تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إتاحة SAML على Edge في السحابة الإلكترونية الخاصة

Edge for Private Cloud‏ 4.17.09

تعمل واجهة المستخدم Edge وEdge management API من خلال تقديم طلبات إلى خادم إدارة Edge، حيث يتيح خادم الإدارة أنواع المصادقة التالية:

المصادقة الأساسية: سجِّل الدخول إلى واجهة مستخدم Edge أو قدِّم طلبات إلى واجهة برمجة تطبيقات إدارة Edge بتمرير اسم المستخدم وكلمة المرور.
OAuth2 تبادل بيانات اعتماد مصادقة Edge Basic مع رمز الدخول OAuth2 ورمز التحديث المميز. أجرِ اتصالات لواجهة برمجة تطبيقات إدارة Edge من خلال تمرير رمز الدخول OAuth2 في عنوان Bearer لطلب بيانات من واجهة برمجة التطبيقات.

يتوافق Edge أيضًا مع لغة ترميز تأكيد الأمان (SAML) 2.0 كميكانيكية مصادقة. عند تفعيل بروتوكول SAML، لا يزال الوصول إلى واجهة مستخدم Edge وEdge management API يستخدم رموزاً مميّزة للوصول إلى OAuth2. ومع ذلك، يمكنك الآن إنشاء هذه الرموز من تأكيدات SAML التي يعرضها موفِّر هوية SAML.

ملاحظة: لا يتم دعم SAML كآلية المصادقة إلا. ولا يمكن استخدامها للحصول على إذن. لذلك، سيظلّ بإمكانك استخدام قاعدة بيانات OpenLDAP في Edge للحفاظ على معلومات التفويض. اطّلِع على تخصيص الأدوار للحصول على مزيد من المعلومات.

يتيح معيار SAML بيئة الدخول المُوحَّد (SSO). باستخدام SAML مع Edge، يمكنك إتاحة الدخول المُوحَّد لواجهة مستخدم Edge وواجهة برمجة التطبيقات بالإضافة إلى أي خدمات أخرى تقدّمها وتتيح أيضًا استخدام SAML.

تمت إضافة دعم بروتوكول OAuth2 إلى Edge لخدمات Private Cloud.

كما ذكرنا أعلاه، يعتمد تطبيق SAML في Edge على علامات اعتماد الوصول OAuth2.لذلك، تمت إضافة ميزة دعم OAuth2 إلى Edge for Private Cloud. لمزيد من المعلومات، يُرجى الاطّلاع على مقدّمة عن بروتوكول OAuth 2.0.

مزايا SAML

توفّر مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:

يمكنك التحكّم بشكلٍ كامل في إدارة المستخدمين. عندما يغادر المستخدمون مؤسستك ويتم إيقاف إمكانية وصولهم إلى الخدمة بشكل مركزي، يتم تلقائيًا رفض وصولهم إلى Edge.
التحكُّم في كيفية مصادقة المستخدمين للوصول إلى Edge يمكنك اختيار أنواع مصادقة مختلفة لمؤسسات Edge مختلفة.
التحكّم في سياسات المصادقة قد يتيح موفِّر SAML سياسات مصادقة أكثر توافقًا مع معايير مؤسستك.
يمكنك مراقبة عمليات تسجيل الدخول، وعمليات تسجيل الخروج، ومحاولات تسجيل الدخول غير الناجحة، والأنشطة عالية الخطورة في عملية نشر Edge.

استخدام لغة SAML مع Edge

لتفعيل بروتوكول SAML على Edge، عليك تثبيت apigee-sso، وهي وحدة الدخول المُوحَّد في Edge. تعرِض ال الصورة التالية ميزة "الدخول المُوحَّد في Edge" في عملية تثبيت Edge for Private Cloud:

يمكنك تثبيت وحدة الدخول المُوحَّد (SSO) على Edge على نفس العقدة مع واجهة مستخدم Edge وخادم الإدارة، أو على العقدة الخاصة بها. تأكَّد من أنّ ميزة "تسجيل الدخول المُوحَّد في Edge" يمكنها الوصول إلى "خادم الإدارة" عبر المنفذ 8080.

يجب أن يكون المنفذ 9099 مفتوحًا في عقدة الدخول المُوحَّد في Edge للسماح بالوصول إلى الدخول المُوحَّد في Edge من متصفّح، ومن موفِّر الهوية الخارجي (IdP) في SAML، ومن "خادم الإدارة" و"واجهة مستخدم Edge". وكجزء من عملية إعداد خدمة الدخول المُوحَّد (SSO) على Edge، يمكنك تحديد أن الاتصال الخارجي يستخدم HTTP أو بروتوكول HTTPS المشفّر.

يستخدم EdgeSSO قاعدة بيانات Postgres يمكن الوصول إليها من خلال المنفذ 5432 على عقدة Postgres. يمكنك عادةً استخدام خادم Postgres نفسه الذي ثبّته باستخدام Edge، إما خادم Postgres مستقل أو خادمَي Postgres تم ضبطهما في وضع "الخادم الرئيسي/الخادم الاحتياطي". إذا كان التحميل على خادم Postgres كبيرًا، يمكنك أيضًا اختيار إنشاء عقدة Postgres منفصلة فقط للدخول المُوحَّد (SSO) على Edge.

