ব্যক্তিগত ক্লাউডের জন্য প্রান্তে SAML-কে সমর্থন করা

ব্যক্তিগত ক্লাউডের জন্য প্রান্ত v. 4.17.09

এজ UI এবং এজ ম্যানেজমেন্ট API এজ ম্যানেজমেন্ট সার্ভারের কাছে অনুরোধ করে কাজ করে, যেখানে ম্যানেজমেন্ট সার্ভার নিম্নলিখিত ধরনের প্রমাণীকরণ সমর্থন করে:

  • মৌলিক প্রমাণীকরণ এজ UI-তে লগ ইন করুন বা আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড দিয়ে এজ ম্যানেজমেন্ট API-তে অনুরোধ করুন।
  • OAuth2 একটি OAuth2 অ্যাক্সেস টোকেন এবং রিফ্রেশ টোকেনের জন্য আপনার এজ বেসিক প্রমাণীকরণের শংসাপত্রগুলি বিনিময় করুন৷ একটি API কলের Bearer হেডারে OAuth2 অ্যাক্সেস টোকেন পাস করে এজ ম্যানেজমেন্ট API এ কল করুন।

এজ সিকিউরিটি অ্যাসারশন মার্কআপ ল্যাঙ্গুয়েজ (SAML) 2.0 কে প্রমাণীকরণ প্রক্রিয়া হিসাবে সমর্থন করে। SAML সক্ষম করে, এজ UI এবং এজ ম্যানেজমেন্ট API-এ অ্যাক্সেস এখনও OAuth2 অ্যাক্সেস টোকেন ব্যবহার করে। যাইহোক, এখন আপনি SAML পরিচয় প্রদানকারীর দ্বারা প্রত্যাবর্তিত SAML দাবী থেকে এই টোকেনগুলি তৈরি করতে পারেন৷

দ্রষ্টব্য : SAML শুধুমাত্র প্রমাণীকরণ প্রক্রিয়া হিসাবে সমর্থিত। এটি অনুমোদনের জন্য সমর্থিত নয়। অতএব, অনুমোদনের তথ্য বজায় রাখতে আপনি এখনও এজ ওপেনএলডিএপি ডাটাবেস ব্যবহার করেন। আরো জন্য ভূমিকা বরাদ্দ দেখুন.

SAML একটি একক সাইন-অন (SSO) পরিবেশ সমর্থন করে৷ এজ-এর সাথে SAML ব্যবহার করে, আপনি এজ UI এবং API-এর জন্য SSO-কে সমর্থন করতে পারেন আপনার প্রদান করা অন্য যেকোন পরিষেবার পাশাপাশি যেগুলি SAML সমর্থন করে।

ব্যক্তিগত ক্লাউডের জন্য OAuth2 থেকে এজ-এর জন্য সমর্থন যোগ করা হয়েছে

উপরে উল্লিখিত হিসাবে, SAML-এর এজ বাস্তবায়ন OAuth2 অ্যাক্সেস টোকেনের উপর নির্ভর করে। অতএব, ব্যক্তিগত ক্লাউডের জন্য এজ-এ OAuth2 সমর্থন যোগ করা হয়েছে। আরও তথ্যের জন্য, OAuth 2.0 এর ভূমিকা দেখুন।

SAML সুবিধা

SAML প্রমাণীকরণ বিভিন্ন সুবিধা প্রদান করে। SAML ব্যবহার করে আপনি করতে পারেন:

  • ব্যবহারকারী ব্যবস্থাপনার সম্পূর্ণ নিয়ন্ত্রণ নিন। যখন ব্যবহারকারীরা আপনার প্রতিষ্ঠান ছেড়ে চলে যান এবং কেন্দ্রীয়ভাবে তাদের প্রভিশন থেকে বঞ্চিত করা হয়, তখন তারা স্বয়ংক্রিয়ভাবে এজ-এ অ্যাক্সেস অস্বীকার করে।
  • ব্যবহারকারীরা কীভাবে এজ অ্যাক্সেস করতে প্রমাণীকরণ করে তা নিয়ন্ত্রণ করুন। আপনি বিভিন্ন এজ প্রতিষ্ঠানের জন্য বিভিন্ন প্রমাণীকরণ প্রকার চয়ন করতে পারেন।
  • নিয়ন্ত্রণ প্রমাণীকরণ নীতি. আপনার SAML প্রদানকারী প্রমাণীকরণ নীতিগুলিকে সমর্থন করতে পারে যা আপনার এন্টারপ্রাইজ মানগুলির সাথে আরও সঙ্গতিপূর্ণ।
  • আপনি আপনার এজ ডিপ্লোয়মেন্টে লগইন, লগআউট, ব্যর্থ লগইন প্রচেষ্টা এবং উচ্চ ঝুঁকিপূর্ণ কার্যকলাপ নিরীক্ষণ করতে পারেন।

