Questa pagina è stata tradotta dall'API Cloud Translation.

Supporto di SAML su Edge per cloud privato

Edge for Private Cloud versione 4.17.09

L'interfaccia utente di Edge e l'API di gestione di Edge funzionano inviando richieste all'Edge Management Server, dove il server di gestione supporta i seguenti tipi di autenticazione:

Autenticazione di base Accedi all'interfaccia utente di Edge o invia richieste all'API di gestione di Edge passando il tuo nome utente e la tua password.
OAuth2 Scambia le tue credenziali di autenticazione Edge Basic con un token di accesso OAuth2 e aggiorna il token. Esegui chiamate all'API di gestione di Edge passando il token di accesso OAuth2 nell'intestazione Bearer di una chiamata API.

Edge supporta anche SAML (Security Assertion Markup Language) 2.0 come meccanismo di autenticazione. Con SAML abilitato, l'accesso all'interfaccia utente di Edge e all'API di gestione di Edge utilizza ancora i token di accesso OAuth2. Tuttavia, ora puoi generare questi token dalle asserzioni SAML restituite da un provider di identità SAML.

Nota: SAML è supportato solo come meccanismo di autenticazione. Non è supportato per l'autorizzazione. Pertanto, utilizzi ancora il database OpenLDAP di Edge per gestire le informazioni di autorizzazione. Per saperne di più, consulta Assegnare i ruoli.

SAML supporta un ambiente Single Sign-On (SSO). Utilizzando SAML con Edge, puoi supportare SSO per l'interfaccia utente e l'API Edge, oltre a qualsiasi altro servizio fornito e che supporta anche SAML.

È stato aggiunto il supporto di OAuth2 per Edge for Private Cloud

Come accennato sopra, l'implementazione di SAML in Edge si basa sui token di accesso OAuth2.Pertanto, il supporto di OAuth2 è stato aggiunto a Edge per il cloud privato. Per ulteriori informazioni, consulta l'articolo Introduzione a OAuth 2.0.

Vantaggi di SAML

L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:

Assumi il controllo completo della gestione degli utenti. Quando gli utenti lasciano la tua organizzazione e viene eseguito il deprovisioning in modo centralizzato, viene negato automaticamente l'accesso a Edge.
Controlla il modo in cui gli utenti si autenticano per accedere a Edge. Puoi scegliere tipi di autenticazione diversi per organizzazioni perimetrali diverse.
Controlla i criteri di autenticazione. Il tuo provider SAML potrebbe supportare criteri di autenticazione maggiormente in linea con gli standard della tua azienda.
Puoi monitorare accessi, logout, tentativi di accesso non riusciti e attività ad alto rischio nel tuo deployment di Edge.

Utilizzo di SAML con Edge

Per supportare SAML su Edge, installa apigee-sso, il modulo SSO di Edge. La seguente immagine mostra l'accesso SSO di Edge in un'installazione di Edge for Private Cloud:

Puoi installare il modulo SSO di Edge sullo stesso nodo dell'interfaccia utente e del server di gestione di Edge oppure su un nodo dedicato. Assicurati che l'accesso a Edge SSO al server di gestione avvenga tramite la porta 8080.

La porta 9099 deve essere aperta sul nodo SSO Edge per supportare l'accesso a SSO Edge da un browser, dall'IdP SAML esterno e dal server di gestione e dalla UI di Edge. Durante la configurazione di SSO Edge, puoi specificare che la connessione esterna utilizzi HTTP o il protocollo HTTPS criptato.

Edge SSO utilizza un database Postgres accessibile sulla porta 5432 del nodo Postgres. In genere, puoi utilizzare lo stesso server Postgres che hai installato con Edge, un server Postgres autonomo o due server Postgres configurati in modalità master/standby. Se il carico sul server Postgres è elevato, puoi anche scegliere di creare un nodo Postgres separato solo per l'accessoSSO Edge.

Con SAML abilitato, l'accesso all'interfaccia utente di Edge e all'API di gestione di Edge utilizza i token di accesso OAuth2. Questi token vengono generati dal modulo SSO di Edge che accetta le asserzioni SAML restituite dal tuo IdP.

Una volta generato da un'affermazione SAML, il token OAuth è valido per 30 minuti e il token di aggiornamento è valido per 24 ore. L'ambiente di sviluppo potrebbe supportare l'automazione per le attività di sviluppo comuni, come l'automazione dei test o l'integrazione continua/il deployment continuo (CI/CD), che richiedono token con una durata maggiore. Per informazioni sulla creazione di token speciali per le attività automatiche, consulta Utilizzare SAML con le attività automatiche.

URL dell'interfaccia utente e dell'API Edge

L'URL che utilizzi per accedere all'interfaccia utente di Edge e all'API di gestione di Edge è lo stesso utilizzato prima di attivare SAML. Per l'interfaccia utente di Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

dove edge_ui_IP_DNS è l'indirizzo IP o il nome DNS della macchina che ospita l'interfaccia utente di Edge. Durante la configurazione dell'interfaccia utente di Edge, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.

Per l'API di gestione di Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

dove ms_IP_DNS è l'indirizzo IP o il nome DNS del server di gestione. Durante la configurazione dell'API, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.

Configura TLS su Edge SSO

Per impostazione predefinita, la connessione all'accesso SSO Edge utilizza HTTP sulla porta 9099 sul nodo che ospita apigee-sso, il modulo SSO di Edge. In apigee-sso è integrata un'istanza Tomcat che gestisce le richieste HTTP e HTTPS.

Edge SSO e Tomcat supportano tre modalità di connessione:

PREDEFINITA: la configurazione predefinita supporta le richieste HTTP sulla porta 9099.
SSL_TERMINATION: accesso TLS abilitato a Edge SSO sulla porta di tua scelta. Per questa modalità devi specificare una chiave e un certificato TLS.
SSL_PROXY: configura Edge SSO in modalità proxy, il che significa che hai installato un bilanciatore del carico davanti ad apigee-sso e hai terminato TLS sul bilanciatore del carico. Puoi specificare la porta utilizzata su apigee-sso per le richieste del bilanciatore del carico.

Attiva il supporto di SAML per il portale Developer Services e per l'API BaaS

Dopo aver attivato il supporto di SAML per Edge, puoi attivare facoltativamente SAML per:

API BaaS: sia il portale BaaS sia lo stack BaaS supportano SAML per l'autenticazione degli utenti. Per saperne di più, consulta Abilitazione di SAML per l'API BaaS.
Portale Servizi per sviluppatori: il portale supporta l'autenticazione SAML quando si effettuano richieste a Edge. Tieni presente che questa operazione è diversa dall'autenticazione SAML per l'accesso degli sviluppatori al portale. L'autenticazione SAML per l'accesso degli sviluppatori viene configurata separatamente. Per saperne di più, consulta Configurare il Portale per gli sviluppatori per utilizzare SAML per comunicare con Edge.

Durante la configurazione del portale Servizi per sviluppatori e di API BaaS, devi specificare l'URL del modulo SSO Edge che hai installato con Edge:

Poiché Edge e API BaaS condividono lo stesso modulo SSO di Edge, supportano il single sign-on. In altre parole, se accedi a Edge o all'API BaaS, accedi a entrambi. Ciò significa anche che devi gestire un'unica posizione per tutte le credenziali utente.

Se vuoi, puoi anche configurare la disconnessione singola. Vedi Configurare l'accesso singolo dall'interfaccia utente di Edge.