Diese Seite wurde von der Cloud Translation API übersetzt.

Unterstützung von SAML in Edge für Private Cloud

Edge for Private Cloud Version 4.17.09

Die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API stellen Anfragen an den Edge-Verwaltungsserver, wobei der Verwaltungsserver die folgenden Authentifizierungstypen unterstützt:

Basic Auth Melden Sie sich bei der Edge-Benutzeroberfläche an oder stellen Sie Anfragen an die Edge Management API, indem Sie Ihren Nutzernamen und Ihr Passwort weitergeben.
OAuth2 Tauschen Sie Ihre Edge Basic Auth-Anmeldedaten gegen ein OAuth2-Zugriffstoken und ein Aktualisierungstoken aus. Rufen Sie die Edge-Verwaltungs-API auf, indem Sie das OAuth2-Zugriffstoken im Bearer-Header eines API-Aufrufs übergeben.

Edge unterstützt auch die Security Assertion Markup Language (SAML) 2.0 als Authentifizierungsmechanismus. Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API weiterhin OAuth2-Zugriffstokens verwendet. Sie können diese Tokens jedoch aus SAML-Assertions generieren, die von einem SAML-Identitätsanbieter zurückgegeben wurden.

Hinweis: SAML wird nur als Authentifizierungsmechanismus unterstützt. Es wird für die Autorisierung nicht unterstützt. Daher verwenden Sie weiterhin die Edge OpenLDAP-Datenbank, um Autorisierungsinformationen zu verwalten. Weitere Informationen finden Sie unter Rollen zuweisen.

SAML unterstützt eine Umgebung für die Einmalanmeldung (SSO). Wenn Sie SAML mit Edge verwenden, können Sie die SSO für die Edge-Benutzeroberfläche und -API zusätzlich zu allen anderen Diensten unterstützen, die Sie bereitstellen und die auch SAML unterstützen.

Unterstützung für OAuth2 in Edge für Private Cloud hinzugefügt

Wie oben erwähnt, beruht die Edge-Implementierung von SAML auf OAuth2-Zugriffstokens.Aus diesem Grund wurde in Edge für Private Cloud OAuth2-Unterstützung hinzugefügt. Weitere Informationen finden Sie unter Einführung in OAuth 2.0.

Vorteile von SAML

Die SAML-Authentifizierung bietet mehrere Vorteile. Mit SAML können Sie Folgendes tun:

Sie haben die volle Kontrolle über die Nutzerverwaltung. Wenn Nutzer Ihre Organisation verlassen und die Bereitstellung zentral aufgehoben wird, wird ihnen der Zugriff auf Edge automatisch verweigert.
Steuern Sie, wie sich Nutzer für den Zugriff auf Edge authentifizieren. Sie können verschiedene Authentifizierungstypen für verschiedene Edge-Organisationen auswählen.
Authentifizierungsrichtlinien steuern Möglicherweise unterstützt Ihr SAML-Anbieter Authentifizierungsrichtlinien, die eher Ihren Unternehmensstandards entsprechen.
Sie können Anmeldungen, Logouts, fehlgeschlagene Anmeldeversuche und risikoreiche Aktivitäten in Ihrem Edge-Deployment überwachen.

SAML mit Edge verwenden

Zur Unterstützung von SAML in Edge installieren Sie apigee-sso, das Edge-SSO-Modul. Die folgende Abbildung zeigt Edge-SSO in einer Edge für die Private Cloud-Installation:

Sie können das Edge-SSO-Modul auf demselben Knoten wie die Edge-Benutzeroberfläche und den Verwaltungsserver oder auf einem eigenen Knoten installieren. Achten Sie darauf, dass Edge-SSO über Port 8080 Zugriff auf den Verwaltungsserver hat.

Port 9099 muss auf dem Edge-SSO-Knoten offen sein, um den Zugriff auf Edge-SSO von einem Browser, vom externen SAML-IdP sowie vom Verwaltungsserver und der Edge-Benutzeroberfläche zu unterstützen. Im Rahmen der Konfiguration von Edge-SSO können Sie angeben, dass die externe Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.

Edge-SSO verwendet eine Postgres-Datenbank, auf die über Port 5432 auf dem Postgres-Knoten zugegriffen werden kann. In der Regel können Sie denselben Postgres-Server verwenden, den Sie mit Edge installiert haben, entweder einen eigenständigen Postgres-Server oder zwei Postgres-Server, die im Master-/Standby-Modus konfiguriert sind. Wenn die Auslastung Ihres Postgres-Servers hoch ist, können Sie auch einen separaten Postgres-Knoten nur für Edge-SSO erstellen.

Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API OAuth2-Zugriffstokens verwendet. Diese Tokens werden vom Edge-SSO-Modul generiert, das vom IdP zurückgegebene SAML-Assertions akzeptiert.

Nach der Generierung aus einer SAML-Assertion ist das OAuth-Token 30 Minuten lang und das Aktualisierungstoken 24 Stunden gültig. Ihre Entwicklungsumgebung unterstützt möglicherweise Automatisierung für gängige Entwicklungsaufgaben wie Testautomatisierung oder Continuous Integration/Continuous Deployment (CI/CD), für die Tokens mit einer längeren Dauer erforderlich sind. Informationen zum Erstellen spezieller Token für automatisierte Aufgaben finden Sie unter SAML mit automatisierten Aufgaben verwenden.

Edge-Benutzeroberfläche und API-URLs

Die URL, mit der Sie auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API zugreifen, ist die gleiche wie vor der Aktivierung von SAML. Für die Edge-Benutzeroberfläche:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

Dabei ist edge_ui_IP_DNS die IP-Adresse oder der DNS-Name der Maschine, auf der die Edge-Benutzeroberfläche gehostet wird. Im Rahmen der Konfiguration der Edge-Benutzeroberfläche können Sie angeben, dass die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.

Für die Edge-Verwaltungs-API:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

Dabei ist ms_IP_DNS die IP-Adresse oder der DNS-Name des Verwaltungsservers. Beim Konfigurieren der API können Sie angeben, dass für die Verbindung das HTTP-Protokoll oder das verschlüsselte HTTPS-Protokoll verwendet werden soll.

Konfigurieren Sie TLS on Edge SSO

Standardmäßig verwendet die Verbindung zu Edge-SSO HTTP über Port 9099 auf dem Knoten, auf dem apigee-sso, das Edge-SSO-Modul, gehostet wird. In apigee-sso ist eine Tomcat-Instanz eingebunden, die die HTTP- und HTTPS-Anfragen verarbeitet.

Edge-SSO und Tomcat unterstützen drei Verbindungsmodi:

DEFAULT: Die Standardkonfiguration unterstützt HTTP-Anfragen an Port 9099.
SSL_TERMINATION: Der TLS-Zugriff auf Edge-SSO wurde am Port Ihrer Wahl aktiviert. Für diesen Modus müssen Sie einen TLS-Schlüssel und ein Zertifikat angeben.
SSL_PROXY – Konfiguriert Edge-SSO im Proxymodus, d. h., Sie haben vor apigee-sso einen Load-Balancer installiert und TLS auf dem Load-Balancer beendet. Sie können den in apigee-sso verwendeten Port für Anfragen vom Load-Balancer angeben.

SAML-Unterstützung für das Developer Services-Portal und für API BaaS aktivieren

Nachdem Sie die SAML-Unterstützung für Edge aktiviert haben, können Sie SAML optional für Folgendes aktivieren:

API-BaaS – Sowohl das BaaS-Portal als auch der BaaS-Stack unterstützen SAML für die Nutzerauthentifizierung. Weitere Informationen finden Sie unter SAML für API BaaS aktivieren.
Developer Services-Portal – Das Portal unterstützt die SAML-Authentifizierung, wenn Anfragen an Edge gestellt werden. Dies unterscheidet sich von der SAML-Authentifizierung für die Entwickleranmeldung im Portal. Die SAML-Authentifizierung für die Entwickleranmeldung wird separat konfiguriert. Weitere Informationen finden Sie unter Developer Services-Portal für die Verwendung von SAML für die Kommunikation mit Edge konfigurieren.

Beim Konfigurieren des Developer Services-Portals und der API-BaaS müssen Sie die URL des Edge-SSO-Moduls angeben, das Sie mit Edge installiert haben:

Da Edge und API BaaS dasselbe Edge-SSO-Modul verwenden, unterstützen sie die Einmalanmeldung (SSO). Wenn Sie sich also entweder in Edge oder in API BaaS anmelden, werden Sie in beiden angemeldet. Das bedeutet auch, dass Sie alle Nutzeranmeldedaten nur an einem Ort verwalten müssen.

Optional können Sie auch die Einmalanmeldung (SSO) konfigurieren. Weitere Informationen finden Sie unter Einmalanmeldung (SSO) über die Edge-Benutzeroberfläche konfigurieren.