Compatibilidade com SAML no Edge para nuvem privada

Edge para nuvem privada v. 4.17.09

A interface e a API de gerenciamento de borda operam fazendo solicitações ao servidor de gerenciamento de borda, em que esse servidor aceita os tipos de autenticação a seguir:

  • Autenticação básica: faça login na IU do Edge ou envie solicitações à API de gerenciamento do Edge com seu nome de usuário e senha.
  • OAuth2 Troque suas credenciais de autenticação básica do Edge por um token de acesso OAuth2 e um token de atualização. Fazer chamadas para a API de gerenciamento de borda transmitindo o token de acesso do OAuth2 no cabeçalho de uma chamada de API.

O Edge também oferece suporte à Linguagem de marcação para autorização de segurança (SAML) 2.0 como mecanismo de autenticação. Com o SAML ativado, o acesso à IU do Edge e à API Edge Management ainda usa tokens de acesso do OAuth2. No entanto, agora você pode gerar esses tokens a partir de declarações SAML retornadas por um provedor de identidade SAML.

Observação: o SAML é compatível apenas como o mecanismo de autenticação. Ele não é compatível para autorização. Portanto, você ainda usa o banco de dados OpenLDAP do Edge para manter as informações de autorização. Consulte Como atribuir papéis para mais informações.

O SAML é compatível com um ambiente de Logon único (SSO). Ao usar o SAML com o Edge, você oferece suporte ao SSO para a IU e a API do Edge, além de todos os outros serviços que você fornece e que também são compatíveis com o SAML.

Suporte adicionado para OAuth2 ao Edge para nuvem privada

Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2.Portanto, o suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Veja mais informações em Introdução ao OAuth 2.0.

Vantagens do SAML

A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:

  • Assuma o controle total do gerenciamento de usuários. Quando os usuários saem da organização e são desprovisionados centralmente, o acesso ao Edge é automaticamente negado.
  • Controle como os usuários fazem a autenticação para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações do Edge.
  • Controle as políticas de autenticação. Seu provedor de SAML pode oferecer suporte a políticas de autenticação que estão mais de acordo com os padrões da sua empresa.
  • É possível monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco na implantação do Edge.

Como usar o SAML com o Edge

Para usar o SAML no Edge, instale o apigee-sso, o módulo SSO do Edge. A imagem a seguir mostra o SSO do Edge em uma instalação do Edge para nuvem privada:

É possível instalar o módulo de SSO de borda no mesmo nó da IU e do servidor de gerenciamento do Edge ou no próprio nó. Verifique se o SSO de borda tem acesso ao servidor de gerenciamento pela porta 8080.

A porta 9099 precisa estar aberta no nó do SSO de borda para permitir o acesso ao SSO do Edge em um navegador, no IdP SAML externo e na interface do servidor de gerenciamento e da interface. Como parte da configuração do SSO de borda, é possível especificar que a conexão externa usa o protocolo HTTP ou o HTTPS criptografado.

O SSO de borda usa um banco de dados do Postgres acessível na porta 5432 no nó do Postgres. Normalmente, é possível usar o mesmo servidor Postgres instalado com o Edge, um servidor Postgres autônomo ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no servidor Postgres for alta, você também poderá criar um nó separado do Postgres apenas para o SSO do Edge.

Com o SAML ativado, o acesso à IU do Edge e à API Edge Management usa tokens de acesso do OAuth2. Esses tokens são gerados pelo módulo SSO do Edge, que aceita declarações SAML retornadas pelo IDP.

Depois de gerado com uma declaração SAML, o token OAuth é válido por 30 minutos e o token de atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação de tarefas comuns de desenvolvimento, como automação de teste ou integração/implantação contínua (CI/CD), que exigem tokens de duração mais longa. Para informações sobre a criação de tokens especiais para tarefas automatizadas, consulte Como usar SAML com tarefas automatizadas.

URLs da interface e da API do Edge

O URL usado para acessar a interface e a API Edge Management é o mesmo usado antes da ativação do SAML. Para a interface do usuário do Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

em que edge_ui_IP_DNS é o endereço IP ou o nome DNS da máquina que hospeda a IU do Edge. Como parte da configuração da IU do Edge, é possível especificar que a conexão use HTTP ou o protocolo HTTPS criptografado.

Para a API Edge Management:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

em que ms_IP_DNS é o endereço IP ou o nome DNS do servidor de gerenciamento. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o protocolo HTTPS criptografado.

Configurar o TLS no SSO de borda

Por padrão, a conexão com o SSO do Edge usa HTTP pela porta 9099 no nó que hospeda apigee-sso, o módulo SSO do Edge. Uma instância do Tomcat que processa as solicitações HTTP e HTTPS está integrada ao apigee-sso.

O SSO do Edge e o Tomcat são compatíveis com três modos de conexão:

  • DEFAULT: a configuração padrão é compatível com solicitações HTTP na porta 9099.
  • SSL_TERMINATION: ativou o acesso TLS ao SSO do Edge na porta de sua escolha. É necessário especificar uma chave e um certificado TLS para este modo.
  • SSL_PROXY: configura o SSO do Edge no modo de proxy, ou seja, você instalou um balanceador de carga na frente do apigee-sso e encerrou o TLS nele. É possível especificar a porta usada em apigee-sso para solicitações do balanceador de carga.

Ativar o suporte a SAML para o portal de serviços para desenvolvedores e para o BaaS da API

Depois de ativar o suporte a SAML para o Edge, você poderá ativar o SAML para:

Como parte da configuração do portal de serviços para desenvolvedores e da API BaaS, especifique o URL do módulo SSO do Edge que você instalou com o Edge:

Como o Edge e o BaaS da API compartilham o mesmo módulo SSO do Edge, eles são compatíveis com o logon único. Ou seja, fazer login no Edge ou na API BaaS faz com que você se conecte a ambos. Isso também significa que você só precisa manter um local para todas as credenciais de usuário.

Também é possível configurar o logout único. Consulte Configurar o logout único na IU do Edge.