এজ সহ SAML ব্যবহার করা

এজ-এ SAML সমর্থন করতে, আপনি apigee-sso , এজ SSO মডিউল ইনস্টল করুন। নিম্নলিখিত চিত্রটি ব্যক্তিগত ক্লাউড ইনস্টলেশনের জন্য একটি প্রান্তে এজ এসএসও দেখায়:

আপনি এজ ইউআই এবং ম্যানেজমেন্ট সার্ভারের মতো একই নোডে বা এর নিজস্ব নোডে এজ এসএসও মডিউল ইনস্টল করতে পারেন। নিশ্চিত করুন যে এজ এসএসও-এর পোর্ট 8080-এর উপরে ম্যানেজমেন্ট সার্ভারে অ্যাক্সেস রয়েছে।

পোর্ট 9099 এজ এসএসও নোডে খোলা থাকতে হবে যাতে ব্রাউজার থেকে, বাহ্যিক SAML IDP থেকে এবং ম্যানেজমেন্ট সার্ভার এবং এজ UI থেকে এজ এসএসও-তে অ্যাক্সেস সমর্থন করে। এজ এসএসও কনফিগার করার অংশ হিসাবে, আপনি নির্দিষ্ট করতে পারেন যে বাহ্যিক সংযোগ HTTP বা এনক্রিপ্ট করা HTTPS প্রোটোকল ব্যবহার করে।

এজ এসএসও পোস্টগ্রেস নোডে পোর্ট 5432-এ অ্যাক্সেসযোগ্য একটি পোস্টগ্রেস ডাটাবেস ব্যবহার করে। সাধারণত আপনি একই পোস্টগ্রেস সার্ভার ব্যবহার করতে পারেন যা আপনি এজ এর সাথে ইনস্টল করেছেন, হয় একটি স্বতন্ত্র পোস্টগ্রেস সার্ভার বা মাস্টার/স্ট্যান্ডবাই মোডে কনফিগার করা দুটি পোস্টগ্রেস সার্ভার। আপনার Postgres সার্ভারে লোড বেশি হলে, আপনি শুধুমাত্র এজ SSO-এর জন্য একটি পৃথক পোস্টগ্রেস নোড তৈরি করতেও বেছে নিতে পারেন।

SAML সক্ষম করে, এজ UI এবং এজ ম্যানেজমেন্ট API-এ অ্যাক্সেস OAuth2 অ্যাক্সেস টোকেন ব্যবহার করে। এই টোকেনগুলি এজ এসএসও মডিউল দ্বারা তৈরি করা হয় যা আপনার IDP দ্বারা প্রত্যাবর্তিত SAML দাবী গ্রহণ করে।

একবার একটি SAML দাবি থেকে তৈরি হলে, OAuth টোকেন 30 মিনিটের জন্য বৈধ এবং রিফ্রেশ টোকেন 24 ঘন্টার জন্য বৈধ। আপনার ডেভেলপমেন্ট এনভায়রনমেন্ট সাধারন ডেভেলপমেন্ট টাস্কের জন্য অটোমেশনকে সমর্থন করতে পারে, যেমন টেস্ট অটোমেশন বা কন্টিনিউয়াস ইন্টিগ্রেশন/কন্টিনিউয়াস ডিপ্লয়মেন্ট (CI/CD), যার জন্য দীর্ঘ সময়ের টোকেন প্রয়োজন। স্বয়ংক্রিয় কাজের জন্য বিশেষ টোকেন তৈরির তথ্যের জন্য স্বয়ংক্রিয় কার্যগুলির সাথে SAML ব্যবহার করা দেখুন৷

