Ta strona została przetłumaczona przez Cloud Translation API.

Obsługa SAML w Edge dla chmury prywatnej

Edge for Private Cloud w wersji 4.17.09

Interfejs użytkownika i interfejs API do zarządzania Edge działają, wysyłając żądania do serwera zarządzania Edge. Serwer zarządzania obsługuje te typy uwierzytelniania:

Podstawowe uwierzytelnianie – zaloguj się w interfejsie Edge lub wyślij żądania do interfejsu Edge Management API, podając nazwę użytkownika i hasło.
OAuth2 Wymień swoje poświadczenia Edge Basic Auth na token dostępu OAuth2 i token odświeżania. Wykonuj wywołania interfejsu Edge Management API, przekazując token dostępu OAuth2 w nagłówku Bearer wywołania interfejsu API.

Edge obsługuje też mechanizm uwierzytelniania SAML 2.0 (Security Assertion Markup Language). Gdy włączona jest usługa SAML, dostęp do interfejsu użytkownika Edge i interfejsu API do zarządzania Edge nadal wykorzystuje tokeny dostępu OAuth2. Teraz jednak możesz generować te tokeny na podstawie asercji SAML zwróconych przez dostawcę tożsamości SAML.

Uwaga: protokół SAML jest obsługiwany tylko jako mechanizm uwierzytelniania. Nie jest obsługiwana w celu autoryzacji. Dlatego nadal używasz bazy danych OpenLDAP w Edge do przechowywania informacji autoryzacyjnych. Więcej informacji znajdziesz w artykule Przypisywanie ról.

Protokół SAML obsługuje środowisko logowania jednokrotnego (SSO). Używając SAML z Edge, możesz obsługiwać logowanie jednokrotne w interfejsie użytkownika Edge i interfejsie API, a także w innych udostępnianych przez Ciebie usługach, które obsługują również SAML.

Dodaliśmy obsługę OAuth2 w Edge for Private Cloud

Jak wspomnieliśmy powyżej, implementacja SAML w Edge opiera się na tokenach dostępu OAuth2.Dlatego dodaliśmy obsługę OAuth2 do Edge dla chmury prywatnej. Więcej informacji znajdziesz w artykule Wprowadzenie do OAuth 2.0.

Zalety protokołu SAML

Uwierzytelnianie SAML ma kilka zalet. Korzystając z protokołu SAML, możesz:

Przejmij pełną kontrolę nad zarządzaniem użytkownikami. Gdy użytkownicy opuszczą organizację i zostaną centralnie wyrejestrowani, automatycznie utracą dostęp do Edge.
kontrolować, jak użytkownicy uwierzytelniają się, aby uzyskać dostęp do przeglądarki Edge; W przypadku różnych organizacji Edge możesz wybrać różne typy uwierzytelniania.
kontrolować zasady uwierzytelniania; Twój dostawca SAML może obsługiwać zasady uwierzytelniania, które są bardziej zgodne ze standardami Twojej firmy.
Możesz monitorować logowania, wylogowania, nieudane próby logowania i działania o wysokim ryzyku w swojej implementacji przeglądarki Edge.

Korzystanie z SAML w Edge

Aby umożliwić obsługę SAML w Edge, zainstaluj apigee-sso, czyli moduł SSO dla Edge. Ilustracja poniżej przedstawia logowanie jednokrotne w Edge w przypadku instalacji Edge for Private Cloud:

Moduł logowania jednokrotnego w Edge możesz zainstalować na tym samym węźle co interfejs użytkownika i serwer zarządzania lub na osobnym węźle. Upewnij się, że Edge SSO ma dostęp do serwera zarządzania przez port 8080.

Port 9099 musi być otwarty w każdym węźle logowania jednokrotnego w Edge, aby umożliwić dostęp do logowania jednokrotnego w Edge z przeglądarki, z zewnętrznego dostawcy tożsamości SAML oraz z serwera zarządzającego i interfejsu użytkownika Edge. Podczas konfigurowania Edge SSO możesz określić, czy połączenie zewnętrzne używa protokołu HTTP lub zaszyfrowanego protokołu HTTPS.

Edge SSO używa bazy danych Postgres dostępnej na porcie 5432 na węźle Postgres. Zazwyczaj możesz używać tego samego serwera Postgres, który został zainstalowany z Edge, czyli samodzielnego serwera Postgres lub dwóch serwerów Postgres skonfigurowanych w trybie głównym/awaryjnym. Jeśli obciążenie serwera Postgres jest wysokie, możesz utworzyć oddzielny węzeł Postgres tylko dla Edge SSO.

