Compatibilité SAML sur Edge pour le cloud privé

Edge pour Private Cloud version 4.17.09

L'interface utilisateur Edge et l'API de gestion Edge fonctionnent en envoyant des requêtes au serveur de gestion Edge, où le serveur de gestion prend en charge les types d'authentification suivants:

  • Authentification de base Connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à l'API de gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
  • OAuth2 : échangez vos identifiants d'authentification de base Edge contre un jeton d'accès OAuth2 et un jeton d'actualisation. Effectuer des appels à l'API de gestion Edge en transmettant le jeton d'accès OAuth2 dans l'en-tête de support d'un appel d'API.

Edge est également compatible avec le langage SAML (Security Assertion Markup Language) 2.0 en tant que mécanisme d'authentification. Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise toujours les jetons d'accès OAuth2. Toutefois, vous pouvez désormais générer ces jetons à partir d'assertions SAML renvoyées par un fournisseur d'identité SAML.

Remarque: SAML est pris en charge comme mécanisme d'authentification uniquement. Elle n'est pas compatible avec l'autorisation. Par conséquent, vous utilisez toujours la base de données Edge OpenLDAP pour gérer les informations d'autorisation. Pour en savoir plus, consultez la section Attribuer des rôles.

SAML est compatible avec un environnement d'authentification unique (SSO). En utilisant SAML avec Edge, vous pouvez prendre en charge l'authentification unique pour l'interface utilisateur et l'API Edge en plus de tous les autres services que vous fournissez et qui prennent également en charge SAML.

Compatibilité d'OAuth2 avec Edge for Private Cloud

Comme mentionné ci-dessus, l'implémentation Edge de SAML repose sur des jetons d'accès OAuth2.Par conséquent, la prise en charge d'OAuth2 a été ajoutée à Edge for Private Cloud. Pour en savoir plus, consultez Présentation d'OAuth 2.0.

Avantages de SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

  • Prenez le contrôle total de la gestion des utilisateurs. Lorsque des utilisateurs quittent votre organisation et sont déprovisionnés de manière centralisée, leur accès à Edge leur est automatiquement refusé.
  • Contrôlez la manière dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différents types d'authentification pour différentes organisations Edge.
  • Contrôler les règles d'authentification. Votre fournisseur SAML peut prendre en charge des règles d'authentification plus conformes aux normes de votre entreprise.
  • Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.

Utilisation de SAML avec Edge

Pour prendre en charge SAML sur Edge, installez apigee-sso, le module SSO Edge. L'image suivante montre l'authentification unique Edge dans une installation Edge pour Private Cloud:

Vous pouvez installer le module d'authentification unique Edge sur le même nœud que l'interface utilisateur Edge et le serveur de gestion, ou sur son propre nœud. Assurez-vous que l'authentification unique Edge a accès au serveur de gestion via le port 8080.

Le port 9099 doit être ouvert sur le nœud SSO Edge pour permettre l'accès à l'authentification unique Edge à partir d'un navigateur, à partir de l'IdP SAML externe, du serveur de gestion et de l'interface utilisateur Edge. Lors de la configuration de l'authentification unique Edge, vous pouvez spécifier que la connexion externe utilise HTTP ou le protocole HTTPS chiffré.

Edge SSO utilise une base de données Postgres accessible sur le port 5432 du nœud Postgres. En règle générale, vous pouvez utiliser le même serveur Postgres que vous avez installé avec Edge, soit un serveur Postgres autonome, soit deux serveurs Postgres configurés en mode maître/veille. Si la charge sur votre serveur Postgres est élevée, vous pouvez également choisir de créer un nœud Postgres distinct réservé à Edge SSO.

Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module SSO Edge qui accepte les assertions SAML renvoyées par votre IdP.

Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et le jeton d'actualisation pendant 24 heures. Votre environnement de développement peut accepter l'automatisation pour des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration continue/le déploiement continu (CI/CD), qui nécessitent des jetons d'une durée plus longue. Pour en savoir plus sur la création de jetons spéciaux pour les tâches automatisées, consultez la section Utiliser SAML avec les tâches automatisées.

Interface utilisateur Edge et URL de l'API

L'URL que vous utilisez pour accéder à l'interface utilisateur Edge et à l'API de gestion Edge est la même que celle utilisée avant l'activation de SAML. Pour l'interface utilisateur Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

edge_ui_IP_DNS est l'adresse IP ou le nom DNS de la machine hébergeant l'interface utilisateur Edge. Dans le cadre de la configuration de l'interface utilisateur Edge, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.

Pour l'API de gestion Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

ms_IP_DNS correspond à l'adresse IP ou au nom DNS du serveur de gestion. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise le protocole HTTP ou le protocole HTTPS chiffré.

Configurer TLS sur Edge SSO

Par défaut, la connexion à l'authentification unique Edge utilise HTTP sur le port 9099 sur le nœud hébergeant apigee-sso, le module SSO Edge. Une instance Tomcat est intégrée à apigee-sso qui gère les requêtes HTTP et HTTPS.

Edge SSO et Tomcat prennent en charge trois modes de connexion:

  • DEFAULT : la configuration par défaut accepte les requêtes HTTP sur le port 9099.
  • SSL_TERMINATION : l'accès TLS à Edge SSO a été activé sur le port de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
  • SSL_PROXY : configure l'authentification unique Edge en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant apigee-sso et arrêté TLS sur l'équilibreur de charge. Vous pouvez spécifier le port utilisé sur apigee-sso pour les requêtes provenant de l'équilibreur de charge.

Activer la compatibilité SAML pour le portail de services pour les développeurs et pour l'API BaaS

Après avoir activé la prise en charge SAML pour Edge, vous pouvez éventuellement activer SAML pour:

  • BaaS d'API : le portail BaaS et la pile BaaS sont tous deux compatibles avec le protocole SAML pour l'authentification des utilisateurs. Pour en savoir plus, consultez la section Activer SAML pour l'API BaaS.
  • Portail des services pour les développeurs : le portail prend en charge l'authentification SAML lors de l'envoi de requêtes à Edge. Notez que cette méthode diffère de l'authentification SAML pour la connexion des développeurs au portail. Vous configurez l'authentification SAML séparément pour la connexion des développeurs. Pour en savoir plus, consultez la section Configurer le portail des services pour les développeurs pour utiliser SAML afin de communiquer avec Edge.

Dans le cadre de la configuration du portail de services pour les développeurs et du BaaS de l'API, vous devez spécifier l'URL du module SSO Edge que vous avez installé avec Edge:

Comme Edge et l'API BaaS partagent le même module SSO Edge, ils sont compatibles avec l'authentification unique. Autrement dit, en vous connectant à Edge ou à l'API BaaS, vous êtes connecté aux deux. Cela signifie également que vous n'avez qu'un seul emplacement à gérer pour tous les identifiants utilisateur.

Vous pouvez également configurer l'authentification unique. Voir Configurer la déconnexion unique à partir de l'interface utilisateur Edge.