এজ UI এবং API URL

আপনি যে ইউআরএলটি এজ UI এবং এজ ম্যানেজমেন্ট এপিআই অ্যাক্সেস করতে ব্যবহার করেন সেটিই SAML সক্ষম করার আগে ব্যবহার করা হয়েছিল। এজ UI এর জন্য:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

যেখানে edge_ui_IP_DNS হল এজ UI হোস্ট করা মেশিনের IP ঠিকানা বা DNS নাম। এজ UI কনফিগার করার অংশ হিসাবে, আপনি নির্দিষ্ট করতে পারেন যে সংযোগটি HTTP বা এনক্রিপ্ট করা HTTPS প্রোটোকল ব্যবহার করে।

এজ ম্যানেজমেন্ট API এর জন্য:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

যেখানে ms_IP_DNS হল ম্যানেজমেন্ট সার্ভারের IP ঠিকানা বা DNS নাম। API কনফিগার করার অংশ হিসাবে, আপনি নির্দিষ্ট করতে পারেন যে সংযোগটি HTTP বা এনক্রিপ্ট করা HTTPS প্রোটোকল ব্যবহার করে।

এজ এসএসও-তে TLS কনফিগার করুন

ডিফল্টরূপে, এজ এসএসও-এর সংযোগ নোড হোস্টিং এপিজি-এসএসও , এজ এসএসও মডিউলে পোর্ট 9099-এ HTTP ব্যবহার করে। apigee-sso- এ অন্তর্নির্মিত একটি Tomcat উদাহরণ যা HTTP এবং HTTPS অনুরোধগুলি পরিচালনা করে।

এজ এসএসও এবং টমক্যাট তিনটি সংযোগ মোড সমর্থন করে:

  • ডিফল্ট - ডিফল্ট কনফিগারেশন পোর্ট 9099 এ HTTP অনুরোধ সমর্থন করে।
  • SSL_TERMINATION - আপনার পছন্দের পোর্টে এজ SSO-তে TLS অ্যাক্সেস সক্ষম করা হয়েছে। এই মোডের জন্য আপনাকে অবশ্যই একটি TLS কী এবং শংসাপত্র নির্দিষ্ট করতে হবে৷
  • SSL_PROXY - প্রক্সি মোডে এজ SSO কনফিগার করে, মানে আপনি apigee-sso- এর সামনে একটি লোড ব্যালেন্সার ইনস্টল করেছেন এবং লোড ব্যালেন্সারে TLS বন্ধ করেছেন৷ আপনি লোড ব্যালেন্সার থেকে অনুরোধের জন্য apigee-sso- এ ব্যবহৃত পোর্টটি নির্দিষ্ট করতে পারেন।

বিকাশকারী পরিষেবা পোর্টাল এবং API BaaS-এর জন্য SAML সমর্থন সক্ষম করুন৷

এজের জন্য SAML সমর্থন সক্ষম করার পরে, আপনি ঐচ্ছিকভাবে এর জন্য SAML সক্ষম করতে পারেন:

ডেভেলপার সার্ভিসেস পোর্টাল এবং API BaaS কনফিগার করার অংশ হিসাবে, আপনাকে অবশ্যই এজ এর সাথে ইনস্টল করা এজ SSO মডিউলটির URL উল্লেখ করতে হবে:

কারণ এজ এবং API BaaS একই এজ SSO মডিউল শেয়ার করে, তারা একক সাইন অন সমর্থন করে। অর্থাৎ, এজ বা এপিআই BaaS উভয়ের মধ্যে লগ ইন করলে আপনি উভয়েই লগ ইন করবেন। এর মানে হল যে সমস্ত ব্যবহারকারীর শংসাপত্রের জন্য আপনাকে শুধুমাত্র একটি অবস্থান বজায় রাখতে হবে।

আপনি ঐচ্ছিকভাবে একক সাইন-আউটও কনফিগার করতে পারেন। এজ UI থেকে একক সাইন-আউট কনফিগার করুন দেখুন।