عند تفعيل بروتوكول SAML، يتم استخدام رموز الوصول OAuth2 للوصول إلى واجهة مستخدم Edge وEdge management API. يتم إنشاء هذه الرموز المميّزة بواسطة وحدة الدخول المُوحَّد في Edge التي تقبل تأكيدات SAML التي يعرضها موفِّر الهوية (IdP).

بعد إنشائه من تعريف SAML، يكون رمز OAuth صالحًا لمدة 30 دقيقة ويكون رمز إعادة التحديث صالحًا لمدة 24 ساعة. قد تتوافق بيئة التطوير مع التشغيل الآلي لمهام التطوير الشائعة، مثل التشغيل الآلي التجريبي أو الدمج المستمر أو النشر المستمر (CI/CD)، والتي تتطلّب رموزًا مميزة ذات مدة أطول. راجِع استخدام SAML مع المهام المبرمَجة للحصول على معلومات حول إنشاء رموز مميّزة خاصة للمهام المبرمَجة.

واجهة مستخدم Edge وعناوين URL لواجهة برمجة التطبيقات

إنّ عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge وEdge management API هو نفسه العنوان المستخدَم قبل تفعيل SAML. بالنسبة إلى واجهة مستخدم Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

حيث يكون edge_ui_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات للجهاز الذي يستضيف واجهة مستخدم Edge. كجزء من ضبط واجهة مستخدم Edge، يمكنك تحديد أن يستخدم الاتصال بروتوكول HTTP أو بروتوكول HTTPS المشفَّر.

بالنسبة إلى واجهة برمجة تطبيقات إدارة Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

حيث يكون ms_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات لخادم الإدارة. كجزء من ضبط واجهة برمجة التطبيقات، يمكنك تحديد أن يستخدم الاتصال بروتوكول HTTP أو بروتوكول HTTPS المشفَّر.

ضبط بروتوكول أمان طبقة النقل (TLS) على خدمة Edge المُوحَّد (SSO)

يستخدم الاتصال بـ Edge SSO بروتوكول HTTP عبر المنفذ 9099 على العقدة التي تستضيف apigee-sso، وهي وحدة Edge SSO. تم تضمين مثيل Tomcat في apigee-sso لمعالجة طلبات HTTP وHTTPS.

يتيح Edge SSO وTomcat ثلاثة أوضاع اتصال:

تلقائي: تتيح الإعدادات التلقائية طلبات HTTP على المنفذ 9099.
SSL_TERMINATION - تم تفعيل إمكانية وصول "بروتوكول أمان طبقة النقل" (TLS) إلى الدخول المُوحَّد (SSO) في Edge على المنفذ الذي تختاره. يجب تحديد مفتاح بروتوكول أمان طبقة النقل (TLS) وشهادته لهذا الوضع.
‫SSL_PROXY: لضبط الدخول المُوحَّد (SSO) في Edge في وضع الخادم الوكيل، ما يعني أنّك ثبَّت جهازًا لتحميل موازنة أمام apigee-sso وأوقفت بروتوكول أمان طبقة النقل (TLS) على جهازتحميل موازنة. يمكنك تحديد المنفذ المستخدَم في apigee-sso للطلبات الواردة من موازن الحمولة.

تفعيل مبادرة SAML لبوابة "خدمات المطوّرين" و"بنية أساسية لخدمات التطبيقات" (BaaS) المستندة إلى واجهة برمجة التطبيقات

بعد تفعيل دعم SAML في Edge، يمكنك اختياريًا تفعيل SAML لما يلي:

BaaS API: تتيح كل من بوابة BaaS ومجموعة BaaS استخدام بروتوكول SAML لمصادقة مستخدمي الخدمة. اطّلِع على تفعيل SAML لخدمات BaaS المستندة إلى واجهة برمجة التطبيقات للحصول على المزيد من المعلومات.
بوابة خدمات المطوّرين: تتيح البوابة مصادقة SAML عند إرسال طلبات إلى Edge. يُرجى العِلم أنّ هذا يختلف عن مصادقة SAML لتسجيل المطوّر للدخول إلى البوابة. يمكنك ضبط مصادقة SAML لتسجيل دخول المطوّر بشكل منفصل. اطّلِع على مقالة إعدادبوابة Developer Services (خدمات المطوّرين) لاستخدام SAML للتواصل مع Edge للحصول على مزيد من المعلومات.

كجزء من ضبط بوابة "خدمات المطوّرين" و"خدمات BaaS" المستندة إلى واجهة برمجة التطبيقات، عليك تحديد عنوان URL لشدَّة وحدة الدخول المُوحَّد في Edge التي ثبَّتها باستخدام Edge:

نظرًا إلى أنّ Edge وBaaS في واجهة برمجة التطبيقات يشتركان في وحدة تسجيل الدخول الموحَّد (SSO) لتطبيق Edge، فهي تتيحان الدخول الموحّد. وهذا يعني أنّ تسجيل الدخول إلى Edge أو API BaaS يسجّلك في كليهما. وهذا يعني أيضًا أنّه عليك الاحتفاظ بموقع واحد فقط لجميع بيانات اعتماد المستخدمين.

يمكنك أيضًا ضبط ميزة "تسجيل الخروج من جميع الخدمات" اختياريًا. راجِع ضبط ميزة "تسجيل الخروج بخطوة واحدة" من واجهة مستخدم Edge.