Halaman ini diterjemahkan oleh Cloud Translation API.

Mendukung SAML di Edge untuk Private Cloud

Edge for Private Cloud v. 4.17.09

UI Edge dan Edge Management API beroperasi dengan membuat permintaan ke Server Pengelolaan Edge, dengan Server Pengelolaan mendukung jenis autentikasi berikut:

Basic Auth Login ke UI Edge atau buat permintaan ke Edge Management API dengan meneruskan nama pengguna dan sandi Anda.
OAuth2 Menukar kredensial Autentikasi Dasar Edge Anda dengan token akses dan token refresh OAuth2. Lakukan panggilan ke Edge management API dengan meneruskan token akses OAuth2 di header Pembawa panggilan API.

Edge juga mendukung Security Assertion Markup Language (SAML) 2.0 sebagai mekanisme autentikasi. Dengan SAML diaktifkan, akses ke UI Edge dan API pengelolaan Edge masih menggunakan token akses OAuth2. Namun, sekarang Anda dapat membuat token ini dari pernyataan SAML yang ditampilkan oleh penyedia identitas SAML.

Catatan: SAML hanya didukung sebagai mekanisme autentikasi. API ini tidak didukung untuk otorisasi. Oleh karena itu, Anda masih menggunakan database Edge OpenLDAP untuk mempertahankan informasi otorisasi. Lihat Menetapkan peran untuk mengetahui informasi selengkapnya.

SAML mendukung lingkungan single sign-on (SSO). Dengan menggunakan SAML bersama Edge, Anda dapat mendukung SSO untuk UI dan API Edge selain layanan lain yang Anda sediakan dan yang juga mendukung SAML.

Dukungan ditambahkan untuk OAuth2 ke Edge untuk Private Cloud

Seperti yang disebutkan di atas, penerapan SAML Edge mengandalkan token akses OAuth2.Oleh karena itu, dukungan OAuth2 telah ditambahkan ke Edge untuk Cloud Pribadi. Untuk informasi selengkapnya, lihat Pengantar OAuth 2.0.

Keuntungan SAML

Autentikasi SAML menawarkan beberapa keunggulan. Dengan menggunakan SAML, Anda dapat:

Mengontrol pengelolaan pengguna sepenuhnya. Saat pengguna keluar dari organisasi dan dicabut aksesnya secara terpusat, mereka otomatis tidak dapat mengakses Edge.
Mengontrol cara pengguna mengautentikasi untuk mengakses Edge. Anda dapat memilih jenis autentikasi yang berbeda untuk organisasi Edge yang berbeda.
Mengontrol kebijakan autentikasi. Penyedia SAML Anda mungkin mendukung kebijakan autentikasi yang lebih sesuai dengan standar perusahaan Anda.
Anda dapat memantau login, logout, upaya login yang gagal, dan aktivitas berisiko tinggi di deployment Edge.

Menggunakan SAML dengan Edge

Untuk mendukung SAML di Edge, Anda menginstal apigee-sso, modul SSO Edge. Gambar berikut menampilkan SSO Edge di penginstalan Edge untuk Private Cloud:

Anda dapat menginstal modul Edge SSO di node yang sama dengan UI Edge dan Server Manajemen, atau di node-nya sendiri. Pastikan SSO Edge memiliki akses ke Server Pengelolaan melalui port 8080.

Port 9099 harus terbuka di node SSO Edge untuk mendukung akses ke SSO Edge dari browser, dari IdP SAML eksternal, dan dari Server Pengelolaan dan UI Edge. Sebagai bagian dari mengonfigurasi SSO Edge, Anda dapat menentukan bahwa koneksi eksternal menggunakan HTTP atau protokol HTTPS terenkripsi.

Edge SSO menggunakan database Postgres yang dapat diakses di port 5432 pada node Postgres. Biasanya, Anda dapat menggunakan server Postgres yang sama dengan yang diinstal dengan Edge, baik server Postgres mandiri maupun dua server Postgres yang dikonfigurasi dalam mode master/standby. Jika beban pada server Postgres Anda tinggi, Anda juga dapat memilih untuk membuat node Postgres terpisah hanya untuk Edge SSO.

