تطبيقات إدارة Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

حيث ms_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات لخادم الإدارة. كجزء من عملية إعداد واجهة برمجة التطبيقات، يمكنك تحديد أنّ الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفَّر.

ضبط الدخول المُوحَّد (SSO) عبر بروتوكول أمان طبقة النقل (TLS) على Edge

بشكل تلقائي، يستخدم الاتصال للدخول الموحَّد (SSO) إلى Edge HTTP عبر المنفذ 9099 على العقدة التي تستضيف apigee-sso، وهي وحدة خدمة الدخول الموحَّد (SSO) في Edge. ويتم دمج apigee-sso في مثيل Tomcat الذي يعالج طلبات HTTP وHTTPS.

يتيح كل من تسجيل الدخول المُوحَّد (SSO) على Edge وTomcat ثلاثة أوضاع اتصال:

التلقائي: يتوافق الضبط التلقائي مع طلبات HTTP على المنفذ 9099.
SSL_TERMINATION: تم تفعيل إمكانية الوصول عبر بروتوكول أمان طبقة النقل (TLS) إلى خدمة الدخول المُوحَّد (SSO) في Edge في المنفذ الذي تختاره. يجب تحديد مفتاح TLS وشهادة لهذا الوضع.
SSL_PROXY: لضبط الدخول المُوحَّد (SSO) على Edge في وضع الخادم الوكيل، ما يعني أنّك قد ثبّتّ موازن تحميل أمام apigee-sso وأغلقت بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة التحميل. يمكنك تحديد المنفذ المستخدَم في apigee-sso للطلبات من جهاز موازنة التحميل.

تفعيل دعم SAML لبوابة "خدمات المطوّرين" وواجهة برمجة التطبيقات (BaaS)

بعد تفعيل دعم SAML لتطبيق Edge، يمكنك اختياريًا تفعيل SAML لما يلي:

واجهة برمجة التطبيقات BaaS: يتوافق كل من بوابة BaaS وBaaS Stack مع SAML لمصادقة المستخدم. راجِع تفعيل SAML لـ BaaS لواجهة برمجة التطبيقات لمزيد من المعلومات.
بوابة خدمات مطوّري البرامج: تتيح البوابة استخدام مصادقة SAML عند تقديم طلبات إلى Edge. يُرجى العلم أنّ ذلك يختلف عن مصادقة SAML لتسجيل دخول المطوّرين إلى البوابة. ويمكنك ضبط مصادقة SAML لتسجيل دخول المطوّر بشكل منفصل. راجِع ضبط بوابة خدمات المطوّرين لاستخدام SAML للتواصل مع Edge لمعرفة المزيد.

كجزء من عملية ضبط بوابة "خدمات المطوّرين" وواجهة برمجة التطبيقات BaaS، يجب تحديد عنوان URL لوحدة "الدخول الموحّد" (SSO) من Edge التي ثبّتها مع Edge:

ولأنّ Edge وواجهة برمجة التطبيقات BaaS تشتركان في وحدة الدخول المُوحَّد (SSO) نفسها في Edge، يتيحان تسجيل الدخول الموحّد. ويعني ذلك أنّ تسجيل الدخول إلى Edge أو واجهة برمجة التطبيقات BaaS يؤدي إلى تسجيل دخولك إلى كليهما. وهذا يعني أيضًا أنّه عليك الاحتفاظ بموقع واحد فقط لجميع بيانات اعتماد المستخدمين.

ويمكنك ضبط تسجيل الخروج الفردي أيضًا اختياريًا. راجِع إعداد تسجيل الخروج الفردي من واجهة مستخدم Edge.