Edge para la nube privada v. 4.17.09
La IU de Edge y la API de administración de Edge funcionan realizando solicitudes al servidor de administración de Edge, donde el servidor de administración admite los siguientes tipos de autenticación:
- Autenticación básica Accede a la IU de Edge o realiza solicitudes a la API de administración de Edge pasando tu nombre de usuario y contraseña.
- OAuth2 Intercambia tus credenciales de autenticación básica de Edge por un token de acceso y un token de actualización de OAuth2. Para realizar llamadas a la API de administración de Edge, pasa el token de acceso de OAuth2 en el encabezado del portador de una llamada a la API.
Edge también admite el lenguaje de marcado para confirmaciones de seguridad (SAML) 2.0 como mecanismo de autenticación. Con SAML habilitado, el acceso a la IU y a la API de Edge Management aún usa tokens de acceso OAuth2. Sin embargo, ahora puedes generar estos tokens a partir de las aserciones de SAML que muestra un proveedor de identidad SAML.
Nota: SAML solo se admite como mecanismo de autenticación. No es compatible con la autorización. Por lo tanto, sigues usando la base de datos OpenLDAP de Edge para mantener la información de autorización. Consulta Asigna roles para obtener más información.
SAML admite un entorno de inicio de sesión único (SSO). Cuando usas SAML con Edge, puedes admitir el SSO para la IU y la API de Edge, además de cualquier otro servicio que proporciones y que también admita SAML.
Se agregó compatibilidad con OAuth2 a Edge para la nube privada
Como se mencionó anteriormente, la implementación de SAML de Edge se basa en tokens de acceso de OAuth2.Por lo tanto, se agregó compatibilidad con OAuth2 a Edge for Private Cloud. Para obtener más información, consulta Introducción a OAuth 2.0.
Ventajas de SAML
La autenticación de SAML ofrece varias ventajas. Si utiliza SAML, puede hacer lo siguiente:
- Toma el control total de la administración de usuarios. Cuando los usuarios abandonan la organización y se desaprovisionan de forma central, se les rechaza el acceso a Edge de forma automática.
- Controla cómo se autentican los usuarios para acceder a Edge. Puedes elegir diferentes tipos de autenticación para diferentes organizaciones de Edge.
- Controla las políticas de autenticación. Es posible que tu proveedor de SAML admita políticas de autenticación que estén más alineadas con los estándares de tu empresa.
- Puedes supervisar accesos, salidas, intentos de acceso fallidos y actividades de alto riesgo en tu implementación de Edge.
Usa SAML con Edge
Para admitir SAML en Edge, instala apigee-sso, el módulo de SSO de Edge. En la siguiente imagen, se muestra el SSO de Edge en una instalación de Edge para la nube privada:
Puedes instalar el módulo de SSO de Edge en el mismo nodo que la IU de Edge y el servidor de administración, o en su propio nodo. Asegúrate de que el SSO de Edge tenga acceso al servidor de administración a través del puerto 8080.
El puerto 9099 debe estar abierto en el nodo de SSO de Edge para admitir el acceso al SSO de Edge desde un navegador, desde el IdP de SAML externo y desde el servidor de administración y la IU de Edge. Como parte de la configuración de SSO de Edge, puedes especificar que la conexión externa use HTTP o el protocolo HTTPS encriptado.
El SSO de Edge usa una base de datos de Postgres a la que se puede acceder en el puerto 5432 en el nodo de Postgres. Por lo general, puedes usar el mismo servidor de Postgres que instalaste con Edge, ya sea un servidor de Postgres independiente o dos servidores de Postgres configurados en modo principal/en espera. Si la carga en tu servidor de Postgres es alta, también puedes crear un nodo de Postgres independiente solo para el SSO de Edge.
Con SAML habilitado, el acceso a la IU de Edge y a la API de administración de Edge usa tokens de acceso de OAuth2. Estos tokens los genera el módulo de SSO de Edge, que acepta las aserciones de SAML que muestra tu IdP.
Una vez que se genera a partir de una aserción de SAML, el token de OAuth es válido por 30 minutos y el token de actualización es válido por 24 horas. Es posible que tu entorno de desarrollo admita la automatización de tareas de desarrollo comunes, como la automatización de pruebas o la integración continua/implementación continua (CI/CD), que requieren tokens con una duración más larga. Consulta Cómo usar SAML con tareas automatizadas para obtener información sobre cómo crear tokens especiales para tareas automatizadas.
URLs de la IU y la API de Edge
La URL que usas para acceder a la IU de Edge y a la API de administración de Edge es la misma que usaste antes de habilitar SAML. Para la IU de Edge:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
en el que edge_ui_IP_DNS es la dirección IP o el nombre de DNS de la máquina que aloja la IU de Edge. Como parte de la configuración de la IU de Edge, puedes especificar que la conexión use HTTP o el protocolo HTTPS encriptado.
Para la API de administración de Edge:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
donde ms_IP_DNS es la dirección IP o el nombre de DNS del servidor de administración. Como parte de la configuración de la API, puedes especificar que la conexión use HTTP o el protocolo HTTPS encriptado.
Configurar TLS en SSO de Edge
De forma predeterminada, la conexión a Edge SSO usa HTTP a través del puerto 9099 en el nodo que aloja apigee-sso, el módulo de Edge SSO. Integrada en apigee-sso es una instancia de Tomcat que controla las solicitudes HTTP y HTTPS.
El SSO de Edge y Tomcat admiten tres modos de conexión:
- DEFAULT: La configuración predeterminada admite solicitudes HTTP en el puerto 9099.
- SSL_TERMINATION: Habilita el acceso de TLS a SSO de Edge en el puerto que elijas. Debes especificar una clave y un certificado TLS para este modo.
- SSL_PROXY: configura el SSO de Edge en modo proxy, lo que significa que instalaste un balanceador de cargas frente a apigee-sso y finalizaste TLS en el balanceador de cargas. Puedes especificar el puerto que se usa en apigee-sso para las solicitudes del balanceador de cargas.
Habilita la compatibilidad con SAML para el portal de servicios para desarrolladores y para la BaaS de API
Después de habilitar la compatibilidad con SAML para Edge, puedes habilitar SAML de manera opcional para lo siguiente:
- API BaaS: Tanto el portal de BaaS como la pila de BaaS admiten SAML para la autenticación de usuarios. Consulta Habilita SAML para los BaaS de la API si quieres obtener más información.
- Portal de servicios para desarrolladores: El portal admite la autenticación de SAML cuando se realizan solicitudes a Edge. Ten en cuenta que esto es diferente de la autenticación de SAML para el acceso de los desarrolladores al portal. Debes configurar por separado la autenticación de SAML para el acceso del desarrollador. Consulta Configura el portal de servicios para desarrolladores para usar SAML y comunicarte con Edge para obtener más información.
Como parte de la configuración del portal de servicios para desarrolladores y la BaaS de la API, debes especificar la URL del módulo de SSO de Edge que instalaste con Edge:
Debido a que Edge y las BaaS de las APIs comparten el mismo módulo de SSO de Edge, admiten el inicio de sesión único. Es decir, si accedes a Edge o a la BaaS de la API, accederás a ambos. Eso también significa que solo debes mantener una ubicación para todas las credenciales del usuario.
De forma opcional, también puedes configurar el cierre de sesión único. Consulta Cómo configurar el cierre de sesión único desde la IU de Edge.