Dengan SAML yang diaktifkan, akses ke UI Edge dan API pengelolaan Edge akan menggunakan token akses OAuth2. Token ini dihasilkan oleh modul SSO Edge yang menerima pernyataan SAML yang ditampilkan oleh IDP Anda.

Setelah dibuat dari pernyataan SAML, token OAuth berlaku selama 30 menit dan token refresh berlaku selama 24 jam. Lingkungan pengembangan Anda mungkin mendukung otomatisasi untuk tugas pengembangan umum, seperti otomatisasi pengujian atau Continuous Integration/Continuous Deployment (CI/CD), yang memerlukan token dengan durasi lebih lama. Lihat Menggunakan SAML dengan tugas otomatis untuk mengetahui informasi tentang cara membuat token khusus untuk tugas otomatis.

URL UI dan API Edge

URL yang Anda gunakan untuk mengakses UI Edge dan Edge management API sama dengan yang digunakan sebelum Anda mengaktifkan SAML. Untuk UI Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

dengan edge_ui_IP_DNS adalah alamat IP atau nama DNS mesin yang menghosting UI Edge. Sebagai bagian dari mengonfigurasi UI Edge, Anda dapat menentukan agar koneksi menggunakan HTTP atau protokol HTTPS terenkripsi.

Untuk API pengelolaan Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

dengan ms_IP_DNS adalah alamat IP atau nama DNS Server Pengelolaan. Sebagai bagian dari konfigurasi API, Anda dapat menentukan bahwa koneksi menggunakan HTTP atau protokol HTTPS terenkripsi.

Mengonfigurasi TLS di SSO Edge

Secara default, koneksi ke Edge SSO menggunakan HTTP melalui port 9099 di node yang menghosting apigee-sso, modul Edge SSO. Dibuat dalam apigee-sso adalah instance Tomcat yang menangani permintaan HTTP dan HTTPS.

SSO Edge dan Tomcat mendukung tiga mode koneksi:

DEFAULT - Konfigurasi default mendukung permintaan HTTP pada port 9099.
SSL_TERMINATION - Mengaktifkan akses TLS ke Edge SSO di port pilihan Anda. Anda harus menentukan kunci dan sertifikat TLS untuk mode ini.
SSL_PROXY - Mengonfigurasi SSO Edge dalam mode proxy, yang berarti Anda telah menginstal load balancer di depan apigee-sso dan menghentikan TLS di load balancer. Anda dapat menentukan port yang digunakan di apigee-sso untuk permintaan dari load balancer.

Mengaktifkan dukungan SAML untuk portal Layanan Developer dan untuk BaaS API

Setelah mengaktifkan dukungan SAML untuk Edge, Anda dapat mengaktifkan SAML secara opsional untuk:

API BaaS - Portal BaaS dan BaaS Stack mendukung SAML untuk autentikasi pengguna. Lihat Mengaktifkan SAML untuk API BaaS untuk mengetahui informasi selengkapnya.
Portal Layanan Developer - Portal ini mendukung autentikasi SAML saat membuat permintaan ke Edge. Perhatikan bahwa autentikasi ini berbeda dengan autentikasi SAML untuk login developer ke portal. Anda mengonfigurasi autentikasi SAML untuk login developer secara terpisah. Lihat Mengonfigurasi portal Layanan Developer untuk menggunakan SAML guna berkomunikasi dengan Edge untuk mengetahui informasi selengkapnya.

Sebagai bagian dari mengonfigurasi portal Layanan Developer dan API BaaS, Anda harus menentukan URL modul SSO Edge yang diinstal dengan Edge:

Karena Edge dan API BaaS menggunakan modul Edge SSO yang sama, keduanya mendukung single sign-on. Artinya, login ke Edge atau API BaaS akan membuat Anda login ke keduanya. Artinya, Anda hanya perlu menyimpan satu lokasi untuk semua kredensial pengguna.

Anda juga dapat mengonfigurasi logout tunggal secara opsional. Lihat Mengonfigurasi logout tunggal dari UI Edge.