Cette page a été traduite par l'API Cloud Translation.

Compatibilité SAML sur Edge pour le cloud privé

Edge pour Private Cloud v. 4.17.09

L'UI Edge et l'API de gestion Edge fonctionnent en envoyant des requêtes au serveur de gestion Edge, qui prend en charge les types d'authentification suivants:

Authentification de base : connectez-vous à l'UI Edge ou envoyez des requêtes à l'API de gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
OAuth2 Échangez vos identifiants d'authentification de base Edge contre un jeton d'accès et un jeton d'actualisation OAuth2. Appelez l'API de gestion Edge en transmettant le jeton d'accès OAuth2 dans l'en-tête de support d'un appel d'API.

Edge est également compatible avec le langage SAML 2.0 (Security Assertion Markup Language) comme mécanisme d'authentification. Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise toujours des jetons d'accès OAuth2. Toutefois, vous pouvez désormais générer ces jetons à partir d'assertions SAML renvoyées par un fournisseur d'identité SAML.

Remarque: SAML n'est accepté que comme mécanisme d'authentification. Il n'est pas compatible avec l'autorisation. Par conséquent, vous utilisez toujours la base de données Edge OpenLDAP pour gérer les informations d'autorisation. Pour en savoir plus, consultez la section Attribuer des rôles.

SAML prend en charge un environnement d'authentification unique (SSO). En utilisant SAML avec Edge, vous pouvez prendre en charge l'authentification unique pour l'interface utilisateur et l'API Edge en plus de tous les autres services que vous fournissez et qui prennent également en charge SAML.

Ajout de la compatibilité avec OAuth2 dans Edge pour le cloud privé

Comme indiqué ci-dessus, l'implémentation de SAML dans Edge repose sur des jetons d'accès OAuth2.Par conséquent, la prise en charge d'OAuth2 a été ajoutée à Edge pour le cloud privé. Pour en savoir plus, consultez la page Présentation d'OAuth 2.0.

Avantages de SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

Prenez le contrôle total de la gestion des utilisateurs. Lorsque des utilisateurs quittent votre organisation et qu'ils sont déprovisionnés de manière centralisée, ils se voient automatiquement refuser l'accès à Edge.
Contrôlez la façon dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différents types d'authentification pour différentes organisations Edge.
Contrôler les règles d'authentification Votre fournisseur SAML accepte peut-être des règles d'authentification plus conformes aux normes de votre entreprise.
Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.

Utiliser SAML avec Edge

Pour prendre en charge SAML sur Edge, vous devez installer apigee-sso, le module Edge SSO. L'image suivante montre Edge SSO dans une installation Edge pour Private Cloud:

Vous pouvez installer le module Edge SSO sur le même nœud que l'UI Edge et le serveur de gestion, ou sur un nœud distinct. Assurez-vous que Edge SSO a accès au serveur de gestion sur le port 8080.

Le port 9099 doit être ouvert sur le nœud Edge SSO pour permettre l'accès à Edge SSO à partir d'un navigateur, de l'IdP SAML externe, du serveur de gestion et de l'interface utilisateur Edge. Dans le cadre de la configuration de Edge SSO, vous pouvez spécifier que la connexion externe utilise le protocole HTTP ou HTTPS chiffré.

L'authentification unique Edge utilise une base de données Postgres accessible sur le port 5432 du nœud Postgres. En règle générale, vous pouvez utiliser le même serveur PostgreSQL que celui que vous avez installé avec Edge, soit un serveur PostgreSQL autonome, soit deux serveurs PostgreSQL configurés en mode maître/en attente. Si la charge sur votre serveur Postgres est élevée, vous pouvez également choisir de créer un nœud Postgres distinct uniquement pour l'authentification unique Edge.

Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module SSO Edge, qui accepte les assertions SAML renvoyées par votre IDP.

Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et le jeton d'actualisation est valide pendant 24 heures. Votre environnement de développement peut prendre en charge l'automatisation des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration/déploiement continus (CI/CD), qui nécessitent des jetons de plus longue durée. Pour savoir comment créer des jetons spéciaux pour des tâches automatisées, consultez la section Utiliser SAML avec des tâches automatisées.

URL de l'interface utilisateur et de l'API Edge

L'URL que vous utilisez pour accéder à l'UI Edge et à l'API de gestion Edge est la même que celle utilisée avant l'activation de SAML. Pour l'UI Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

où edge_ui_IP_DNS correspond à l'adresse IP ou au nom DNS de la machine hébergeant l'UI Edge. Lors de la configuration de l'UI Edge, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.

Pour l'API de gestion Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

où ms_IP_DNS est l'adresse IP ou le nom DNS du serveur de gestion. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.

Configurer TLS sur Edge SSO

Par défaut, la connexion à Edge SSO utilise HTTP sur le port 9099 sur le nœud hébergeant apigee-sso, le module Edge SSO. Une instance Tomcat intégrée à apigee-sso gère les requêtes HTTP et HTTPS.

Edge SSO et Tomcat sont compatibles avec trois modes de connexion:

DEFAULT : la configuration par défaut accepte les requêtes HTTP sur le port 9099.
SSL_TERMINATION : accès TLS activé à Edge SSO sur le port de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
SSL_PROXY : configure l'authentification unique Edge en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant apigee-sso et arrêté TLS sur l'équilibreur de charge. Vous pouvez spécifier le port utilisé sur apigee-sso pour les requêtes de l'équilibreur de charge.

Activer la prise en charge de SAML pour le portail Developer Services et pour l'API BaaS

Après avoir activé la prise en charge de SAML pour Edge, vous pouvez éventuellement activer SAML pour:

API BaaS : le portail BaaS et la pile BaaS sont tous deux compatibles avec SAML pour l'authentification des utilisateurs. Pour en savoir plus, consultez Activer SAML pour l'API BaaS.
Portail des services pour les développeurs : le portail prend en charge l'authentification SAML lors de l'envoi de requêtes à Edge. Notez que cette méthode diffère de l'authentification SAML pour la connexion des développeurs au portail. Vous devez configurer l'authentification SAML pour la connexion des développeurs séparément. Pour en savoir plus, consultez Configurer le portail des services pour les développeurs pour utiliser SAML pour communiquer avec Edge.

Lors de la configuration du portail de services pour les développeurs et de l'API BaaS, vous devez spécifier l'URL du module d'authentification unique Edge que vous avez installé avec Edge:

Étant donné qu'Edge et le BaaS API partagent le même module SSO Edge, ils sont compatibles avec l'authentification unique. Autrement dit, si vous vous connectez à Edge ou à l'API BaaS, vous êtes connecté aux deux. Cela signifie également que vous n'avez qu'à gérer un seul emplacement pour toutes les identifiants utilisateur.

Vous pouvez également configurer la déconnexion unique (facultatif). Voir Configurer la déconnexion unique à partir de l'interface utilisateur Edge.