Questa pagina è stata tradotta dall'API Cloud Translation.

Supporto di SAML su Edge per cloud privato

Edge per Private Cloud v. 4.17.09

L'interfaccia utente perimetrale e l'API di gestione perimetrale funzionano inoltrando richieste a Edge Management Server, dove quest'ultimo supporta i seguenti tipi di autenticazione:

Autenticazione di base Accedi all'interfaccia utente Edge o invia richieste all'API Edge Management passando il tuo nome utente e la password.
OAuth2 Scambia le credenziali di autenticazione di base di Edge per un token di accesso e un token di aggiornamento OAuth2. Effettua chiamate all'API Edge Management passando il token di accesso OAuth2 nell'intestazione di connessione di una chiamata API.

Edge supporta inoltre SAML (Security Assertion Markup Language) 2.0 come meccanismo di autenticazione. Con SAML abilitato, per l'accesso all'interfaccia utente e all'API Edge Management vengono comunque utilizzati i token di accesso OAuth2. Tuttavia, ora puoi generare questi token da asserzioni SAML restituite da un provider di identità SAML.

Nota: SAML è supportato solo come meccanismo di autenticazione. Non è supportata per l'autorizzazione. Di conseguenza, devi continuare a utilizzare il database Edge OpenLDAP per conservare le informazioni sull'autorizzazione. Per ulteriori informazioni, consulta Assegnare i ruoli.

SAML supporta un ambiente Single Sign-On (SSO). Utilizzando SAML con Edge, puoi supportare il servizio SSO per l'API e la UI di Edge, oltre a qualsiasi altro servizio da te fornito e che supporti SAML.

Supporto aggiunto per OAuth2 a Edge per cloud privato

Come accennato in precedenza, l'implementazione Edge di SAML si basa su token di accesso OAuth2.Di conseguenza, è stato aggiunto il supporto OAuth2 a Edge per il cloud privato. Per ulteriori informazioni, consulta l'articolo Introduzione a OAuth 2.0.

Vantaggi di SAML

L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:

Assumi il controllo completo della gestione degli utenti. Quando gli utenti lasciano l'organizzazione e ne viene eseguito il deprovisioning a livello centrale, gli viene automaticamente negato l'accesso a Edge.
Controlla il modo in cui gli utenti eseguono l'autenticazione per accedere a Edge. Puoi scegliere tipi di autenticazione diversi per organizzazioni Edge diverse.
Controlla i criteri di autenticazione. Il tuo provider SAML potrebbe supportare criteri di autenticazione più in linea con i tuoi standard aziendali.
Puoi monitorare accessi, disconnessioni, tentativi di accesso non riusciti e attività ad alto rischio sul deployment Edge.

Utilizzo di SAML con Edge

Per supportare SAML su Edge, devi installare apigee-sso, il modulo SSO Edge. La seguente immagine mostra Edge SSO in un'installazione Edge per cloud privato:

Puoi installare il modulo Edge SSO sullo stesso nodo della UI e del server di gestione Edge oppure su un nodo dedicato. Assicurati che il servizio SSO perimetrale abbia accesso al server di gestione sulla porta 8080.

La porta 9099 deve essere aperta sul nodo SSO Edge per supportare l'accesso a Edge SSO da un browser, dall'IdP SAML esterno e dal server di gestione e dall'UI perimetrale. Durante la configurazione del servizio SSO perimetrale, puoi specificare che la connessione esterna utilizzi HTTP o il protocollo HTTPS criptato.

Il servizio SSO perimetrale utilizza un database Postgres accessibile sulla porta 5432 nel nodo Postgres. In genere, puoi utilizzare lo stesso server Postgres che hai installato con Edge, un server Postgres autonomo o due server Postgres configurati in modalità master/standby. Se il carico sul server Postgres è elevato, puoi anche scegliere di creare un nodo Postgres separato solo per l'SSO Edge.

Se SAML è abilitato, l'accesso all'interfaccia utente e all'API Edge Management utilizza i token di accesso OAuth2. Questi token vengono generati dal modulo Edge SSO che accetta le asserzioni SAML restituite dall'IdP.

Una volta generato da un'asserzione SAML, il token OAuth è valido per 30 minuti e il token di aggiornamento è valido per 24 ore. Il tuo ambiente di sviluppo potrebbe supportare l'automazione per attività di sviluppo comuni, come l'automazione dei test o l'integrazione continua/deployment continuo (CI/CD), che richiedono token con una durata maggiore. Consulta Utilizzo di SAML con attività automatizzate per informazioni sulla creazione di token speciali per le attività automatizzate.

URL API e UI perimetrali

L'URL che utilizzi per accedere all'interfaccia utente perimetrale e all'API di gestione perimetrale è lo stesso utilizzato prima dell'abilitazione di SAML. Per l'UI Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

dove edge_ui_IP_DNS è l'indirizzo IP o il nome DNS della macchina che ospita la UI Edge. Durante la configurazione dell'interfaccia utente Edge, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.

Per l'API Edge Management:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

dove ms_IP_DNS è l'indirizzo IP o il nome DNS del server di gestione. Durante la configurazione dell'API, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.

Configurazione di TLS su SSO perimetrale

Per impostazione predefinita, la connessione all'SSO Edge utilizza HTTP sulla porta 9099 sul nodo che ospita apigee-sso, il modulo SSO Edge. Integrata in apigee-sso è un'istanza Tomcat che gestisce le richieste HTTP e HTTPS.

Edge SSO e Tomcat supportano tre modalità di connessione:

PREDEFINITA - La configurazione predefinita supporta le richieste HTTP sulla porta 9099.
SSL_TERMINATION: consente l'accesso TLS a Edge SSO sulla porta che preferisci. Devi specificare una chiave e un certificato TLS per questa modalità.
SSL_PROXY: configura il servizio SSO perimetrale in modalità proxy, ovvero hai installato un bilanciatore del carico davanti ad apigee-sso e ha terminato TLS sul bilanciatore del carico. Puoi specificare la porta utilizzata su apigee-sso per le richieste dal bilanciatore del carico.

Abilita il supporto SAML per il portale Developer Services e per l'API BaaS

Dopo aver abilitato il supporto SAML per Edge, puoi facoltativamente abilitare SAML per:

API BaaS: sia il portale BaaS che lo stack BaaS supportano SAML per l'autenticazione degli utenti. Per saperne di più, consulta Abilitazione di SAML per API BaaS.
Portale Servizi per gli sviluppatori: supporta l'autenticazione SAML quando si effettuano richieste a Edge. Tieni presente che si tratta di un'autenticazione diversa dall'autenticazione SAML per l'accesso sviluppatore al portale. L'autenticazione SAML per l'accesso come sviluppatore viene configurata separatamente. Per saperne di più, consulta Configurazione del portale Servizi per gli sviluppatori per l'utilizzo di SAML per comunicare con Edge.

Durante la configurazione del portale Developer Services e dell'API BaaS, devi specificare l'URL del modulo SSO perimetrale che hai installato con Edge:

Poiché Edge e BaaS API condividono lo stesso modulo SSO perimetrale, supportano il Single Sign-On. In altre parole, se accedi a BaaS Edge o API, accedi a entrambi. Ciò significa anche che devi mantenere un'unica località per tutte le credenziali utente.

Facoltativamente, puoi configurare anche il Single Sign-Out. Vedi Configurare il Single Sign-On dall'interfaccia utente Edge.