Gdy włączona jest usługa SAML, dostęp do interfejsu użytkownika i interfejsu API do zarządzania Edge wymaga tokenów dostępu OAuth2. Te tokeny są generowane przez moduł logowania jednokrotnego w Edge, który akceptuje oświadczenia SAML zwracane przez dostawcę tożsamości.

Po wygenerowaniu na podstawie oświadczenia SAML token OAuth jest ważny przez 30 minut, a token odświeżania przez 24 godziny. Twoje środowisko programistyczne może obsługiwać automatyzację typowych zadań programistycznych, takich jak automatyzacja testów czy ciągła integracja i ciągłe wdrażanie (CI/CD), które wymagają tokenów o dłuższym czasie trwania. Więcej informacji o tworzeniu specjalnych tokenów do zadań automatycznych znajdziesz w artykule Używanie SAML z zadaniami automatycznymi.

Adresy URL interfejsu Edge i interfejsu API

Adres URL, którego używasz do uzyskiwania dostępu do interfejsu Edge UI i interfejsu Edge Management API, jest taki sam jak przed włączeniem SAML. W przypadku interfejsu Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

gdzie edge_ui_IP_DNS to adres IP lub nazwa DNS maszyny, na której działa interfejs Edge. W ramach konfigurowania interfejsu Edge możesz określić, czy połączenie ma używać protokołu HTTP, czy szyfrowanego HTTPS.

W przypadku interfejsu Edge Management API:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

gdzie ms_IP_DNS to adres IP lub nazwa DNS serwera zarządzania. W ramach konfigurowania interfejsu API możesz określić, czy połączenie ma używać protokołu HTTP, czy szyfrowanego protokołu HTTPS.

Konfigurowanie TLS w Edge SSO

Domyślnie połączenie z Edge SSO używa protokołu HTTP przez port 9099 na węźle hostującym apigee-sso, czyli moduł Edge SSO. Wbudowany w apigee-sso jest Tomcat, który obsługuje żądania HTTP i HTTPS.

Logowanie jednokrotne w Edge i Tomcat obsługuje 3 tryby połączenia:

DODMOWA – konfiguracja domyślna obsługuje żądania HTTP na porcie 9099.
SSL_TERMINATION – włączony dostęp TLS do logowania jednokrotnego w Edge na wybranym porcie. W tym trybie musisz podać klucz i certyfikat TLS.
SSL_PROXY – konfiguruje Edge SSO w trybie proxy, co oznacza, że w systemie równoważenia obciążenia został zainstalowany system równoważenia obciążenia przed apigee-sso, a protokół TLS został wyłączony. Możesz określić port używany na apigee-sso do obsługi żądań z systemu równoważenia obciążenia.

Włącz obsługę protokołu SAML w portalu usług dla deweloperów i w przypadku BaaS API

Po włączeniu obsługi SAML dla Edge możesz opcjonalnie włączyć SAML dla:

Baas API: zarówno portal BaaS, jak i baas Stack obsługują protokół SAML do uwierzytelniania użytkowników. Więcej informacji znajdziesz w artykule Włączanie usługi SAML w usłudze BaaS API.
Portal Usług dla deweloperów – portal obsługuje uwierzytelnianie SAML podczas wysyłania żądań do Edge. Pamiętaj, że jest to inne niż uwierzytelnianie SAML na potrzeby logowania się dewelopera na portalu. Uwierzytelnianie SAML dla logowania dewelopera konfigurujesz osobno. Więcej informacji znajdziesz w artykule Konfigurowanie portalu Usług dla deweloperów na potrzeby komunikacji z Edge za pomocą SAML.

W ramach konfigurowania portalu usług dla deweloperów i interfejsu API BaaS musisz podać adres URL modułu logowania jednokrotnego w Edge, który został zainstalowany w Edge:

Ponieważ Edge i API BaaS korzystają z tego samego modułu logowania jednokrotnego, obsługują logowanie jednokrotne. Oznacza to, że zalogowanie się w Edge lub API BaaS powoduje zalogowanie się w obu usługach. Oznacza to też, że musisz utrzymywać tylko jedną lokalizację dla wszystkich danych logowania użytkownika.

Opcjonalnie możesz też skonfigurować logowanie jednokrotne. Przeczytaj artykuł Konfigurowanie logowania jednokrotnego w interfejsie użytkownika Edge.